|
|
|
|
#SomosRyC
Novedades Ley Protección de datos
17 de January de 2019
Índice
1.- ¿La nueva Ley Orgánica de Protección de Datos sustituye al Reglamento General de Protección de Datos?
2.- ¿Qué aspectos regula la nueva norma?
3.- ¿Está derogada la LOPD?
4.- ¿Se aplica la Ley Orgánica 3/2018 a las personas de contacto y a los empresarios individuales o profesionales?
5.- ¿Y a las personas fallecidas?
6.- ¿Qué novedades se incluyen en materia de videovigilancia?
7.- ¿Seguirán existiendo las autoridades autonómicas de protección de datos?
8.- ¿Quiénes están obligados a nombrar un Delegado de Protección de Datos o DPO de acuerdo a la ley española de protección de datos?
9.- Si recibo un escrito de la Agencia Española de Protección de Datos, ¿cómo deben computarse los plazos previstos en la normativa de protección de datos? En el caso del ejercicio de los derechos por parte de los interesados, ¿hay alguna diferencia en el cómputo de plazos?
10.- ¿Se requerirá autorización de la Agencia Española de Protección de Datos para la realización de transferencias internacionales de datos?
11- ¿Debo bloquear los datos personales cuando alguien ejerce el nuevo derecho de supresión?
12.- ¿Se regulan expresamente los sistemas de denuncias internas?
13.- ¿Debo modificar los contratos en vigor con encargados del tratamiento para adaptarlos a la nueva normativa?
14.- ¿Qué requisitos específicos deberán cumplir los procesos de seudonimización en tratamientos de investigación en salud pública y biomédica?
15.- ¿Con qué facultades cuentan las autoridades de control y qué novedades se introducen en el régimen sancionador bajo la Ley Orgánica 3/2018?
· La Agencia Española de Protección de Datos y las Autoridades Autonómicas (Título VII)
· Los procedimientos en caso de posible vulneración de la normativa de protección de datos (Título VIII)
· El régimen sancionador (Título IX)
16.- ¿Qué derechos digitales establece la Ley Orgánica 3/2018?
1.- ¿La nueva Ley Orgánica de Protección de Datos sustituye al Reglamento General de Protección de Datos?
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de garantía de los derechos digitales (“Ley Orgánica 3/2018” o “LOPDGDD”), ni sustituye ni deroga al Reglamento (UE) 679/2016, conocido como “Reglamento General de Protección de Datos” o “RGPD”. Tampoco es una transposición al derecho español de dicha norma comunitaria (un reglamento, a diferencia de una directiva, tiene aplicación directa).
De acuerdo al Considerando (10) del Reglamento General de Protección de Datos:
“El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos (“datos sensibles”). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluid la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito”.
La Ley Orgánica 3/2018 se aprueba, dentro de los límites establecidos por el Reglamento General de Protección de Datos, para regular determinadas cuestiones que se reservan a la normativa nacional o completar aspectos de la norma comunitaria. Por ejemplo, el artículo 8 del Reglamento General de Protección de Datos, dedicado al consentimiento de los niños en relación al tratamiento de sus datos personales, fija en los 16 años la edad para consentir válidamente. No obstante, permite que los estados establezcan una edad inferior, siempre que no quede por debajo de los 13 años. En uso de esta prerrogativa, la Ley Orgánica 3/2018 determina en su artículo 7 que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años”. De esta forma se mantiene la previsión establecida por el Real Decreto 1720/2007, aplicable hasta la fecha en España.
El resto de los Estados miembros han aprobado igualmente leyes nacionales, o se encuentran en proceso de aprobarlas.
2.- ¿Qué aspectos regula la nueva norma?
La Ley Orgánica 3/2018 se publicó en el Boletín Oficial del Estado de 6 de diciembre de 2018, y entró en vigor al día siguiente, esto es, el 7 de diciembre de 2018.
La nueva ley consta de 97 artículos, distribuidos en 10 títulos, más un Preámbulo y las habituales disposiciones adicionales, transitorias y finales.
El Título I, muy breve, está dedicado a aspectos generales (ámbito de aplicación, objeto de la ley, datos de personas fallecidas).
El Título II, bajo la rúbrica “Principios de protección de datos”, no incluye novedades relevantes respecto a lo previsto en el Reglamento General de Protección de Datos. Quizás lo más importante de este grupo de artículos sea la fijación en 14 años de la edad para consentir sin asistencia de padre o tutor el tratamiento de los datos personales. En versiones anteriores de la norma, se había propuesto bajar dicha edad a 13 años. El Título III regula los derechos de los afectados. Tampoco añade aspectos de interés con respecto al RGPD.
