- 1 marzo, 2019
- Categorias: Protección de Datos
El pasado 25 de mayo entró en vigor el Reglamento Europeo de Protección de Datos (RGPD) introduciendo importantes y profundos cambios en la obligaciones en materia de protección de datos de las empresas, trasladando así la responsabilidad a las empresas, considerando que las mismas ya son “mayores de edad” en materia de protección de datos, debiendo ocupar ahora un papel protagonista en la prevención de riesgos y adopción de las correspondientes medidas de seguridad, todo ello con una actitud proactiva.
Pese a que este reglamento era de aplicación directa, la antigua Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre siguió vigente en lo que no contradijera el reiterado reglamento, hasta su derogación el pasado 6 de diciembre con la publicación de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales, a través de la cual se ampliaba el Reglamento General de Protección de Datos que entró en vigor el pasado 25 de mayo de 2018 a nivel europeo.
Teniendo en consideración lo anterior, en el presente artículo vamos a centrarnos a las principales novedades que aparecen en la Ley Orgánica 3/2018, que consideramos que son las siguientes:
Consentimiento expreso – Edad 14 años
La LOPD establece, como ya lo hacía el RGPD, que cuando un tratamiento de protección de datos se pretenda fundar en el consentimiento prestado por el interesado, dicho consentimiento deberá ser expreso, dejando de ser válido el consentimiento tácito. Lo que si es una novedad de la Ley es que la edad mínima para un consentimiento expreso válido será de 14 años (Artículo 7).
Obligatoriedad DPD
La figura del Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO) es una novedad introducida por el RGPD.
El artículo 14 de la Ley establece que tanto los Responsables del Tratamiento, como los Encargados deberán designar un DPD determinados tipos de entidades, además de los supuestos establecidos en el artículo 37.1 del RGPD, de los que destacamos los siguientes:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad
Desconexión en el ámbito laboral
Los artículos 87 a 90 establecen una especial protección de los derechos del trabajador por lo que respecta a la intimidad, desconexión digital, dispositivos de videovigilancia, y sistemas de geolocalización.
Derecho al olvido
Pese a que ya existía como concepto jurisprudencial, y se introdujo a través del RGPD, vemos como la LOPD distingue en sus artículos 93 y 94 el derecho al olvido en motores de búsquedas de Internet, cuando los datos fuesen inadecuados, inexactos, desactualizados, etc…así como en redes sociales y servicios equivalentes cuando el interesado solicite la supresión de sus datos.
Derecho a testamento digital
La nueva LOPD introduce en su artículo 96 el derecho a que aquellas personas vinculadas a un fallecido puedan dirigirse a los prestadores de servicios de la sociedad de la información con el fin de acceder a dichos contenidos así como dar instrucciones acerca de la utilización, supresión o destino de los mismos, pudiendo decidir acerca del mantenimiento o eliminación de los perfiles de redes sociales.
Conviene destacar la nueva figura de albacea digital, que será aquella persona designada por el fallecido para gozar de las anteriores facultades.
Sanciones
El RGPD establecía sanciones muy importantes, que, podían ascender a 10 millones de euros o el 2% de la facturación del ejercicio anterior de la sociedad en las infracciones menos graves y 20 millones de euros o el 4% de la facturación de la sociedad ante las infracciones muy graves.
La Ley Orgánica ha matizado la normativa europea, en tanto que en el TITULO IX clasifica y distingue las infracciones entre leves, graves y muy graves estableciendo además su plazo de prescripción.
- Muy graves: Estas infracciones prescriben a los 3 años.
- Graves: Estas infracciones prescriben a los 2 años.
- Leves: Estas infracciones prescriben al año.
Si necesita asesoramiento sobre protección de datos, póngase en contacto con nuestro servicio de Protección de Datos. Nuestro equipo de consultores y abogados podrán asesorarle.
Lluís Valls
Abogado especializado en Protección de Datos