El pasado 6 de diciembre de 2018, coincidiendo con el 40 aniversario de la Constitución, el BOE publicaba la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales, que entraba en vigor el día siguiente. Esta ley incorpora los conocidos como derechos digitales, que hasta ahora no estaban recogidos en la legislación española.

Los derechos digitales están recogidos en el Título X de la nueva LOPD (artículos del 79 al 97), bajo el epígrafe de “Garantía de los derechos digitales”. Además, estos se encuentran repartidos en 4 bloques: 1) Derechos de los ciudadanos en internet, 2) Derechos de los menores y la educación, 3) Derechos relacionados con el ámbito laboral y 4) Derechos de la era digital y las comunicaciones.

Garantía de los derechos digitales

• El primero de los derechos digitales que se garantiza en este nueva LOPD es del acceso y neutralidad de Internet. El derecho a Internet es un derecho humano desde 2011 para la ONU y ahora esta nueva ley reconoce que debe ser “universal, asequible, de calidad y no discriminatorio”.
• Se reconoce también el derecho a la seguridad digital, en las comunicaciones que los usuarios transmitan y reciban a través de Internet. Se trata de trasladar el artículo 18 de la Constitución en el que se recoge el derecho de privacidad de las comunicaciones al mundo digital.
• Derecho a la educación digital desde la etapa escolar a la universitaria, abogando por la formación de alumnos y profesores en los conocimientos digitales.
• La protección de los menores en Internet también aparece en la nueva LOPD, quedando encomendada a los padres y tutores, el ministerio fiscal y los centros educativos u otras entidades que desarrollen actividades en las que participen menores de edad.
• Derecho de rectificación en Internet: dentro de este apartado se recoge también la libertad de expresión en Internet, prohibiendo que se niegue el servicio o se bloquee la participación de los usuarios por sus opiniones. Además, reconoce el derecho a la rectificación de información publicada en redes sociales u otros servicios equivalentes.
• Derecho a la actualización de información en los medios de comunicación digitales: reconoce el derecho a que una noticia u opinión publicada en un medio de comunicación sea corregida y modificada si su información no se corresponde con la situación actual.
• Derechos digitales en el ámbito laboral: este es uno de los puntos más novedosos de esta nueva LOPD y reconoce los derechos digitales de los trabajadores en el ámbito laboral. En este apartado se recogen derechos como la intimidad en los dispositivos digitales, la desconexión digital una vez finalizado el horario laboral, la intimidad frente a dispositivos de videovigilancia, grabación de sonido y geolocalización por GPS; y por último la posibilidad de que una posible negociación colectiva añada más puntos a este apartado.
• Derecho al olvido digital; tanto en buscadores como en redes sociales. Este derecho en ningún caso afecta a los medios de comunicación, sino a los buscadores que indexan las noticias y a las redes sociales o servicios similares, que deberán eliminar la información personal a solicitud de la persona afectada.
• Posibilidad del testamento digital: regula la eliminación, rescate o conservación del legado digital de una persona después de su fallecimiento. Este legado digital incluye: blogs, perfiles en redes sociales, cuentas de correo electrónico, documentos gráficos y fotográficos digitales, etc.

Estas son las principales garantías de los derechos digitales que se incluyen en la nueva LOPD que entró en vigor el pasado 7 de diciembre, para adaptar el RGPD europeo a la normativa española.

El Reglamento General de Protección de Datos (RGPD) es de obligatorio cumplimiento desde el 25 de mayo de este mismo año.

Se trata de la normativa europea sobre protección de datos personales que afecta, entre otros, a pymes y autónomos.

Y, aunque el RGPD obliga a todos los países miembro de la Unión Europea, quedaba pendiente que cada país acometiera la aprobación de legislación propia al respecto para darle debido cumplimento.

Aunque más tarde de lo esperado, ya que estaba pendiente desde hacía varios meses, el Senado ya ha ratificado el documento que nos obligará a los españoles.

Mientras su publicación en el Boletín Oficial del Estado (BOE) marcará la fecha en que entrará en vigor, en Infoautónomos queríamos adelantarnos y ofreceros las claves de esta Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPD GDD).

Objetivo de la LOPDGDD

El objetivo de la Ley es garantizar la protección de los datos personales de las personas físicas. Incluyendo mecanismos de seguridad para el tratamiento y la disposición de éstos.

