Aunque tal vez, el título correcto debería mencionar la aprobación de la nueva Ley orgánica y no tanto la derogación de la anterior. En efecto, el pasado 6 de Diciembre de 2018 se publicó en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Podría pensarse que esta norma nació con “problemas” y, a lo peor, podría considerarse de esa manera ya que se aprobó y, consecuentemente, se publicó con retraso ya que debía haber entrado en vigor antes del pasado 25 de mayo. La razón es que esta nueva Ley Orgánica de Protección de Datos ha sido el mecanismo legal que ha servido para acomodar la normativa de protección de datos española al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, norma básica a nivel comunitario en esta materia y que está en vigor desde la mencionada fecha de 25 de Mayo de 2018.
La nueva Ley Orgánica de Protección de Datos
Debemos poner de manifiesto una consideración previa como es que en nuestro ordenamiento jurídico el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales se llevaba a cabo, hasta ahora, por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales.
Esta norma fue promulgada para incorporar a nuestro sistema legislativo los presupuestos normativos de la Directiva 95/46/CE protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta Directiva también ha sido derogada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Ahora, esta nueva Ley deroga a la citada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y deroga también al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Cabe señalar, en este punto que el referido Real Decreto Ley se dictó con carácter de urgencia para que se pudiera aplicar en España el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, dado que no se había aprobado todavía la nueva Ley.
Por todo lo anterior, es más ajustado a derecho hablar de la entrada en vigor de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Sirva este apunte para poner de manifiesto que la derogación no ha sido completa, quedando algunos apartados expresamente en vigor, en concreto, algunos preceptos de los artículos 22, 23 y 24. Obviamente, se va dando un poco más de luz al ya, desde mayo, nuevo escenario en esta materia.
Esta ley, cubre la necesidad de complementar al RGPD, aunque como ya hemos comentado, su publicación se verificó con cierto retraso.
Contenidos que recoge la nueva Ley Orgánica (LDPD)
La mayoría de los autores están de acuerdo en identificar los puntos y contenidos concretos que se recogen en esta nueva Ley Orgánica.
Consentimiento en el tratamiento de datos
Se establece con carácter necesario, la manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta (bien por una declaración, bien mediante una clara acción afirmativa), el tratamiento de datos personales que le conciernen. Si se trata de obtener el consentimiento para varias finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas y no se aceptará – en ningún caso – que se ha prestado consentimiento para fines que no guarden relación con la relación contractual.
Datos relativos a personas fallecidas
Su tratamiento está excluido del ámbito de aplicación de la ley, pero queda establecido el derecho sucesorio de los herederos en esta materia, de tal forma que las acciones oportunas podrán ser ejercidas por éstos. Éstos podrán ejercer los derechos de acceso, rectificación o supresión, con la única excepción que se derivaría de la prohibición expresa de este ejercicio, realizada por la persona fallecida.
Menores de edad
No hay cambio en la nueva legislación sobre esta materia. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
En este apartado, con una vocación legislativa de futuro muy española, se estable un plazo de un año para elaborar un proyecto de ley dirigido a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías.
Delegado de Protección de Datos
Se estable un listado de supuestos en los que será necesario designación de un DPD, completando lo indicado en el artículo 37.1 del Reglamento (UE) 2016/679. También, se menciona la posibilidad de demostrarse la cualificación de esta figura, entre otros, a través de mecanismos voluntarios de certificación.
Garantía de los derechos digitales
Encontramos en el Titulo X, el establecimiento de derechos como, por ejemplo, el derecho a la neutralidad de Internet. (servicios sin discriminación por motivos técnicos o económicos), derecho de acceso universal a Internet, el derecho a la intimidad y uso de dispositivos digitales y a la desconexión digital en el ámbito laboral, el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, así como ante la utilización de sistemas de geolocalización.
Se mencionan, también, otros derechos muy en boga hoy en día, continuamente en los medios de información, como son el derecho al olvido en búsquedas de Internet, o en servicios de redes sociales y servicios equivalentes, así como el derecho a portabilidad de los datos.
Finalmente, se hace mención expresa a que el Gobierno elaborará un plan de acceso a internet que garantice el acceso a colectivos vulnerables, así como impulsar espacio de conexión de acceso público.
Practicas agresivas
Básicamente, se regula con claridad la consideración de prácticas agresivas, que serán aquellas prácticas de naturaleza comercial en las que, bien se coaccione el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales o bien, se actúe sin designación expresa del responsable o el encargado, como DPD.
Contratos
No se refiere sino exclusivamente a los contratos de encargado del tratamiento. Los que hayan sido firmados con anterioridad al 25 de mayo de 2018 se mantendrán vigentes hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
No obstante, lo anterior, durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el Reglamento.
Régimen Electoral
Probablemente, uno de los puntos que más controversia ha levantado, por su más que evidente utilidad electoral para los partidos. Se añade un nuevo artículo a la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que permitirá a los partidos políticos, coaliciones y agrupaciones electorales, utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral y el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, no tendrán la consideración de actividad o comunicación comercial.
Como elemento legislativo, previsiblemente garantista de los derechos individuales, se establece la obligatoriedad de facilitar al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
Empresarios individuales
Se considera la existencia de intereses legítimos y, por lo tanto, será lícito el tratamiento de datos de contacto de empresarios individuales y de profesionales liberales cumpliendo las premisas oportunas.
Tratamientos especiales de datos
El último punto a destacar y que creo que dará que hablar, es que la Ley indica que a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado NO bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
En definitiva, como suele ocurrir en la mayoría del cuerpo legislativo y muy especialmente en la materia que cos ocupa, la nueva Ley Orgánica si bien desde un punto de vista formal, entronca nuestro régimen jurídico con las normas europeas sobre la materia, parece claro que algunos aspectos quedan en un terreno cada vez más polémico, en especial con el desarrollo de las nuevas tecnologías.
Julián Grande Castillo, tutor del Máster en Compliance de IMF Business School.
Últimos posts de El Blog de IMF Smart Education (ver todo)
- ¿Vale la pena formarse en un MBA? - 18/01/2023
- Integración, procesos de planificación y certificación PMI - 19/05/2022
- Todo sobre un Consultor de Gestión de Proyectos - 10/05/2022