LA NUEVA LOPD-GDD: NOVEDADES EN MATERIA DE PROTECCIÓN DE DATOS

Recientemente se aprobó la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD). A estas alturas, son muchas las preguntas que recibimos los operadores jurídicos expertos en esta materia sobre el alcance de la nueva norma, y sobre qué implicaciones tiene para las personas físicas y jurídicas, ahora que estamos inmersos aún en la adaptación de autónomos y empresas al Reglamento General de Protección de Datos (RGPD) europeo.

Ciertamente, la posibilidad de innovación de la LOPD no podía ser muy grande, pues el RGPD tiene una jerarquía normativa superior y, por tanto, la ley española no podía contradecir aquellos preceptos comunitarios. Ahora bien, dado que el propio RGPD no acaba de concretar algunas cuestiones y se remite a los Estados para que desarrollen por ley aquellas previsiones o aquellos principios que quedan abiertos en la norma europea, sí podemos decir que la nueva LOPD-GDD aporta algunas novedades, de mayor o menor importancia en función de cual sea nuestra actividad.

De forma resumida, aquí enumeramos los principales aspectos que suponen una innovación o un desarrollo legal en la nueva LOPD:

CONSENTIMIENTO DE LOS MENORES

En el RGPD, la edad mínima para prestar el consentimiento al tratamiento de los datos personales no queda cerrado, y se remite a lo que los Estados decidan siempre y cuando esa edad esté comprendida entre los 13 y los 16 años.

En el primer proyecto de LOPD, se rebajó esa edad a los 13 años, pero finalmente el Congreso aceptado una enmienda de algunos grupos parlamentarios, y el texto que se aprobó finalmente en la Cámara Baja fijó la edad mínima para otorgar el consentimiento tal y como estaba antes, es decir, en 14 años (artículo 7).

TRATAMIENTO DE DATOS DE CONTACTO empresarios Y AUTÓNOMOS

Se legitima el tratamiento de los datos que sean estrictamente de contacto con empresarios y autónomos, en base al interés legítimo del responsable del tratamiento (artículo 19).

SISTEMAS DE INFORMACIÓN CREDITICIA

Las listas privadas de morosos, a las que pueden acceder las entidades financieras y otros organismos, serán lícitas si se ha informado previamente por vía contractual interesado de la posibilidad de incorporar sus datos en caso de tener una deuda líquida, vencida y exigible (artículo 20).

VIDEOVIGILANCIA

Se da rango de ley a la posibilidad de tratar imágenes y voz a partir de cámaras de videovigilancia, cuando se haga por motivos de seguridad o de control de los trabajadores. Hasta ahora, estos tratamientos de datos se iban haciendo invocando un interés legítimo del responsable (si se hacían para controlar a los trabajadores) o un interés público del mismo (si se hacían por razones de seguridad); ahora, pues, se da un plus de seguridad jurídica a los particulares ya las personas jurídicas estableciendo por ley orgánica esta posibilidad (artículos 22 y 89).

SISTEMAS exclusión PUBLICITARIA

Se da amparo legal a las asociaciones privadas que traten datos personales con el objetivo de evitar el envío de comunicaciones comerciales y publicitarias a sus asociados o inscritos. Estas entidades ejercerán unas funciones «casi-públicas», y colaborarán con l’AEPD.

Hasta ahora, en España la única lista de exclusión publicitaria que existe es la conocida como «Lista Robinson» (artículo 23).

DENUNCIAS INTERNAS

El artículo 24 de la LOPD-GDD incorpora el sistema de información de denuncias internas, que permite presentar denuncias internas de forma anónima por parte de cualquier persona o empleado respecto a la posible vulneración de la normativa de Protección de Datos.

Como requisito, se obliga al empresario a que informe de su existencia a los trabajadores de forma previa.

DELEGADO DE PROTECCIÓN DE DATOS (DPO)

La LOPD-GDD amplía las entidades que deben contar obligatoriamente con un DPO, exigiéndose lo platos a:

-los colegios profesionales

-los centros docentes y universidades públicas y privadas

-las entidades financieras

-las empresas de publicidad y prospección comercial

-los centros y clínicas de salud, públicos y privados (excepto los profesionales sanitarios autónomos)

-las empresas de seguridad privada

Por otra parte, la LOPD-GDD otorga una nueva competencia al DPO, ya que le atribuye capacidad resolutoria en las reclamaciones presentadas ante l’AEPD (artículo 34).