Las que probablemente son las previsiones de mayor relevancia en materia de privacidad se concentran a partir del Título IV. El Título IV recoge previsiones sobre tratamientos concretos de datos entre los que se incluyen, entre otros, los de videovigilancia, los denominados “ficheros de morosos”, los sistemas de denuncias internas y las listas de exclusión o “listas Robinson”. El Título V se refiere a obligaciones concretas del responsable y el encargado del tratamiento Recoge, por ejemplo, las previsiones relativas al delegado de protección de datos, la figura del “bloqueo” no contemplada en el RGPD, la obligación de determinadas entidades y administraciones públicas de publicar en sus respectivas webs el registro de actividades del tratamiento, y determinadas especificaciones del contrato de encargado del tratamiento. Las transferencias internacionales de datos y las autoridades de control son merecedoras de títulos diferenciados (Título VI y VII, respectivamente). Los Títulos VIII y IX desarrollan el régimen sancionador.
El último título (Título X) incluye la que se ha denominado “carta de derechos digitales”, por lo que su contenido no se refiere a protección de datos (salvo algunos artículos concretos), ni complementa la norma básica europea sobre esta materia, el Reglamento General de Protección de Datos.
3.- ¿Está derogada la LOPD?
La Ley Orgánica 3/2018 deroga formalmente la Ley Orgánica 15/1999, de 13 de diciembre, conocida como LOPD, el Real Decreto-ley 5/2018, de 27 de julio, aprobado de forma urgente hace unos meses, y cuantas disposiciones de rango igual o inferior contradigan, se opongan o resulten incompatibles con lo dispuesto en el Reglamento General de Protección de Datos. No obstante lo anterior, los artículos 23 y 24 de la LOPD continúan en vigor en tanto no sean expresamente modificados, sustituidos o derogados. Dichos artículos regulan determinadas limitaciones y excepciones (totalmente lógicas por otra parte) al ejercicio de los derechos en relación a ficheros públicos (Hacienda, Policía, etc.).
4.- ¿Se aplica la Ley Orgánica 3/2018 a las personas de contacto y a los empresarios individuales o profesionales?
A diferencia de lo previsto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (“RLOPD”), el Reglamento General de Protección de Datos no excluye de su ámbito de aplicación estas categorías de datos personales. La Ley Orgánica 3/2018 no puede, por tanto, establecer una disposición en contrario, pero sí recoge una presunción que determina que su tratamiento se efectúa en base al interés legítimo siempre que se cumplan los siguientes requisitos (artículo 19 de la Ley Orgánica 3/2018):
· El tratamiento se limite a los datos de contacto necesarios para su localización profesional (es decir, se excluye de esta presunción el tratamiento de datos no profesionales).
· El tratamiento tenga por finalidad mantener relaciones con la persona jurídica en la que el afectado presta sus servicios, o, en el caso de profesionales y empresarios, con éstos en su condición de tales. Por tanto, la presunción de que existe un interés legítimo en el tratamiento de estos datos solo afecta a las relaciones “B2B”.
La presunción anterior admite prueba en contrario, y en ningún caso implica que no se deba cumplir con lo establecido en los artículos 12, 13 y 14 del RGPD, en relación a transparencia e información. Por tal motivo, resulta conveniente revisar contratos, formularios de recogida de datos de proveedores y clientes personas jurídicas, y otros documentos.
Por último, debemos recordar que el envío de comunicaciones comerciales por medios electrónicos se rige por lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSICE”), que es la ley especial en estos casos.
De acuerdo a la LSSICE, como ha puesto de manifiesto en varios informes jurídicos la Agencia Española de Protección de Datos, el envío de comunicaciones comerciales por medios electrónicos requiere una autorización expresa del receptor de la comunicación. Excepcionalmente, se permite la remisión a los clientes, sin necesidad de autorización expresa, de comunicaciones comerciales relacionadas con los productos y servicios contratados por estos, siempre que en el momento de la recogida de los datos se les hubiese dado la opción de oponerse a dichos envíos (es decir, se les hubiera facilitado una casilla para manifestar dicha oposición o un mecanismo similar).
La LSSICE no permite el envío de comunicaciones basadas en el interés legítimo (dado que no regula ni menciona este concepto). Por tanto, la presunción recogida en el artículo 19 de la Ley Orgánica 3/2018 no nos permite enviar comunicaciones comerciales por medios electrónicos (fundamentalmente, e-mail y SMS) sin autorización o no oposición del usuario.
5.- ¿Y a las personas fallecidas?
El Considerando (27) del Reglamento General de Protección de Datos determina: “El presente Reglamento no se aplica a las personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de éstas”. Así, la Ley Orgánica 3/2018 dedica dos artículos relativos a las personas fallecidas: el artículo 3 y el artículo 96 (“Derecho al testamento digital”).
El artículo 3 establece en su apartado primero una previsión similar a la recogida en el RLOPD, que permite a los familiares de los fallecidos (en concreto a las “personas vinculadas al fallecido por razones familiares o de hecho, así como a sus herederos”) solicitar el acceso a los datos personales de aquél, su supresión o rectificación. No obstante, se prevé la posibilidad de que el causante haya prohibido el ejercicio de las facultades de rectificación o supresión por parte de tercero, expresando lo que podríamos llamar “sus últimas voluntades digitales”. En ningún caso, se permite limitar el acceso a los datos personales por parte de los herederos.
