Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
Publicada en el BOE de 6 de diciembre de 2018 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Entrará en vigor el día siguiente al de su publicación, es decir el 7 de diciembre de 2018. La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española y aunque el Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, ya obligaba a todos los países miembro de la Unión Europea, aplicable a partir del 25 de mayo de 2018, quedaba pendiente que cada país acometiera la aprobación de legislación propia al respecto para darle cobertura, lo que ha supuesto en España la elaboración de esta Ley orgánica que sustituye a la anterior Ley orgánica 15/1999.
También deroga el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la UE sobre protección de datos. No obstante, la disposición adicional 14.ª (Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE) declara vigentes los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, “en tanto no sean expresamente modificadas, sustituidas o derogadas”.
Por su parte, la Disposición transitoria cuarta (Tratamientos sometidos a la Directiva (UE) 2016/680), establece que los tratamientos sometidos a la Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular su artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.
La nueva Ley, consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales y como novedades, podemos señalar las siguientes.
- Facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo. Los datos tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos.
- Serán las comunidades autónomas las que ostenten la competencia de desarrollo normativo y ejecución del derecho a la protección de datos personales en su ámbito de actividad y a sus autoridades corresponde garantizar el derecho.
- Se recoge el deber de confidencialidad tanto para el responsable del tratamiento de los datos, como para todo aquel que intervenga en el proceso. Una obligación que se mantiene incluso cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
- Es necesario el consentimiento expreso del titular de los datos para poder recabarlos y usarlos. En el artículo 6 se recoge, textualmente, que cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades «será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas».
- El tratamiento de los datos personales de un menor sólo podrá fundarse en su consentimiento cuando sea mayor de 14 años. si el afectado no llega a esta edad, solo será válido el cedido por el titular de su patria potestad o tutela
- El titular de los datos personales tiene derecho a saber quién es el responsable del tratamiento de su información, y debe tener acceso, de forma sencilla e inmediata, a él, que, además, debe informar sobre los medios disponibles para ejercer sus derechos.
- Para evitar situaciones discriminatorias no se podrá tratar con datos cuya finalidad sea la de identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, tan solo porque el afectado de su consentimiento. Al respecto, se modifica, la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (art. 39.3 y nuevo art. 58 bis. (Utilización de medios tecnológicos y datos personales en las actividades electorales). La polémica de esta reforma ha surgido a raíz del mencionado nuevo artículo 58 bis que establece que «la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas». Se trata de una medida encaminada a mandar «spam» político y corre el riesgo de validar bases de datos de los ciudadanos por ideología, es decir se permitirá rastrear datos ideológicos de votantes para su propaganda sin ser consideradas comunicaciones comerciales; y así, el nuevo artículo indica que «los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral».
- Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo grabaciones a través de cámaras o videocámaras. Pero siempre que:
- Solo podrán captarse imágenes de la vía pública siempre que tengan por finalidad preservar la seguridad de las personas y bienes, así como de sus instalaciones.
- Las imágenes tendrán que ser destruidas en un plazo máximo de un mes desde su captación. salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
En caso de que sirvan para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, deberán ser transferidas a la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.
- Para conocer los derechos de la persona sobre sus datos personales la legislación española remite a la normativa europea. Recordamos que en el RGPD se establecen:
- Derecho a rectificar tus datos inexactos o incompletos. En los artículos 14 y 15 se regulan nuevos derechos de rectificación y supresión, pero a diferencia de la norma anterior, no solo se limita a la exactitud de la información publicada o su veracidad, sino que entra también en el área de la intimidad y el honor. De tal forma, que cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original. Es una medida que afectará al tratamiento informativo de los editores.
- Derecho de oposición al tratamiento de los datos.
- Derecho a suprimir tus datos si se usan para fines ilícitos o llega a término la finalidad para la que fueron recabados.
- Derecho a conocer para qué van a ser usados y el plazo de uso de los mismos.
- Derecho a solicitar la suspensión del tratamiento de tus datos, la conservación y la portabilidad de los mismos.
- Incluye la regulación de los datos de las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido. Eso quiere decir que no solo los herederos de la persona podrán solicitar la consulta de su historial en internet, de sus perfiles en plataformas.
- En caso, de tratarse de menores, este derecho también puede ser ejercido por el Ministerio Fiscal.
- La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia.
- El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas. Destaca del derecho al olvido, que se trata como derecho que toda persona tiene a que los motores de búsqueda en internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona siempre y cuando «fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo».
- Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
- Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas, destacando la prohibición de incorporar datos personales en los ficheros de morosos en caso de deudas inferiores a cincuenta euros. Con la anterior Ley, no existía una cantidad mínima.
- La Ley consagra el principio de reserva de ley para el tratamiento de categorías especiales de datos, pero dejando a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima que, además, introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.
- Se mantiene la regulación del responsable y encargado del tratamiento de datos. El Título V se ocupa del responsable y del encargado del tratamiento y se divide en cuatro capítulos. El primero (“Disposiciones generales. Medidas de responsabilidad activa”), arts. 28 a 32, regula las obligaciones generales del responsable y encargado del tratamiento; los supuestos de corresponsabilidad; el representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea; el registro de las actividades de tratamiento y el cuestionado bloqueo de los datos. El Capítulo dos (“Encargado del tratamiento”), consta de un único artículo con el mismo título.
- Figura del Delegado de Protección de Datos. El Delegado de Protección de Datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. Existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
El texto ya recoge hasta dieciséis sectores donde el empresario deberá nombrar de manera obligatoria a un DPO si no quiere incurrir en infracciones administrativas. Entre otros: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión… Se hace énfasis en la acreditación de las aptitudes e independencia del DPO, pues están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.
- Régimen sancionador. La Agencia propuso que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. La nueva Ley Orgánica es mucho más concisa que la normativa europea, si bien, mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
- Señalar por último, que las disposiciones finales de la Ley Orgánica modifican la siguiente normativa:
- la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (se modifica el art. 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos)
- la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (nuevo apartado 7 del art. 10; nuevo apartado 5 del art. 11; nuevo apartado 4 del art. 12 y nuevo art. 122 ter. Procedimiento de autorización judicial de conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos)
- la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial (nuevo apartado 3 del art. 58; nueva letra f) del art. 66; nueva letra k) al apartado 1 y nuevo apartado 7 del art. 74 y nuevo apartado 7 del art. 90)
- la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (se añade un art. 6 bis. Registro de actividades de tratamiento y se modifica el apartado 1 del art. 15);
- la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (art. 39.3 y nuevo art. 58 bis. (Utilización de medios tecnológicos y datos personales en las actividades electorales);
- la Ley 14/1986, de 25 de abril, General de Sanidad (se introduce un nuevo Capítulo II –Tratamiento de datos de la investigación en salud, con un nuevo art. 105 bis, en su Título VI);
- la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (se modifica el apartado 3 del art. 16);
- la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (se modifican los apartados 2 y 3 del art. 28);
- la Ley Orgánica 2/2006, de 3 de mayo, de Educación (nueva letra l) en el apartado 1 del art. 2);
- la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (nueva letra l) en el apartado 2 del art. 46);
- el Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre (se añade un nuevo artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión). Medida que va encaminada, en principio, a los empleados de las empresas al regular, en parte, el derecho a la desconexión digital fuera del horario laboral. Y todo con el fin de garantizar, fuera de tiempo de trabajo legal o convencionalmente establecido, «el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar».
- y el Texto Refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre (se añade un nueva letra j bis en el art. 14).