El pasado 21 de noviembre, tras más de un año desde que comenzara su tramitación parlamentaria, el pleno del Senado aprobaba el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Este proyecto viene a adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y completar sus disposiciones. Dado que el proyecto no ha sufrido ninguna modificación desde que fuera remitido por el Congreso de los Diputados al Senado, éste ha quedado definitivamente aprobado y ha entrado en vigor como Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDYGDD).
De la nueva norma compuesta de 97 artículos, divididos en 10 títulos y con 22 disposiciones adicionales, 6 transitorias, 1 derogatoria y 16 finales, se pueden extraer una serie de novedades respecto de la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Personas fallecidas. Tanto los familiares (incluido herederos) como personas vinculadas al fallecido por razones de hecho podrán solicitar el acceso a los datos de dicha persona y, en su caso, su rectificación y/o supresión. Sin embargo, los mencionados derechos no podrán ejercitarse si la persona fallecida lo hubiera prohibido expresamente o si así lo establece una ley.
Edad mínima. La LOPDYGDD mantiene en 14 años la edad mínima para poder tratar los datos personales en base al consentimiento del menor.
Transparencia. En aras a evitar documentos engorrosos y de complicada lectura, la LOPDYGDD ha reducido la información que debe contener la primera capa. Ahora, solo se requerirá, como regla general, que se informe sobre: (i) la identidad del responsable y de su representante, en su caso; (ii) la finalidad del tratamiento; y (iii) la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD. Por tanto, ya no será necesario cumplir con lo que indicaba sobre esta primera capa la Guía para el cumplimiento del deber de informar publicada por la Agencia Española de Protección de Datos.
Datos de naturaleza penal y administrativa. A diferencia de lo que preveía la LOPD, la LOPDYGDD ha regulado en distintos artículos el tratamiento de datos de naturaleza penal (artículo 10) y los relativos a infracciones y sanciones administrativas (artículo 27). Sin perjuicio de que habrá que esperar a las interpretaciones que de éstos artículos haga la Agencia Española de Protección de Datos (AEPD), esta nueva regulación (en concreto el artículo 27.1) podría permitir a entidades privadas el tratamiento de datos relativo a infracciones y sanciones administrativas en tanto en cuanto dicho tratamiento únicamente se ha regulado en relación con la administración pública (al hacer referencia expresa al artículo 86 del RGPD).
Tratamientos de datos específicos. El Título IV de la LOPDYGDD viene a regular una serie de tratamientos específicos. Entre otros, destacamos:
- Datos de contacto. En relación con los datos de contacto en el ámbito profesional, la LOPDYGDD prevé que estos tratamientos están amparados en el interés legítimo siempre y cuando: (i) el tratamiento se refiera únicamente a los datos necesarios para la localización profesional; y (ii) que la finalidad del tratamiento sea únicamente mantener el contacto con la persona jurídica en la que el individuo preste sus servicios. Esta misma habilitación se extiende a los datos relativos a empresarios y profesionales liberales.
- Sistemas de información crediticia. A diferencia de la normativa anterior, se recoge con un grado mayor de detalle los requisitos y el procedimiento a seguir para poder incorporar datos personales relativos a incumplimiento de obligaciones dinerarias a dichos sistemas. Además, tal y como se prevé en la disposición adicional sexta, solo las deudas cuya cuantía principal sea superior a los cincuenta euros podrán incorporarse a los sistemas de información crediticia.
Además, la LOPDYGDD considera expresamente como corresponsables del tratamiento a las entidades que mantengan el sistema de información crediticia y a las acreedoras.
- Operaciones mercantiles. Aunque en la práctica ya se venía haciendo con las salvaguardas pertinentes, la LOPDYGDD prevé expresamente en el contexto de determinadas operaciones mercantiles, el tratamiento de datos, incluida su comunicación con carácter previo, para el buen fin de la operación y, cuando corresponda, la continuidad en la prestación de servicios.
Adicionalmente, se recoge la obligación por parte de la entidad cesionaria de suprimir los datos que haya recibido con carácter inmediato, sin que le sea de aplicación la obligación de bloqueo, en aquellos casos en los que la operación no llegue a buen puerto.