El artículo 96, incluido dentro de la carta de derechos digitales con el epígrafe de “testamento digital”, en realidad, añade poco a lo previsto en el artículo anterior. Queda por ver qué mecanismos o facilidades pondrán a disposición de los afectados los responsables del tratamiento (fundamentalmente redes sociales y proveedores de servicios de correo electrónico) para la expresión de últimas voluntades en relación a sus datos personales.
6.- ¿Qué novedades se incluyen en materia de videovigilancia?
En realidad, no se incluyen novedades relevantes en relación a lo establecido por la instrucción 1/2006 y a los informes jurídicos de la AEPD previos al Reglamento General de Protección de Datos. Resulta importante señalar que nuestra autoridad de control había emitido una completa guía sobre videovigilancia que se adaptó al RGPD con anterioridad a la aprobación de la Ley Orgánica 3/2018. Las principales publicaciones de la AEPD sobre videovigilancia pueden consultarse en el siguiente link.
De acuerdo al artículo 22 de la Ley Orgánica 3/2018, podrán captarse imágenes con la finalidad de preservar la seguridad de bienes, personas e instalaciones. Como norma general, la captación de imágenes de espacios públicos está prohibida a entidades privadas, pero se admite cuando sea estrictamente necesario para cumplir el objetivo de mantenimiento de la seguridad que se persigue.
El plazo máximo de conservación de las imágenes es de un mes desde la captación (salvo que sean necesarias para acreditar la comisión de un ilícito o un acto que atente contra la seguridad), y no se aplicará la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018.
El deber de información podrá cumplirse con los nuevos carteles informativos (que sirven para facilitar una primera capa de información y que podrán incluir enlaces a páginas web o códigos de conexión). El modelo se encuentra disponible en el siguiente link.
Adicionalmente, los responsables del tratamiento deberán mantener a disposición de los afectados toda la información a que hace referencia el Reglamento General de Protección de Datos.
Como complemento de lo anterior, debemos mencionar que el Título X se ocupa de la grabación de imágenes y sonidos en el lugar de trabajo, estableciendo, en resumen, las siguientes previsiones:
· Se admite la posibilidad de utilizar sistemas de videovigilancia en el entorno laboral con la finalidad específica de ejercer las funciones de control establecidas en el artículo 20.3 del Estatuto de los Trabajadores. No es necesaria ni una autorización del empleado ni de sus representantes, pero ambos deben ser informados de forma expresa, clara y concisa de la instalación de estos dispositivos. Como ya había determinado la jurisprudencia, este deber se dará por cumplido en casos de captación de actos ilícitos flagrantes, si existe al menos el cartel distintivo aprobado por la Agencia Española de Protección de Datos.
· Se prohíbe la instalación de cámaras en lugares de descanso o esparcimiento, es decir, no solo en vestuarios y aseos, sino en comedores y análogos.
· La grabación de sonidos se encuentra más restringida ya que solo se admite en caso de riesgos relevantes para “la seguridad de las instalaciones, bienes y personas” y siempre respetando el principio de proporcionalidad.
7.- ¿Seguirán existiendo las autoridades autonómicas de protección de datos?
Sí. El artículo 57 de la Ley Orgánica 3/2018 establece que:
“1. Las autoridades autonómicas de protección de datos personales podrán ejercer, las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a:
a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.”
8.- ¿Quiénes están obligados a nombrar un Delegado de Protección de Datos o DPO de acuerdo a la ley española de protección de datos?
Además de las entidades que cumplan los requisitos especificados en el artículo 37 del Reglamento General de Protección de Datos, deben proceder al nombramiento de un DPO, según establece el artículo 34 de la Ley Orgánica 3/2018, los siguientes responsables y encargados del tratamiento:
· Los colegios profesionales y sus consejos generales.
· Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
· Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
· Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
· Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
· Los establecimientos financieros de crédito.
· Las entidades aseguradoras y reaseguradoras.
· Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
· Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
· Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
· Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
· Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
· Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
· Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
· Las empresas de seguridad privada.
· Las federaciones deportivas cuando traten datos de menores de edad.
Los responsables y encargados del tratamiento deberán comunicar en el plazo de 10 días el nombramiento del DPO a la Agencia Española de Protección de Datos, que acaba de poner a disposición de los usuarios de su Sede Electrónica un acceso a dicho registro (link).
9.- Si recibo un escrito de la Agencia Española de Protección de Datos, ¿cómo deben computarse los plazos previstos en la normativa de protección de datos? En el caso del ejercicio de los derechos por parte de los interesados, ¿hay alguna diferencia en el cómputo de plazos?
