NOVEDADES DE PROTECCION DE DATOS, LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE (LOPDGDD)

El presente informe de protección de datos, tiene por principal objeto informar de las disposiciones más relevantes establecidas por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales qué afectan al tratamiento de datos personales y que no se encuentran reguladas en el Reglamento Europeo UE 679/2016.

A meros efectos explicativos y más gráficos, detallaremos a continuación las principales novedades de protección de datos, desde el punto de vista técnico.

Consentimiento de los menores de edad

El consentimiento será legítimo cuando el interesado sea mayor de 14 años, excepto si la ley exige la asistencia de los titulares de la patria potestad o tutela.

El consentimiento para menores de 14 años será legítimo si consta el del titular de la patria potestad o tutela.

Tratamiento de datos de naturaleza penal

El tratamiento relativo a condenas e infracciones penales, o procedimientos y medidas cautelares y de seguridad conexa, solo podrá llevarse al amparo de una ley o por abogados y procuradores para el ejercicio de sus funciones.

Disposiciones generales sobre ejercicio de los derechos

Derecho de acceso

Cuando el Responsable del tratamiento (en adelante RT)  trate una gran cantidad de datos de un interesado, podrá  solicitarle antes de facilitar la información, que especifique los datos o actividades de tratamiento a los que se refiere la solicitud.

El derecho de acceso se entenderá por atendido cuando el RT comunique al interesado un enlace a un sistema de acceso remoto, directo y seguro a los datos que garantice, de modo permanente, el acceso a su totalidad.

Derecho de rectificación

El RT podrá solicitar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de rectificación.

Derecho de supresión

Cuando la supresión derive del ejercicio del derecho de oposición el RT podrá conservar los datos identificativos del interesado con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Derecho a la limitación del tratamiento

Cuando un tratamiento esté limitado, deberá constar claramente en los sistemas de información del RT.

Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales

Los datos de contacto y los relativos a la función o puesto desempeñado por las personas físicas que presten servicios en una persona jurídica, se presumirán amparados en el interés legítimo, cuando:

  • Sean necesarios para su localización profesional.
  • La finalidad del tratamiento sea únicamente mantener relaciones con la persona jurídica.
  • Los datos sean de empresarios individuales y/o profesionales liberales.

 

A tener en cuenta que en el considerando 14 del RGPD estos datos no se consideraban personales (es decir, si se tratan datos de autónomos con la ley si quedan dentro del ámbito de protección):

“La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.”

Sistemas de información crediticia (fichero morosos Asnef..)

Se presumirá lícito el tratamiento relativo al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:

  • Los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
  • Los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
  • El acreedor haya informado al interesado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.
  • Los datos se mantengan en el sistema solo mientras persista el incumplimiento, con el límite máximo de 5 años desde la fecha de vencimiento de la obligación.
  • Los datos referidos a un deudor solo puedan ser consultados por quien mantenga una relación contractual que implique el abono de una cuantía pecuniaria o suponga financiación, pago aplazado o facturación periódica.

Cuando se haya ejercitado el derecho a la limitación del tratamiento impugnando su exactitud, el sistema deberá informar dicha circunstancia a quien consulte, sin facilitar información de los datos impugnados en tanto se resuelve la solicitud.

  • La cuantía del principal de la deuda sea igual o superior a 50 euros (Disposición adicional 6ª).

La entidad acreedora deberá garantizar que concurren dichos requisitos, respondiendo de su inexistencia o inexactitud.

La entidad que mantenga el sistema de información crediticia:

  • Deberá notificar al interesado la inclusión de sus datos en sus sistemas y le informará según el artículo 11 de la LOPDGDD en un plazo de 30 días, bloqueando los datos durante este tiempo.
  • Tendrá la condición de Corresponsable del tratamiento (CoRT) juntamente con la entidad acreedora que le ha facilitado los datos referidos a sus deudores.

Tratamientos con fines de videovigilancia (sustituye a la Orden de 2006 que regulaba la videovigilancia)

El tratamiento de imágenes a través de sistemas de cámaras o videocámaras será lícito para la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. Solo podrán captarse imágenes de la vía pública cuando:

  • Sea imprescindible para dicha finalidad.
  • Sea necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.