PROCEDIMIENTO de autorización DE L’AEPD PARA EFECTUAR TRANSFERENCIAS INTERNACIONALES DE DATOS

Cuando se pretenda transferir datos a un tercer Estado que no tenga la consideración de seguro según el Comité Europeo de Protección de Datos o la Comisión Europea, o en caso de que ese país no cuente con una decisión de adecuación, habrá previamente obtener una autorización de l’AEPD, en un procedimiento que podrá durar un máximo de 6 meses (artículo 42).

PROCEDIMIENTO SANCIONADOR POR VULNERACIÓN DE LOS DERECHOS A LA PROTECCIÓN DE LOS DATOS PERSONALES

El RGPD exige que haya un procedimiento en vía administrativa para los casos de vulneración de los derechos a la protección de datos de los particulares, pero en la práctica no establece ni concreta cómo debe ser este procedimiento, ni cómo se deben hacer los diferentes trámites procedimentales.

Pues bien, a la nueva LOPD hay un título completo (el VIII, artículos 63 al 69) que regula el procedimiento en cuestión. Este procedimiento ante l’AEPD deberá resolverse en el plazo de 6 o 9 meses, en función del tipo de reclamación que se presente.

Y como novedad importante, se establece la posibilidad de que l’AEPD pueda remitir una reclamación que se le haya presentado al responsable del tratamiento reclamado, para que éste la conteste y resuelva dentro del plazo indicado.

Como cuestión importante a destacar dentro del procedimiento sancionador, dijo que la nueva LOPD establece un régimen sancionador mucho más detallado de lo que lo hace el RGPD, que sólo indica las sanciones máximas que pueden imponerse por infracciones leves y graves, pero no concreta cómo se graduarán las infracciones y las sanciones ni cómo debe ser el procedimiento sancionador.

Ahora, la LOPD-GDD clasifica las infracciones no en dos sino en tres grupos (infracciones leves, graves y muy graves), y delimita con mayor seguridad jurídica cuáles infracciones entran dentro de cada grupo (artículos 72 a 74), aunque sigue la misma línea de inconcreción del RGPD respecto a los criterios de graduación para imponer las sanciones (artículo 76). Previsiblemente, será en vía reglamentaria que se establecerá un procedimiento más preciso y donde los criterios de graduación y ponderación queden más claros y, por tanto, se dé mayor seguridad jurídica a los ciudadanos.

DERECHOS DIGITALES

La nueva LOPD incorpora también, y de forma novedosa, un título completo (el X) en la garantía de los «derechos digitales», que básicamente son (artículos 80 al 89):

-la neutralidad de Internet

-el derecho de acceso universal a Internet

-el derecho a la seguridad digital

-el derecho a la educación digital

-el derecho a la «desconexión digital» en el ámbito laboral

a modo de conclusión, decir que aunque estas novedades pueden tener un alcance importante en determinados sectores, los pilares normativos básicos en materia de protección de datos sobre los que deberán trabajar las empresas y profesionales seguirán siendo los establecidos en el RGPD.

Así, para una buena adaptación a la normativa general de Protección de Datos, tendremos que seguir generando la misma documentación que ya venía imponiendo el RGPD, y tendremos que seguir teniendo en cuenta estos tres aspectos fundamentales cuya base sigue siendo la norma europea:

-la política informativa

-la política contractual

-la política de seguridad

Y finalmente, decir que tanto el RGPD como la nueva LOPD son normas generales que deberán complementarse con una norma especial de gran importancia, como es el Reglamento europeo de e-privacy o comercio electrónico, que ahora se está tramitando en las instituciones europeas.

Cuando este Reglamento europeo apruebe, deberá aplicar de forma preferente en todo lo referente a las comunicaciones electrónicas y llevará de nuevo importantes novedades en cuestiones como el comercio electrónico, el spam, el marketing electrónico o las políticas de cookies.