La disposición adicional tercera de la Ley Orgánica 3/2018 establece las siguientes reglas para evitar cualquier duda en relación al cómputo de plazos en el Reglamento General de Protección de Datos y en la propia ley:
| Plazos señalados en días |
Se computarán exclusivamente los días hábiles, excluyéndose los sábados, los domingos y los declarados festivos. |
| Plazos señalados en semanas |
El plazo concluirá el mismo día de la semana en que se produjo el hecho que determina su iniciación en la semana de vencimiento. |
| Plazos fijados en meses o años |
El plazo concluirá el mismo día en que se produjo el hecho que determina su iniciación en el mes o el año de vencimiento (si no existiese equivalente, terminará el último día del mes). |
En el caso de los ejercicios de derechos por parte de los afectados, debemos recordar que todos los derechos deben hacerse efectivos en el plazo de un mes desde la recepción de la petición (salvo que excepcionalmente, atendiendo a la complejidad de la petición o al número de solicitudes recibidas, pueda aplicarse una prórroga). Por tanto, y de acuerdo a lo expuesto, el plazo para dar respuesta a la petición de un afectado terminará el mismo día en que se recibe dicha petición del mes siguiente.
10.- ¿Se requerirá autorización de la Agencia Española de Protección de Datos para la realización de transferencias internacionales de datos?
En este punto, se simplifica considerablemente el procedimiento a seguir con respecto al régimen anterior. Las autorizaciones de la AEPD se reservan para supuestos puntuales. Así, a modo de ejemplo, las transferencias internacionales de datos que se realicen con base en la firma de las cláusulas contractuales tipo aprobadas por la Comisión Europea (que es el mecanismo habitualmente utilizado por una entidad que desea comunicar datos fuera del Espacio Económico Europeo) no requieren autorización.
11- ¿Debo bloquear los datos personales cuando alguien ejerce el nuevo derecho de supresión?
El “bloqueo” no aparece definido como concepto en el Reglamento General de Protección de Datos. En España, sin embargo, estamos acostumbrados a asociar este término con el derecho de cancelación. De acuerdo a la normativa anterior, la cancelación de los datos daba lugar a su bloqueo, que implicaba la reserva de los mismos, de forma que solo pudieran ser accesibles por órganos judiciales y autoridades competentes en caso de ser necesario.
El bloqueo daba seguridad al responsable del tratamiento, porque no tenía que eliminar el dato físicamente, pero complicaba la determinación de plazos de conservación. Estos debían contemplar el periodo de mantenimiento activo del dato (por ejemplo, porque no se puede cancelar al existir una norma que obliga a su conservación) y el periodo de bloqueo (el dato permanece en el sistema, pero accesible solo en muy concretas circunstancias antes de su eliminación definitiva).
El artículo 32 de la Ley Orgánica 3/2018 mantiene la figura del bloqueo en nuestro derecho. Según este artículo, “el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. El bloqueo implica adoptar medidas técnicas y organizativas para impedir su tratamiento (incluyendo su visualización). Los datos solo podrán ponerse a disposición de jueces, tribunales, Ministerio Fiscal o Administraciones Públicas competentes para depurar posibles responsabilidades derivadas del tratamiento. Lo datos deberán conservarse, por tanto, bloqueados durante los plazos de prescripción de las correspondientes infracciones.
El apartado 4 del artículo 32 permite que cuando la configuración del sistema no permita el bloqueo o implique esfuerzos desproporcionados, se realice un copiado seguro de la información que permita acreditar la autenticidad y no manipulación de los datos.
12.- ¿Se regulan expresamente los sistemas de denuncias internas?
Sí, el artículo 24 de la nueva norma está dedicado a los tratamientos derivados de la implantación de estos sistemas, cada vez más frecuentes en las empresas. Como novedad importante con respecto al régimen anterior, el apartado primero de este precepto admite expresamente que las denuncias puedan presentarse de forma anónima.
El artículo 24 determina, además, que como norma general, los datos deberán suprimirse del sistema transcurridos tres meses desde la introducción de los mismos, salvo que se deba conservar la información para dejar evidencia del funcionamiento el modelo de prevención de comisión de delitos. Las denuncias a las que no se haya dado curso, deberán almacenarse de forma anonimizada.
Adicionalmente, debemos recordar que los sistemas de denuncias implantados con anterioridad a la entrada en vigor del RGPD han de revisarse para adecuar su funcionamiento a las nuevas previsiones (por ejemplo, en lo relativo a información y transparencia, causa de legitimación del tratamiento, medidas de seguridad aplicadas, etc.).
13.- ¿Debo modificar los contratos en vigor con encargados del tratamiento para adaptarlos a la nueva normativa?
No es estrictamente necesario. De acuerdo a la disposición transitoria quinta, los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 en la ya derogada Ley Orgánica 15/1999 (LOPD) mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos, y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
14.- ¿Qué requisitos específicos deberán cumplir los procesos de seudonimización en tratamientos de investigación en salud pública y biomédica?