- Videovigilancia. En cuanto a la videovigilancia, y dejando de lado los requisitos de información y bloqueo, se menciona expresamente la obligación de poner a disposición de la autoridad competente en un plazo máximo de setenta y dos horas todas aquellas imágenes que se hayan conservado para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
- Sistema de exclusión publicitaria. También se regulan las llamadas Listas Robinson, cuya creación deberá ser comunicada a la autoridad de control competente así como el modo en que los afectados podrán incorporarse a los mismos. En este sentido, la LOPDYGDD también recoge la obligación de informar sobre los sistemas de exclusión publicitaria existentes a aquellos afectados que manifiesten a un responsable su deseo de no recibir comunicaciones comerciales.
- Sistemas de información de denuncias internas. Asimismo, la LOPDYGDD ha dedicado un artículo a los sistemas de Whistleblowing y como principal novedad debe destacarse que, al contrario de lo que la AEPD había venido diciendo, se permiten las denuncias anónimas. Este artículo también limita el número de personas que dentro de una organización podrán acceder a estos sistemas y establece la necesidad de diseñas sistemas que permitan preservar la identidad y confidencialidad de los datos relativos a las personas afectadas por la información suministrada.
Delegado de protección de datos. En línea con lo previsto en el artículo 37 del RGPD, la LOPDYGDD lista de manera exhaustiva las entidades que obligatoriamente, tanto en su rol como responsable como de encargado del tratamiento, deberán nombrar a un delegado de protección de datos. Entre otras entidades, se recogen colegios profesionales, centros docentes, determinados prestadores de servicios de la información, entidades reguladas, empresas de seguridad privada, federaciones deportivas cuando traten datos de menores de edad, etc.
Régimen sancionador. Entre otras circunstancias, la LOPDYGDD prevé que “la reversión deliberada de un procedimiento de anonimización para permitir la re-identificación” tenga la consideración de infracción muy grave y la notificación tardía de brechas de seguridad de infracción leve.
En relación con la graduación de las sanciones, la LOPDYGDD prevé como atenuantes, entre otros, el disponer de un delegado de protección de datos, cuando no fuera obligatorio y el someterse voluntariamente a mecanismos de resolución alternativa de conflictos.
Derechos Digitales. Como una de las mayores novedades de la LOPDYGDD, el título X de dicha norma recoge una serie de nuevos derechos que en su conjunto vienen a denominarse derechos digitales, entre otros: (i) derecho a la neutralidad de Internet; (ii) derecho de acceso universal a Internet; (iii) derecho a la seguridad digital; (iv) derecho a la educación digital; (v) derecho de rectificación en Internet; (vi) derecho a la actualización de la información en medios de comunicación digitales; (vii) derecho al olvido en Internet y servicios de redes sociales; (viii) derecho a la portabilidad en servicios de redes sociales y servicios equivalentes; y (ix) derecho al testamento digital.
En este mismo título se regulan también un elenco de derechos relevantes a nivel laboral: (i) derecho a la intimidad y el uso de dispositivos digitales; (ii) derecho a la desconexión digital; (iii) derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo; (iv) derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral; y (v) derechos digitales en la negociación colectiva.
Disposiciones adicionales. De entre todas las disposiciones adicionales de la LOPDYGDD, se puede destacar la relativa a los tratamientos de la salud, que ampara dichos tratamientos en las letras g), h), i) y j) del artículo 9.2. del RGPD que se encuentren regulados en la Ley General de Sanidad, Ley de Prevención de Riesgos Laborales y en la Ley de Investigación biomédica, entre otras.
Disposiciones transitorias. Tal y como se indica en la disposición transitoria quinta, seguirán siendo válidos los contratos de encargo suscritos con anterioridad al 25 de mayo de 2018 hasta su vencimiento o, en el caso de que se hubiera pactado una duración indefinida, hasta el 25 de mayo de 2022.
Disposiciones finales. En las disposiciones finales de la LOPDYGDD se incluyen numerosas modificaciones legislativas para, entre otras cuestiones, adaptar dichas normas al RGPD. Junto con la controvertida inclusión de un nuevo artículo 58 bis en la Ley Orgánica del Régimen Electoral General relativo al uso de medios tecnológicos y datos personales en las actividades electorales, las modificaciones versan también sobre la conservación del historial clínico del paciente, el ejercicio de derechos sobre datos censales y el derecho de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión, etc.