Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales

Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales

Claves para entender la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales

La nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD GDD), aprobada en el Congreso de los Diputados y publicada en el BOE el 6/12/2018, asienta los principios establecidos por el Reglamento General de Protección de Datos europeo (RGPD), a la vez que, introduce matices y novedades aplicables al territorio español.

A pesar de que el reglamento europeo es de aplicación a todos los miembros de la Unión Europea, cada país desarrolla su propia legislación al respecto para darle cobertura.

De este modo, se deroga la Ley Orgánica de Protección de Datos 15/1999 (LOPD), con una nueva normativa adaptada al actual panorama digital, que pretende dar cobertura a los datos que, más que navegar, vuelan (y no siempre de manera adecuada), en Internet.

Diferencias principales entre LOPD y LOPD GDD. Novedades

El principio básico, tanto del RGPD como de la nueva LOPD GDD, es garantizar el derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales, protegido en la Constitución Española, con mecanismos de seguridad adaptados a los nuevos medios digitales.

Así pues, el principio básico es que se proporcione una información completa y veraz al ciudadano cuando este va a facilitar sus datos (se exige el consentimiento expreso). Además, la ley recoge el derecho a rectificar datos inexactos, supresión de los mismos y el fácil acceso a estos.

En lo relacionado con los menores de edad, se establece en 14 años la edad para prestar su consentimiento de manera autónoma y se regula el derecho a solicitar la supresión de datos facilitados a redes sociales durante la minoría de edad. Por otro lado, se definen unas obligaciones al sistema educativo en torno a una formación completa que garantice un uso seguro de los medios digitales.

LOPDGDD Menores de edad

Otro aspecto novedoso, es el llamado derecho al ‘testamento digital’, donde los familiares pueden acceder, rectificar o suprimir, según el caso, los datos de fallecido, salvo que este lo prohibiese expresamente.

El derecho al olvido en redes sociales e Internet también se recoge en esta normativa. Esto permite al usuario reclamar la modificación de aquellos datos presentes en el medio online que contengan información obsoleta o desactualizada. En algunos casos, incluso, podría exigirse la supresión.

Igualmente, se citan los nuevos derechos digitales para los trabajadores entre los que destaca especialmente la desconexión digital. Si bien los tribunales han constatado la ilegalidad que supone que los empresarios den instrucciones a sus trabajadores fuera del horario de trabajo, hasta la fecha no se había plasmado en una ley. Ahora, con la LOPD GDD se garantiza a los trabajadores la desconexión laboral para evitar que padezcan fatiga informática.

Desconexión digital trabajadores

Se actualiza también el derecho a la intimidad de los empleados en el uso de dispositivos de videovigilancia en el puesto de trabajo y se incorpora el derecho a preservar la intimidad en los dispositivos digitales corporativos, así como la utilización de sistemas de geolocalización en el ámbito laboral.

Por otro lado, la LOPD GDD reconoce el derecho al acceso a ficheros públicos y eclesiástico por parte de las familias pertenecientes al denominado colectivo ‘bebés robados’. Asimismo, en una disposición adicional se hace referencia expresa a que se atiendan las peticiones de acceso a estos archivos públicos cuando sean objeto de investigaciones judiciales.

Quién está obligado a cumplir la LOPD GDD

Tanto el RGPD como la nueva LOPD es de aplicación a sociedades mercantiles, organismos públicos, las comunidades de bienes, autónomos, asociaciones, administraciones públicas, entidades sin ánimo de lucro y comunidades de propietarios. Es decir, cualquier empresa privada o pública y todas las personas que usen cualquier dato personal durante el transcurso de su actividad profesional.

Cómo afecta la nueva normativa a mi empresa si ya cumplo con el RGPD

En la nueva ley se concreta la figura definida por el RGPD como ‘Delegado de Protección de Datos’, señalando hasta 16 casos concretos en los que esta figura tiene que estar integrada obligatoriamente en la estructura empresarial. Entre otros, destacan los colegios profesionales, centros de enseñanza, aseguradoras, establecimientos financieros de créditos y empresas de servicios de inversión.

La función del delegado es ser un interlocutor entre el encargado del tratamiento de datos en la empresa y la Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas de protección de datos. De este modo, se debe informar a ambas entidades de quién es el delegado de la empresa.

El perfil de esta figura debe tener titulación universitaria que acredite conocimientos especializados en derecho y en la práctica de protección de datos.

Sanciones por incumplir la nueva ley

En lo referido al régimen sancionador, la LOPDGDD también concreta las sanciones recogidas en el RGPD, que pueden alcanzar los 20 millones de euros. De esta manera, la ley española mantiene la clasificación de la LOPD en muy grave, grave y leve, dependiendo del grado de afectación de los datos.

Se entiende por muy grave aquellas infracciones basadas en la vulneración sustancial del tratamiento, relacionadas con el uso de los datos para una finalidad diferente a la anunciada, la exigencia de pago al ciudadano para acceder a los datos propios almacenados, etc. La sanción en estos casos es de un importe superior a 300.000 euros y prescribe a los 3 años.

Es considerado como infracción grave aquellas que supongan una vulneración sustancial del tratamiento y estén relacionadas con los datos de un menor adquiridos sin su consentimiento, por incumplir la obligación de nombrar un responsable del tratamiento de datos o falta de medidas técnicas para garantizar una protección de datos efectiva. La sanción oscilan entre 40.001 y 300.000 euros, prescribiendo estas a los 2 años.

Por último, como infracción leve son las restantes no englobadas en los dos anteriores tipos. Prescriben al año con un importe igual o inferior a 40.000 euros y contemplan casos como el incumplimiento por parte del encargado de sus obligaciones, no transparencia de la información, etc.