La Ley Orgánica 3/2018 dedica su disposición adicional decimoséptima a regular determinados aspectos relativos al tratamiento de datos de salud. Habría sido más lógico ubicar este contenido en el artículo en el artículo 9 de la ley, dedicado a categorías especiales de datos, o en un precepto separado de éste, pero que formase parte del articulado de la norma. En cualquier caso, la disposición adicional decimoséptima establece los siguientes requisitos para la seudonimización de datos en este ámbito:
1º. Es necesario garantizar una separación técnica y funcional entre el equipo investigador y los encargados de la seudonimización, y en su caso, custodia de los códigos o información que permita la reversión del proceso.
2º. Los datos seudonimizados solo podrán ser accedidos por el equipo investigador cuando:
· Se firme un compromiso expreso de confidencialidad y no reidentificación.
· Se adopten medidas de seguridad específicas para garantizar la reidentificación y el acceso no autorizado por terceros.
Se añade también que la reidentificación será posible en caso de peligro real y concreto para la seguridad o salud de una persona o un grupo de personas, o cuando sea necesario para garantizar sus derechos o correcta asistencia sanitaria.
La Ley Orgánica 3/2018 no incluye previsiones similares para la aplicación de técnicas de seudonimización en relación a tratamientos distintos a los referidos, pero entendemos que las normas anteriores podrán tomarse como referencia en otros contextos. Así por ejemplo, la firma de compromisos de específicos a los usuarios involucrados en el tratamiento de datos seudonimizados puede considerarse una medida organizativa/legal razonable en la mayor parte de los casos, al igual que la segregación de funciones entre usuarios encargados de ejecutar el proceso de seudonimización y usuarios con acceso a los datos seudonimizados.
15.- ¿Con qué facultades cuentan las autoridades de control y qué novedades se introducen en el régimen sancionador bajo la Ley Orgánica 3/2018?
Tratamos a continuación las que son, probablemente, las cuestiones más difíciles de unificar en los Estados miembros: aquellas que se refieren a aspectos organizativos de las autoridades de control, por un lado, y al régimen sancionador de la norma, por otro. Hay que tener en cuenta que cada autoridad de control debe incardinarse en la estructura administrativa de su respectivo país y aplicar las normas procedimentales correspondientes en la imposición de multas/sanciones.
Los títulos de la Ley Orgánica 3/2018 a los que haremos referencia (que salvo los artículos 52 y 53, según señala la Disposición final primera, no tienen el carácter de ley orgánica en razón de la materia que regulan), son los siguientes:
· Título VII. Autoridades de protección de datos: Artículos 44 a 62.
· Título VIII: Procedimiento en caso de posible vulneración de la normativa de protección de datos: Artículos 63 a 69.
· Título IX. Régimen sancionador: Artículos 70 a 78.
Antes de comenzar a analizar el contenido de los títulos y artículos citados, conviene resaltar una de las cuestiones que llama la atención en la primera lectura de los mismos: el cambio de terminología, en algunos casos sin justificación aparente. A modo de ejemplo, citaremos lo siguiente:
· El “Director de la Agencia” pasará a ser ahora el “Presidente de la Agencia Española de Protección de Datos”. Su mandato se extiende por un 1 año más (ocupará el puesto durante 5 años en lugar de 4) y se indica que le “será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado” (artículo 48).
· El Presidente de la Agencia Española de Protección de Datos podrá dictar “circulares”, no “instrucciones”. El artículo 55 establece que las disposiciones interpretativas de la ley y del RGPD que dicte el Presidente se denominarán “Circulares de la Agencia Española de Protección de Datos” y serán obligatorias una vez publicadas en el Boletín Oficial del Estado.
· En lugar de procedimientos sancionadores y de tutela de derechos, la Ley Orgánica 3/2018 habla de “procedimientos en caso de posible vulneración de la normativa de protección de datos”. De momento, parece que la diferencia entre estos dos tipos de procedimientos desaparecerá (es decir, no existirá, salvo que reglamentariamente se disponga otra cosa, un procedimiento específico que permita a los afectados solicitar a la autoridad de protección de datos el control o verificación de la forma en la que ha actuado una empresa en relación con una petición de ejercicio de derechos). Ahora bien, el artículo 69 prevé que la Agencia Española de Protección de Datos “podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos”, incluida la “obligación inmediata de atender el derecho solicitado” por el afectado. En relación con los procedimientos de reclamación cuya tramitación corresponda a la AEPD, según lo previsto en el artículo 63 de la Ley Orgánica 3/2018, se deriva su regulación específica a lo establecido en un real decreto pendiente de desarrollo.
La Agencia Española de Protección de Datos y las Autoridades Autonómicas (Título VII)
El artículo 44 de la LOPDPGDD define la Agencia Española de Protección de Datos como “una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones”.
Para detallar sus funciones, la Ley Orgánica 3/2018 se remite a los artículos 57 y 58 del Reglamento General de Protección de Datos, aunque dedica artículos específicos al alcance de las facultades de investigación (artículo 53), al desarrollo de planes de auditoría preventiva en sectores concretos que darán lugar a directrices de obligado cumplimiento (artículo 54), y a las potestades de regulación para dictar, como hemos señalado, circulares (artículo 55).