Y, por ello, se aplica al tratamiento total o parcial, y automatizado o no, de los datos personales.

Además, se incluye como novedad, la protección de los datos de personas fallecidas que pueden ser ejercidos por sus familiares o herederos para solicitar su rectificación o supresión. Y, en caso, de tratarse de menores, este derecho también puede ser ejercido por el Ministerio Fiscal.

Principios y Derechos de la LOPDGDD

Básicamente pueden quedar establecidos en tres principios:

1. Los datos tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos.
2. Se recoge el deber de confidencialidad tanto para el responsable del tratamiento de los datos, como para todo aquel que intervenga en el proceso.
3. Es necesario el consentimiento expreso del titular de los datos para poder recabarlos y usarlos. Por tanto, tiene que ser informado, de manera inequívoca, de para qué será usada su información.

El titular de los datos personales tiene derecho a saber quién es el responsable del tratamiento de su información, y debe tener acceso, de forma sencilla e inmediata, a él, que además, debe informar sobre los medios disponibles para ejercer sus derechos.

Para conocer esos derechos la legislación española remite a la europea. En el RGPD se establecen:

1. Derecho a rectificar tus datos inexactos o incompletos.
2. De oposición al tratamiento de los datos.
3. A suprimir tus datos si se usan para fines ilícitos o llega a término la finalidad para la que fueron recabados.
4. Derecho a conocer para qué van a ser usados y el plazo de uso de los mismos.
5. A solicitar la suspensión del tratamiento de tus datos, la conservación y la portabilidad de los mismos.

Figura del Delegado de Protección de Datos en la LOPDGDD

Según el RGPD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:

1. En caso de que el tratamiento de los datos corre a cargo de una autoridad u organismo público.
2. Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
3. Y si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Este punto del Reglamento europeo había creado mucha confusión ya que no quedaba claro, sobre todo por lo impreciso de los puntos 2 y 3, cuándo sí y cuándo no era obligatorio tener un DPD.

La LOPD se ha curado en salud y establece hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia.

Entre otros: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión…

Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos Española y/ o, en su caso, las autoridades autonómicas de protección de datos. Ambos organismos están obligados a tener una lista actualizada de esos delegados.

Y los Delegados están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

Régimen sancionador en la LOPDGDD

Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.

La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.

La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.

Así, el régimen español de infracciones se divide en:

Muy graves:

Las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…

Este tipo de infracción prescribe a los 3 años.

Graves:

Las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.

Este tipo de infracción prescribe a los 2 años.

Leves:

Las restantes que no queden contempladas en los grupos anteriores.

Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.

Ya está en vigor la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD), que actualiza la legislación española de acuerdo con el Reglamento General de Protección de Datos (RGPD) y, además, revisa y amplía las obligaciones digitales de las organizaciones que lleven a cabo algún tipo de tratamiento. Su publicación en el Boletín Oficial del Estado (BOE) se ha hecho esperar más de la cuenta, pero ayer, coincidiendo con el Día de la Constitución, el texto, finalmente, vio la luz.

La LOPD cuenta con 97 artículos, repartidos en 10 títulos. El más novedoso, el que contiene el catálogo de derechos digitales (Título X, artículos 79 a 97), entre los que se encuentran el derecho a la actualización de informaciones en medios de comunicación digitales, el derecho a la intimidad y uso de dispositivos en el ámbito laboral o el derecho a la desconexión digital en el trabajo. Aunque, como ha advertido Mar España, directora de la Agencia Española de Protección de Datos (AEPD) en una reciente entrevista en Cinco Días, no se ha precisado el Ministerio u organismo público encargado de garantizar el cumplimiento de muchos de ellos.

Las empresas que traten datos personales tendrán que proporcionar al afectado la siguiente información: la finalidad del tratamiento; y la posibilidad de ejercer los derechos contenidos en el RGPD. Y, además, debe facilitar el acceso de forma «sencilla e inmediata» (a través de una dirección electrónica o cualquier otro medio) al resto de datos que la normativa exige que sean ofrecidos por las organizaciones.

Los responsables de tratamiento están obligados, además, a informar a los afectados de los medios a su alcance para ejercer sus derechos. Vías que «deberán ser fácilmente accesibles». La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de un derecho recae sobre el responsable.

Pincha aquí para conocer todas las novedades de la nueva LOPD