Nueva LOPD

Ya está aquí la nueva LOPD (y afecta a tu negocio)

El pasado Día de la Constitución se publicó en el BOE la nueva LOPD. Se trata de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En materia de protección de datos personales, desde el pasado 25 de mayo, en toda la Unión Europea es obligatorio el cumplimiento del Reglamento de la UE 2016/679 de 27 de abril de 2016 (el llamado RGPD).

Por eso, muchos no entienden el por qué de esta nueva ley. Vamos a intentar explicarlo de la manera más sencilla posible.

El RGPD no derogó completamente la anterior LOPD (de 1999), sino únicamente sus artículos que estaban en desacuerdo con el Reglamento. Por eso, los artículos que no contradecían al RGPD y que trataban sobre temas no regulados en el RGPD seguían vigentes. Eso hasta el día 7 de diciembre, en que entró en vigor la nueva LOPDP (3/2018), que ya ha derogado completamente la anterior LOPD.

La nueva LOPD adapta el derecho español al modelo establecido por el RGPD europeo e introduce también algunas novedades mediante el desarrollo de materias contenidas en dicho Reglamento.

Cambios que introduce la nueva LOPD

Los cambios que introduce la nueva Ley Orgánica 3/2018 afectan a la mayoría de empresas españolas (pequeñas, medianas y grandes). Las empresas tienen que asegurarse de que cumplen completamente con la nueva LOPD porque si no, podrían enfrentarse a importantes sanciones por parte de la AEPD.

La AEPD es la Agencia Española de Protección de Datos, que es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos en España.

Supone un cambio o desarrollo de lo ya indicado en el RGPD lo siguiente:

  • La nueva LOPD facilita que los ciudadanos puedan ejercer sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. También se regula cómo debe informarse a las personas sobre el tratamiento de sus datos. En el ámbito de internet, la nueva LOPD habla de un sistema de información por capas. Esto permitirá al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento y después, pinchando en un enlace directo, podrá profundizar en los detalles del tratamiento.
  • El texto regula el derecho al olvido, que ya aparecía en el RGPD pero no había sido desarrollado. Habla del derecho al olvido en redes sociales y todos los servicios de la sociedad de la información equivalentes. Sin embargo, exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
  • Respecto a personas fallecidas, por primera vez se reconocen el derecho de acceso y, en su caso, de rectificación o supresión de sus datos por parte de quienes tuvieran vinculación por razones familiares o de hecho, así como sus herederos. La nueva LOPD limita el ejercicio de estos derechos si el fallecido lo hubiera prohibido antes de morir.
  • Sobre los menores. Se fija en 14 años la edad a partir de la cual pueden prestar consentimiento para el tratamiento de sus propios datos personales. En el caso de menores por debajo de esa edad, serán los titulares de la patria potestad quienes podrán ejercitar, en su nombre y representación, los derechos de acceso, rectificación, cancelación, oposición, limitación, supresión, portabilidad o derecho al olvido.
    La nueva LOPD también regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
  • La nueva LOPD refuerza las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet. Incluye esta formación en los currículums académicos y exige que el profesorado reciba una adecuada instrucción en esta materia. Para ello, en el plazo de un año, el Gobierno deberá remitir un proyecto de ley dirigido a garantizar estos derechos. Las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.

Cambios que más afectan a las empresas

  • La nueva LOPD contempla los sistemas de denuncias internas anónimas. A través de ellos, puede ponerse en conocimiento de una empresa la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Esto permite a las personas jurídicas acreditar la diligencia necesaria para quedar exentas de responsabilidad penal, si hacen todo lo posible por corregir ese incumplimiento. De este modo, la ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
  • En el ámbito laboral hay cambios importantes. La nueva LOPD actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. También refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados. complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización, de los que deberán ser informados.
    Modifica también el Texto Refundido de la Ley del Estatuto de los Trabajadores, añadiendo un nuevo artículo 20 bis, que recoge la desconexión laboral: Especifica los usos autorizados de los dispositivos digitales en el ámbito laboral, para preservar la intimidad de los trabajadores, estableciendo periodos en los que estos dispositivos puedan ser usados para fines probados.
  • Hay un cambio del periodo máximo para mantener en los sistemas de información crediticia los datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito (los conocidos como ficheros de morosos). Se reduce de 6 a 5 años y se exige una cuantía mínima de 50 euros para poder incorporar las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
  • Para poner coto a irregularidades en la adaptación al RGPD que se han detectado en las prácticas de algunas empresas o profesionales, la nueva LOPD también modifica la Ley de Competencia Desleal. Pasa a considerar como prácticas agresivas las que tratan de suplantar la identidad de la AEPD o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’, con el fin de limitar asesoramientos de ínfima calidad a las empresas. Muchas han pagado creyendo que iban a cumplir con el RGPD y se han encontrado que no era así.