Adicionalmente, a tenor de lo establecido en el artículo 56, la AEPD ostentará la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos. Un confuso añadido a este artículo en la última fase de tramitación de la norma, permite a “las comunidades autónomas, a través de las autoridades autonómicas de protección de datos” ejercitar funciones como “sujetos de las acción exterior” en el marco de sus competencias, pudiendo incluso “celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional y acuerdo no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes para quienes los suscriben, sobre materias de su competencia”.
Las autoridades autonómicas aparecen reguladas en los artículos 57, 58 y 59. Este último permite extender la acción de la AEPD a los tratamientos llevados a cabo en materias que fueran competencia de las autoridades autonómicas de protección de datos cuando se detecte una vulneración del Reglamento General de Protección de Datos. La AEPD podrá requerir a la autoridad autonómica que tome las medidas necesarias para poner fin a dicha situación. Si la autoridad autonómica no atiende en plazo el requerimiento, o si las medidas adoptadas no suponen la cesación en el tratamiento ilícito, la Agencia Española de Protección de Datos podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa.
En línea con lo establecido hasta la fecha, las autoridades autonómicas tendrán potestades sobre los siguientes tratamientos (artículo 57):
“a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.”
Los procedimientos en caso de posible vulneración de la normativa de protección de datos (Título VIII)
El Título VIII es relativamente breve. Ocupa tan solo siete artículos, comprendidos entre el 63 y 69, ambos inclusive. El primero indica que estos procedimientos se regirán por el RGPD, la propia Ley Orgánica 3/2018, las disposiciones dictadas en desarrollo de esta, y cuando no las contradigan, las normas generales de los procedimientos administrativos.
El legislador ha dejado al real decreto que en su caso se dicte la regulación de las cuestiones más prácticas y de detalle. Sin embargo, sí se regulan expresamente algunos plazos de tramitación:
· En los procedimientos exclusivamente referidos a la falta de atención de una solicitud de ejercicio de los derechos comprendidos en los artículos 15 a 22 del RGPD, el plazo para resolver será de seis meses desde la admisión a trámite con silencio positivo (esto es, transcurrido dicho plazo sin resolución expresa el interesado podrá considerar estimada su reclamación).
· En procedimientos cuyo objeto sea la determinación de una posible infracción de la normativa de protección de datos, el procedimiento tendrá una duración máxima de nueve meses desde el acuerdo de inicio. Transcurrido dicho plazo se producirán la caducidad y el consiguiente archivo de actuaciones.
Los mencionados plazos de tramitación quedarán automáticamente suspendidos cuando deba recabarse “información, consulta, solicitud de asistencia o pronunciamiento preceptivo” de una autoridad de control de los Estados miembros o un organismo de la UE. Por otra parte, se fija un plazo máximo de un año para desarrollar actuaciones de investigación. También se mencionan aspectos muy generales de los procedimientos.
Otras cuestiones importantes que no se han dejado para un posterior desarrollo reglamentario son las siguientes:
1. Artículo 65.3: Admisión a trámite de las reclamaciones.
La Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el encargado o el responsable (solo ellos, no los otros sujetos responsables de sanciones), previa advertencia formulada por la AEPD, hayan adoptado medidas correctivas encaminadas a poner fin al incumplimiento y concurra alguna de las siguientes circunstancias:
a. No se haya causado perjuicio al afectado en el caso de las infracciones del artículo 74 (leves).
b. El derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
2. Artículo 65.4: Si la reclamación se presenta antes de haber sido remitida al delegado de protección de datos o al organismo de supervisión de los Códigos de conducta, la AEPD podrá remitírsela antes de resolver sobre su admisión a trámite a los efectos de lo previsto en los artículos 37 y 38.2 de la Ley Orgánica 3/2018.
El régimen sancionador (Título IX)
Las previsiones contenidas en la nueva Ley Orgánica 3/2018 suponen la segunda alineación de la normativa española al RGPD. El pasado verano se aprobó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Dicho real decreto se limitó a adaptar el régimen sancionador al entender que no era objeto de reserva de ley orgánica. El empleo del mecanismo del real decreto vino motivado por la incertidumbre que existía en relación a la aprobación de la ley en la que se continuaba trabajando en ese momento, y cuyos sucesivos borradores sufrieron continuos retrasos provocados por la aparición de otras prioridades en la agenda legislativa. El texto aprobado por el Gobierno estuvo finalmente en vigor durante poco más de cuatro meses.
Centrándonos ya en la Ley Orgánica 3/2018, una de las primeras cuestiones que llama la atención del Título IX es que se amplían los sujetos responsables. Con el anterior marco normativo, solo podían ser sancionados por los incumplimientos previstos en la LOPD el responsable del fichero y el encargado del tratamiento. Ahora, en el artículo 70 de la nueva norma se prevé que se encuentren sujetos al régimen sancionador:
· El responsable del tratamiento.
