La entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

Written on 19 Dec 2018

El 7 de diciembre entró en vigor la Ley Orgánica 3/2018, de 5 de noviembre, de Protección de Datos y Garantía de los Derechos Digitales, que adapta a nuestro ordenamiento jurídico el Reglamento General de Protección de Datos, de aplicación desde el 25 de mayo de 2018, e incorpora y garantiza un nuevo conjunto de derechos digitales de la ciudadanía, conforme al mandato que se recoge en la Constitución Española.

Tras remitirse al Senado, en el que se presentaron 32 enmiendas que fueron rechazadas en votación final, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales ("LOPDGDD") fue finalmente aprobada el 6 de diciembre, derogando así la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo.

Entre las novedades introducidas por la LOPDGDD que vienen a aportar seguridad jurídica respecto a varios de los aspectos contenidos en el articulado del Reglamento General de Protección de Datos ("RGPD") destacan las siguientes:

  • Se incluye una regulación específica respecto al tratamiento de datos personales de personas fallecidas en la que se indica que, salvo que el fallecido hubiera dispuesto lo contrario, sus herederos podrán solicitar el acceso a los datos personales del fallecido, así como su rectificación y supresión.
  • Por lo que se refiere al tratamiento de datos de menores de edad basado en el consentimiento del propio menor, la ley española, haciendo valer la habilitación prevista en el RGPD, según la cual los Estados Miembros podrán fijar una edad inferior, la ha establecido finalmente en 14 años.
  • Por lo que se refiere a los derechos de los interesados, la LOPDGDD establece, por una parte, que el sistema de información por capas que ya venía siendo una recomendación establecida por la Agencia Española de Protección de Datos ("AEPD"), ahora adquiere rango normativo y delimita la información que se considera básica y que deberá ser proporcionada siempre al interesado.
  • La nueva norma también regula, de forma específica, ciertos tratamientos de datos personales cuya base jurídica podrá residir, salvo prueba en contrario, en el interés legítimo. Tal es el caso de los datos de contacto, cuyo tratamiento venía siendo objeto de debate, así como el tratamiento de datos con fines de videovigilancia, siempre que la captación de imágenes tenga como finalidad preservar la seguridad.
  • Se permite el anonimato en los sistemas de denuncias internas del sector privado, quedando limitado el acceso a los datos contenidos en estos sistemas a quienes desarrollen funciones de control interno y de cumplimiento, considerándose lícito acceder a ellos cuando sea necesario para adoptar medidas disciplinarias o tramitar procesos judiciales.
  • Respecto al delegado de protección de datos, la nueva normativa introduce concreción en relación con aspectos de esta figura que no quedaban contemplados en el RGPD, tales como el plazo en el que se debe comunicar a la AEPD su designación (que se fija en 10 días hábiles tras su nombramiento), las vías para la acreditación de sus conocimientos, su posición dentro de la organización, así como su rol ante la presentación de reclamaciones frente a la AEPD. Asimismo, se incluye un catálogo actualizado de entidades que deberán de forma obligatoria nombrar a un delegado de protección de datos.
  • En cuanto a las transferencias internacionales de datos, la LOPDGDD desarrolla los cauces a través de los cuales tanto la AEPD como las autoridades autonómicas de protección de datos podrán aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia y supuestos sometidos a información previa a la autoridad de protección de datos competente.
  • Por lo que se refiere al procedimiento a seguir en caso de vulneración de la normativa de protección de datos, se detalla, entre otros aspectos, la forma de iniciación del procedimiento (que variará según el interesado reclame una falta de atención al ejercicio de sus derechos en materia de protección de datos, o la existencia de una infracción), la duración del procedimiento (que no superará los 9 meses), el criterio que deberá seguir la agencia competente respecto a la admisión de reclamaciones, así como las actuaciones previas de investigación (que, en ningún caso, podrán superar los 12 meses),
  • Asimismo, se incorpora en la nueva LOPDGDD el régimen sancionador que ya se había plasmado en el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y que queda ahora derogado. Entre otros aspectos, se detallan las infracciones que serán categorizadas como leves, graves o muy graves, así como los plazos de prescripción de las infracciones que serán de 1, 2 y 3 años, respectivamente. Por lo que se refiere a la cuantía de las sanciones, la nueva normativa se remite a lo dispuesto en el RGPD a estos efectos.

Sin perjuicio de la importancia de las concreciones que realiza la LOPDGDD respecto a los aspectos ya regulados en el RGPD, la gran novedad de la LOPDGDD radica en el reconocimiento de un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en el artículo 18.4 de la Constitución. Aunque el número de derechos existente es mayor, destacamos los siguientes por su importancia y novedad:

  • Derecho de rectificación en Internet y a la actualización de informaciones en medios de comunicación digitales: obliga a los responsables de redes sociales, así como servicios equivalentes a adoptar protocolos para posibilitar al usuario el derecho de rectificación. Asimismo, se garantiza a cualquier persona, el derecho a solicitar la actualización de información en un medio digital, cuando la misma no refleje su situación actual.
  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: en línea con los criterios jurisprudenciales adoptados en nuestro país, se reconoce el derecho a la intimidad de los trabajadores respecto a los dispositivos digitales facilitados por el empleador para el desarrollo de su actividad laboral y obliga a las entidades no sólo a implementar criterios para su uso, sino que involucra en la elaboración de los mismos a los representantes de los trabajadores (si los hubiese). De todo ello, establece la LOPDGDD, el trabajador deberá ser debidamente informado.
  • Derecho a la desconexión digital en el ámbito laboral: los trabajadores, tanto de entidades públicas como privadas, tienen derecho al respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar, por lo que es necesario garantizar que fuera de su tiempo de trabajo estén desconectados. Para ello, el empleador deberá elaborar una política en la que se concreten las modalidades de ejercicio del citado derecho. Tal y como sucede con el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, también se deberá involucrar a los representantes de los trabajadores para la elaboración de la misma.
  • Derecho al testamento digital: aunque a priori la introducción de este derecho pueda parecer una nueva forma de disponer los bienes para después del fallecimiento, en el mismo se regula la legitimación que poseen una serie de sujetos (entre los que se encuentran los herederos, así como las personas vinculadas al fallecido por razones familiares o de hecho) para decidir acerca del mantenimiento o no de los perfiles personales en redes sociales o equivalentes que hubiera creado el fallecido.

En conclusión, la LOPDGDD ha ido un paso más allá y no se ha limitado únicamente a especificar o restringir las disposiciones del RGPD (tal y como regula el considerando 8), sino que ha incorporado una serie derechos digitales de los ciudadanos que a priori vienen a cubrir necesidades propiciadas por la rápida evolución de las nuevas tecnologías, pero sobre los que habrá que analizar si su aplicación práctica refleja la realidad y necesidad de los ciudadanos y el impacto que tienen en los prestadores de servicios de la sociedad de la información y proveedores de servicio de internet, que serán los principales afectados por la introducción de estos nuevos derechos.