Los datos serán suprimidos en el plazo máximo de 1 mes desde su captación, sin aplicar la obligación de bloqueo prevista en el artículo 32.

Se podrán conservar los datos para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, se pondrán a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.

El deber de información se entenderá cumplido con la colocación de un dispositivo informativo en lugar suficientemente visible identificando:

  • La existencia del tratamiento.
  • La identidad del responsable.
  • La posibilidad de ejercitar los derechos del interesado.
  • Un código de conexión o dirección de internet a la información restante del tratamiento.

El RT deberá mantener a disposición de los interesados la información restante del tratamiento.

La videovigilancia en el entorno laboral se somete a lo dispuesto en el artículo 89 (Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo).

Designación de un delegado de protección de datos (DPO) (aumento de sujetos obligados)

Los RT y los encargados de tratamiento (en adelante ET)  deberán designar un DPO cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

Garantía de los Derechos Digitales

a) Derecho a la seguridad digital.

  • Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet.
  • Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.

b) Derecho de rectificación en Internet

  • Todos tienen derecho a la libertad de expresión en Internet.
  • Los responsables de redes sociales y servicios equivalentes deberán:
  • – adoptar protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra:
    • el derecho al honor
    • la intimidad personal y familiar en Internet
    • el derecho a comunicar o recibir libremente información veraz
  • – cumplir los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación
  • Los medios de comunicación digitales atenderán las solicitudes de rectificación cuando la noticia original no refleje la situación actual del individuo, publicando:
  • – un aviso aclaratorio que ponga de manifiesto que la noticia original no es correcta
  • – el aviso en lugar visible junto con la información original

c) Derecho a la actualización de informaciones en medios de comunicación digitales

  • Los medios de comunicación digitales atenderán las solicitudes de actualización cuando las informaciones publicadas no reflejen la situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio. En particular:
  • – cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior

d) Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral

  • Los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por el RT.
  • El RT podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de:
  • – controlar el cumplimiento de las obligaciones laborales o estatutarias
  • – garantizar la integridad de dichos dispositivos
  • Los RT deberán establecer criterios de utilización de los dispositivos digitales:
  • – respetando los estándares mínimos de protección de la intimidad
  • – posibilitando la participación de los representantes de los trabajadores
  • El acceso del RT al contenido de dispositivos digitales con uso para fines privados requerirá que se:
  • – especifiquen de modo preciso los usos autorizados
  • – establezcan garantías para preservar la intimidad de los trabajadores (por ejemplo, los períodos en que los dispositivos podrán utilizarse para fines privados)
  • Los trabajadores deberán ser informados de los criterios de utilización de los dispositivos digitales puestos a su disposición.

e) Derecho a la desconexión digital en el ámbito laboral

  • Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal, el respeto de su tiempo de descanso, permisos y vacaciones, y su intimidad personal y familiar.
  • El RT elaborará una política interna para definir las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas puestas a su disposición.

 f) Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo

  • Los RT podrán tratar imágenes obtenidas para funciones de control de los trabajadores, dentro de su marco legal (artículo 20.3 del Estatuto de los Trabajadores y legislación de función pública). Los RT informarán con carácter previo, y de forma expresa, clara y concisa, a los trabajadores y a sus representantes de este tratamiento y de sus derechos.
  • Cuando se haya captado la comisión flagrante de un acto ilícito se entenderá cumplido el deber de informar si existe el logo al que se refiere el artículo 22.4.
  • No está permitido tratar imágenes obtenidas en lugares destinados al descanso o esparcimiento de los trabajadores, tales como vestuarios, aseos, comedores y análogos. Excepción:
  • – cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas y se respete el principio de proporcionalidad y de intervención mínima.
  • Los datos serán suprimidos en el plazo máximo de 1 mes desde su captación, sin aplicar la obligación de bloqueo prevista en el artículo 32.

g) Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral

  • Los RT podrán tratar datos de geolocalización obtenidos para funciones de control de los trabajadores, dentro de su marco legal (artículo 20.3 del Estatuto de los Trabajadores y legislación de función pública). Los RT informarán con carácter previo, y de forma expresa, clara y concisa, a los trabajadores y a sus representantes de este tratamiento y de sus derechos.

h) Derechos digitales en la negociación colectiva

Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral.

i) Protección de datos de los menores en Internet

  • Los RT que desarrollen actividades en las que participen menores de edad deberán garantizar la protección del interés superior del menor y sus derechos fundamentales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
  • Cuando se publique o difunda a través de redes sociales o servicios equivalentes, el RT deberán contar con el consentimiento del menor o sus representantes legales, conforme al artículo 7.

j) Derecho al olvido en búsquedas de Internet

Toda persona tiene derecho a que los motores de búsqueda de Internet eliminen los resultados obtenidos tras una búsqueda efectuada a partir de su nombre, si los enlaces mostrados contienen información relativa a esa persona cuando fuesen:

  • inadecuados
  • inexactos
  • no pertinentes
  • no actualizados
  • excesivos
  • o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta:
    • los fines para los que se recogieron o trataron
    • el tiempo transcurrido
    • la naturaleza e interés público de la información
  • o las circunstancias personales del interesado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda de Internet

Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.

Este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

k) Derecho al olvido en servicios de redes sociales y servicios equivalentes

Toda persona tiene derecho a que los servicios de redes sociales y servicios de la sociedad de la información equivalentes, supriman los datos personales publicados, cuando hubiesen sido facilitados:

  • Por el mismo interesado. En este caso se suprimirán a su simple solicitud.
  • Por el mismo interesado o por terceros, durante su minoría de edad. En este caso se suprimirán a su simple solicitud.
  • Por terceros, cuando fuesen:
    • inadecuados
    • inexactos
    • no pertinentes
    • no actualizados
    • excesivos
    • o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta:
      • los fines para los que se recogieron o trataron
      • el tiempo transcurrido
      • la naturaleza e interés público de la información
    • o las circunstancias personales del interesado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda de Internet.Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.Este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

l) Derecho de portabilidad en servicios de redes sociales y servicios equivalentes

Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho, siempre que sea técnicamente posible, a:

  • Recibir los contenidos que les hubieran facilitado.
  • Que se transmitan dichos contenidos directamente a otro prestador designado por el usuario.

Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal.

m) Derecho al testamento digital

El acceso a contenidos, inclusive los perfiles,  gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas se regirá por las siguientes reglas:

  • Las personas vinculadas al fallecido (por razones familiares o de hecho, así como sus herederos) podrán acceder a dichos contenidos e impartir las instrucciones sobre su utilización, destino o supresión. A excepción que:
    • lo haya prohibido expresamente el causante
    • lo prohíba la ley
    • los herederos quieran acceder a los contenidos del caudal relicto
    • el albacea testamentario o quien el fallecido hubiese designado expresamente para ello requiera acceder al contenido para dar cumplimiento a las instrucciones recibidas

La eliminación del perfil del fallecido solicitada por alguna de las personas descritas anteriormente deberá ejecutarse de inmediato.

Medidas de seguridad en el ámbito del sector público

El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, adaptando los criterios de determinación del riesgo a lo establecido en el artículo 32 del GDPR.

Los siguientes RT (artículo 77.1) deberán aplicar a los tratamientos de datos personales las medidas de seguridad previstas en el ENS e impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a ellos:

  • Los órganos constitucionales o con relevancia constitucional.
  • Los órganos jurisdiccionales.
  • La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
  • Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
  • Las autoridades administrativas independientes.
  • El Banco de España.
  • Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
  • Las fundaciones del sector público.
  • Las Universidades Públicas.
  • Los consorcios.
  • Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

Cuando un tercero preste servicios a una Administración pública en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de dicha Administración y se ajustarán al ENS.

Contratos de encargado del tratamiento

Los contratos de ET suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del GDPR y al Capítulo II del Título V de la LOPDGDD

¿Te interesa?