· El encargado del tratamiento
· Los representantes de los responsables y encargados obligados a nombrar un responsable.
· Las entidades de certificación.
· Las entidades acreditadas de supervisión de códigos de conducta.
Los delegados de protección de datos quedan excluidos expresamente de la consideración de sujetos responsables.
Como consecuencia lógica de lo anterior, se recogen ciertas infracciones que solo podrán ser cometidas por algunos de los sujetos responsables arriba referidos. Por ejemplo, la infracción consistente en “obtener acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento (UE) 2016/679”, obviamente, solo podrá imputarse a entidades de certificación.
Una de las novedades más importantes respecto al RGPD, que solo diferencia dos tramos de sanciones, viene constituida por la categorización de las infracciones en leves, graves y muy graves, cada una de ellas con plazos de prescripción distintos (un año, dos años y tres años, respectivamente). Recordemos que el RGPD diferencia entre:
· Conductas que pueden ser sancionadas con una multa de hasta 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (artículo 83.4).
· Conductas que pueden ser sancionadas con una multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (artículo 83.5).
Las infracciones graves establecidas por la Ley Orgánica 3/2018 se corresponden con las recogidas en el apartado 4 del artículo 83 del RGPD, y las muy graves, con lo previsto en el artículo 83.5 del RGPD. Esto parece lógico. El problema es que la nueva norma recoge como leves infracciones incluidas en ambos apartados del artículo 83. Es decir, una conducta que para el legislador comunitario podría ser merecedora del tramo superior de sanciones, nuestro legislador la considera leve (y consecuentemente, aunque no se diga expresamente, debería acarrear una multa inferior a las asociadas a infracciones graves y muy graves).
Por otro lado, para mayor confusión, los artículos 72, 73 y 74 de la Ley Orgánica 3/2018 no establecen listas cerradas de infracciones. Utilizan una fórmula ambigua, en la que se indica que se considerarán, según corresponda, infracciones leves, graves o muy graves las recogidas por el RGPD, dado que la ley orgánica no puede modificar el régimen sancionador impuesto por el reglamento comunitario, y en particular, las que se listan en el artículo correspondiente.
Entre las infracciones listadas por nuestra norma nacional como leves se encuentran, por ejemplo:
· La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.
· El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679.
· No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
· El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del Reglamento (UE) 2016/679.
Entre las infracciones graves, se listan, entre otras, las siguientes conductas:
· El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
· No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679.
· No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
· La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
A modo de ejemplo de infracciones muy graves, señalaremos estas:
· El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
· La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
· El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.
· La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.
La aplicación de este régimen sancionador, que podría generar diferencias de trato entre entidades localizadas en Estados miembros diferentes, e incumplir con el principio de tipicidad exigido por el derecho administrativo sancionador, no parece que vaya a ser sencilla ni pacífica.
Por lo demás, el artículo 76, dedicado a “sanciones y medidas correctivas”, se remite a las sanciones y criterios de graduación establecidos en el artículo 83 del RGPD. Indica expresamente, que también podrán tenerse en cuenta como criterios de graduación de los siguientes:
“a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.”
El artículo 78 establece plazos de prescripción de las sanciones, también en tres tramos, que coinciden con los importes de las multas previstos en el régimen anterior:
· Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
· Las sanciones por importe comprendido entre 40.001 euros y 300.000 euros prescriben a los dos años.
· Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
No se indica en ningún caso que las citadas cuantías se correspondan con infracciones leves, graves y muy graves.
Como curiosidad, añadiremos que, además de la publicidad que continuarán recibiendo las resoluciones de la AEPD, las sanciones impuestas a personas jurídicas por importes superiores a 1 millón de euros se publicarán en el BOE.
Por último, nos referiremos al artículo 77 y al régimen específico del que gozan distintos órganos y entidades pertenecientes a la Administración General del Estado: órganos constitucionales y jurisdiccionales, autoridades administrativas independientes, el Banco de España, las universidades públicas, las fundaciones del sector público, etc.
Cuando alguna de estas entidades cometa una infracción de los artículos 72 a 74, la autoridad competente de protección de datos dictará resolución sancionando a las mismas con apercibimiento y estableciendo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido. Si la autoridad competente es la AEPD, publicará en su página web las resoluciones correspondientes con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
16.- ¿Qué derechos digitales establece la Ley Orgánica 3/2018?
Entre los principales cambios que ha sufrido la Ley Orgánica 3/2018 durante su tramitación parlamentaria se encuentra la inclusión de un último título (Título X), que excede los límites de la protección de datos y la adaptación del derecho interno al RGPD. Los artículos que van del 79 al 97, ambos incluidos, recogen una serie de derechos digitales que podemos clasificar en cuatro bloques:
· Acceso y uso de Internet.
· Derechos de menores de edad.
· Ampliación de los derechos del afectado.
· Derechos digitales del trabajador.