La novedad más polémica

Aunque, sin duda, la novedad que más polémica ha generado es la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. Añade un nuevo artículo (58 bis), que permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes. Y los datos personales podrán obtenerse en páginas web u otras fuentes de acceso público para realizar actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Este último punto ha suscitado un gran revuelo. Porque el uso de datos personales relativos a una opinión política quedará amparado por el interés público si se ofrecen garantías adecuadas. Y los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

La AEPD responde intentando establecer un criterio sobre las cuestiones electorales en la nueva LOPD. Manifiesta que no se permite la elaboración de perfiles basados en opiniones públicas, ni el envío de información personalizada basada en perfiles ideológicos o políticos. Aunque sí se permite recopilar (no tratar) datos personales relativos a opiniones políticas, siempre cumpliendo con las garantías que establece el Reglamento General de Protección de datos (RGPD).

A pesar de lo manifestado por la AEPD, según nuestro criterio y el de muchos otros profesionales especializados en la Protección de Datos, existe un riesgo importante de inseguridad jurídica. Hay que recordar que el tratamiento de datos que revelen opiniones políticas supone un tratamiento de categoría especial de datos y ello conlleva la necesidad de unas garantías adecuadas.

Lo grave de esto es que el acceso a dichos datos puede conllevar tener información sobre quién es simpatizante de un partido o quién no lo es.

Y es más, ¿cuánto tiempo pueden conservarse esos datos?

De momento, con la nueva LOPD aprobada, como medio de protección y en cumplimiento de las garantías introducidas por el RGPD, el ciudadano puede ejercitar el derecho de oposición que debe facilitarse en un modo sencillo y gratuito.

Pero no descartamos que la nueva LOPD sea recurrida ante el Tribunal Constitucional, como ya anunciaron algunos grupos políticos.

Remarca los principios ya incluidos en el RGPD

Establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado.

Reconoce el consentimiento y el interés legítimo como los medios que habilitan para el tratamiento de los datos personales. En ambos casos, han de darse de manera previa al tratamiento.

Elimina el concepto de consentimiento tácito que existía en la antigua LOPD. Otorgar el consentimiento debe ser una acción positiva y expresa. Además, este consentimiento explícito ha de ser verificable, es decir, se ha de poder demostrar que se ha obtenido respetando lo ya avanzado por el RGPD.

Las empresas deben proteger los datos de sus clientes y en ningún momento podrán compartirlos o cederlos sin su consentimiento. También tendrán que utilizar un cifrado fuerte para su protección, especialmente si se trata de datos de especial protección (menores, salud, antecedentes penales, origen étnico, creencias religiosas o ideológicas, etc.).

También se habla del principio de transparencia en la nueva LOPD. Se refiere a que los interesados han de ser informados del tratamiento de sus datos, de manera clara y precisa, con un lenguaje natural y claramente comprensible.

Las listas de exclusión publicitaria, conocidas como Listas Robinson, son ficheros creados para evitar el avasallamiento publicitario del SPAM, tanto por vía telefónica, email, mensajes de texto, correo postal, etc. La nueva LOPD habilita el tratamiento de las listas Robinson como lícito, con la finalidad de que los usuarios puedan dejar de recibir ese tipo de comunicaciones comerciales.

Los principios de limitación del tratamiento y portabilidad de los datos personales. Estos nuevos derechos se unen a los que ya reconocía la antigua LOPD (de acceso, rectificación, oposición y cancelación).

La nueva LOPD introduce en la legislación española la figura del Delegado de Protección de Datos, ya contemplado en el RGPD. En el ámbito internacional, esta figura se conoce como el Data Protector Officer (DPO).

Se trata de una persona física o jurídica, cuya designación hay que comunicar a la Agencia Española de Protección de Datos (AEPD). Su existencia es obligatoria para organismos públicos y determinadas empresas. En caso contrario, estarían cometiendo una infracción grave, sancionable por la AEPD.

 

Si aún te quedan dudas sobre si tu negocio o empresa está cumpliendo con la legislación vigente en materia de Protección de datos o si necesita un Delegado de Protección de datos, ponte en contacto con nosotros.

Tags:
,


Compartir