Acceso y uso de Internet
Los cuatro primeros artículos del Título X (artículos 79 a 82) y el último precepto (artículo 97) se refieren a una serie de derechos, formulados de manera muy amplia, que tienen como nexo de unión el interés en garantizar el acceso y uso de Internet en condiciones de igualdad. Entre ellos, se encuentran:
· El derecho a la neutralidad de Internet (artículo 80).
· El derecho de acceso universal a Internet (artículo 81).
· El derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet (artículo 82).
Derechos de menores de edad
Los artículos 83, 84 y 92 se refieren específicamente a derechos digitales de los menores de edad, que por razones obvias requieren una protección especial. En este sentido, se prevé la reforma de planes de estudios y la formación del profesorado para incluir materias relativas a competencias digitales (artículo 83) y se recuerda la obligación de centros educativos y de cualquier persona física o jurídica que desarrolle actividades en las que participen menores de proteger al menor frente a la publicación de sus datos a través de los servicios de la sociedad de la información.
Ampliación de los derechos del afectado
En este grupo se incluyen derechos que matizan o amplían los recogidos en el RGPD y en el resto del articulado de la Ley Orgánica 3/2018, completándolos con garantías recogidas en otras normas. Todos ellos persiguen garantizar que el ciudadano mantenga el control sobre la información relativa a su persona que aparece publicada en Internet, fundamentalmente en medios de comunicación, redes sociales y servicios equivalentes. Los derechos de este bloque son:
· El derecho de rectificación en Internet (artículo 85), que se refiere al derecho reconocido por la Ley Orgánica 2/1984, distinto del derecho de rectificación en materia de protección de datos, determinando que las redes sociales y servicios equivalentes deberán establecer mecanismos que garanticen su ejercicio.
· El derecho a la actualización de informaciones en medios de comunicación digitales (artículo 86).
· El derecho al olvido en búsquedas de Internet (artículo 93)
· El derecho al olvido en redes sociales y equivalentes (artículo 94)
· El derecho al testamento digital (artículo 96)
· El derecho a la portabilidad en servicios de redes sociales y servicios equivalentes (artículo 95).
Derechos digitales del trabajador
Los artículos 87, 89 y 90 se ocupan, respectivamente, de la intimidad en relación al uso de dispositivos digitales, la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos, y la intimidad ante la utilización de sistemas de geolocalización. Ninguno de estos preceptos prohíbe el ejercicio de las medidas de control por parte del empresario, que le son reconocidas en el artículo 20 del Estatuto de los Trabajadores. Inciden en la necesidad de informar claramente al trabajador sobre dichos controles, como por otra parte, ya había determinado la jurisprudencia española y europea. Podemos resumir su contenido como sigue:
Dispositivos digitales (ordenador, tablet, el smartphone de empresa, etc.):
- Los empleadores deben establecer criterios de utilización que respeten estándares mínimos de protección de la intimidad de acuerdo a los usos sociales y a los derechos reconocidos constitucional y legalmente. Se deberán explicar de forma precisa los usos autorizados y establecerse garantías para preservar la intimidad del trabajador.
- En su elaboración, deben de participar los representantes de los trabajadores.
- La mayor parte de las empresas disponen de políticas para el uso de dispositivos digitales de distinto tipo. Sin embargo, no todas las entidades han colaborado en su redacción con los representantes de los trabajadores (como mucho, se les ha informado del contenido de las políticas). Además, generalmente de describen de forma poco precisa los mecanismos de control establecidos.
Videovigilancia y grabación de sonidos (como complemento a lo dispuesto en el artículo 22 de la Ley Orgánica 3/2018):
- Se admite la posibilidad de utilizar sistemas de videovigilancia en el entorno laboral con la finalidad específica de ejercer las funciones de control establecidas en el artículo 20.3 del Estatuto de los Trabajadores. No es necesaria ni una autorización del empleado ni de sus representantes, pero ambos deben ser informados de forma expresa, clara y concisa de la instalación de estos dispositivos. Como ya había determinado la jurisprudencia, este deber se dará por cumplido en casos de captación de actos ilícitos flagrantes, si existe al menos el cartel distintivo aprobado por la Agencia Española de Protección de Datos.
- Se prohíbe expresamente la instalación de cámaras en lugares de descanso o esparcimiento, es decir, no sólo en vestuarios y aseos, sino en comedores y análogos.
Sistemas de geolocalización:
- La utilización de estos dispositivos requerirá que los empleados y sus representantes sean informados claramente de su existencia y de la posibilidad de ejercer sus derechos de acceso, rectificación, limitación del tratamiento y supresión.
- Por otra parte, el artículo 88 recoge el denominado “derecho a la desconexión digital”, que obligará a los empleadores, en cumplimiento de su apartado tercero, a redactar una política interna dirigida a los trabajadores en las que definan las modalidades de ejercicio de este derecho y propongan acciones de formación y sensibilización sobre uso razonable de las herramientas tecnológicas.
Como cierre de este bloque, el artículo 91 establece que “los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de los derechos digitales en el ámbito laboral”.
|
|
|
|
