La Protección de Datos de Carácter Personal y Derechos Digitales

Formación

cua

TEMA 6. LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES. LA AGENCIA DE PROTECCIÓN DE DATOS: COMPETENCIAS Y FUNCIONES.

1. LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES.

El Reglamento General de Protección de Datos (Reglamento 2016/679 o RGPD) ha supuesto la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. Ello implica, en aras al principio de seguridad jurídica, en su vertiente negativa la obligación de los Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el derecho nacional incompatibles con el europeo, lo que obliga a depurar el ordenamiento jurídico interno, y a derogar todo aquello que contradiga el RGPD.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales fue aprobada con un 93% de apoyo parlamentario y ha adaptado el derecho español al modelo establecido por el RGPD, introduciendo novedades mediante el desarrollo de materias contenidas en el mismo.

Junto a ello esta Ley Orgánica también ha incluido los derechos digitales. Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las redes ofrece a la ciudadanía, y corresponde a los poderes públicos impulsar políticas que hagan efectivos los derechos de la ciudadanía en Internet, por lo que el legislador debe abordar el reconocimiento de un sistema de garantía de los derechos digitales que encuentra su anclaje en el artículo 18.4 de la Constitución Española.

La norma trata de alinear el Ordenamiento con el RGPD abordando la materia con distintos objetivos:

1. Adaptar las previsiones generales del RGPD en el ámbito nacional con el límite del margen de apreciación que se concede a los Estados.
2. Regular sectores de actividad que requieren de un marco específico, ya sea por razón de la naturaleza de la actividad del tratamiento, ya sea por razón de los riesgos eventualmente asociados al tratamiento.
3. Integrar en nuestro Ordenamiento un marco de tutela de los derechos digitales, con fundamento en el mandato de desarrollo legal de garantías respecto del uso de la informática del artículo 18.4 de la Constitución Española.

La LOPDGDD debe ser leída e interpretada siempre en el marco del RGPD. Ello exige a sus intérpretes, y en particular a los llamados delegados de protección de datos, aproximarse a esta materia con un enfoque global e integrador.

1.1. ESTRUCTURA

La Ley se estructura en un Preámbulo, diez Títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.

1/25Formación cua

ESTRUCTURA BÁSICA DE LA LO 3/2018

CAPÍTULOS ARTÍCULOS Preámbulo. Título I. Disposiciones generales. 1-3 Título II. Principios de protección de datos. 4-10 Título III. Derechos de las personas. I-II 11-18 Título IV. Disposiciones aplicables a tratamientos completos. 19-27 Título V. Responsable y encargado del tratamiento. I-IV 28-39 Título VI. Transferencias internacionales de datos. 40-43 Título VII. Autoridades de protección de datos. I-II 44-62 Título VIII. Procedimientos en caso de posible vulneración de 63-69 la normativa de protección de datos. Título IX. Régimen sancionador. 70-78 Título X. Garantía de los derechos digitales. 79-97 Disposiciones adicionales 22 Disposiciones transitorias 6 Disposiciones derogatorias 1 Disposiciones finales 16 Tabla 1. Estructura de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales.

1.2. CONTENIDO

Veamos ahora a modo de resumen, algunos de los aspectos fundamentales de la LOPDGDD:

• En relación con el objeto uno de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
• La LOPDGDD concede una importancia fundamental a la protección de los menores. La Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma, sujeta el tratamiento de este tipo de datos al desarrollo de una evaluación de impacto en la protección de datos y requiere disponer de un delegado de protección de datos a los centros docentes, y a las federaciones deportivas. Por último, la afectación a los derechos de los menores será un elemento a considerar en la determinación y graduación de las sanciones.
  • En sede de derechos digitales, regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad, se recoge el derecho a la educación digital, que implicará una revolución en los planes de estudio y en la formación del profesorado, y se contempla por primera vez la 2/25Formación cua responsabilidad de padres, madres y centros escolares por el tratamiento de información de menores en internet, estableciendo el deber de la Administración de diseñar políticas públicas de concienciación digital. Estas medidas se conciben como una aproximación provisional emplazando al Gobierno a impulsar en el plazo de un año desde la entrada en vigor de la ley orgánica, un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet.
• El derecho Español adapta, en el Título dedicado a los derechos de las personas, el principio de transparencia. Se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directos. Por otra parte, los operadores deberán discernir cuándo se ejercen derechos propiamente digitales como la rectificación en internet, la actualización de informaciones en medios de comunicación digitales o el derecho al olvido en búsquedas de Internet, incluidas redes sociales, y servicios equivalentes (se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.)
• El Título IV incorpora disposiciones que regulan tratamientos sectoriales. Particularmente destacable resulta su alto impacto en las relaciones laborales. Aquí, además de la definitiva consolidación legislativa de la posición histórica de la Agencia Española de Protección de Datos (AEPD) sobre sistemas de denuncias internas, debe prestarse particular atención a los controles laborales. Así, por un lado, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados. Y por otro, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
• El legislador en el Título V ha decidido reforzar el marco de obligaciones del responsable y del encargado del tratamiento. En lo que se refiere al encargado la LOPDGDD recupera principios del Real Decreto 1720/2007 y los armoniza con los de RGPD. Cabe destacar la importancia central que adquiere el papel de ciertos encargados en la notificación de violaciones de seguridad. Una de las cuestiones a las que debe prestarse una atención significativa será sin duda a la extensión de los criterios que obligan a desarrollar una evaluación de impacto relativa a la protección de datos, en casos como tratamientos a gran escala, cuando se produzca un tratamiento masivo que implique a un gran numero de afectados o conlleve la recogida de una gran cantidad de datos personales, o en supuestos interpretables como el de los grupos de afectados en situación de especial vulnerabilidad.
• Particularmente extensa resulta la referencia al Delegado de Protección de Datos cuya figura se implanta en un número significativo de sectores. Los órganos y organismos del Sector Público tienen obligación de designar un Delegado de Protección de Datos que cuente con la debida cualificación, de garantizarle los medios necesarios para el 3/25Formación cua ejercicio de sus funciones y de notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos.
• El Delegado de Protección de Datos no tiene responsabilidad a título personal por las posibles infracciones en materia de protección de datos cometidas por su organización, por el mero hecho de serlo. Debe recibir las reclamaciones que les dirijan los administrados, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al administrado en el plazo máximo de dos meses.

Asimismo, el Delegado deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El Delegado debe comunicar la decisión adoptada al administrado y a la AEPD en el plazo máximo de un mes.

• La autoridad de protección de datos experimenta un cambio radical, señalando el RGPD que se ha de establecer por ley nacional. La LOPDGD regula el régimen de la AEPD, calificándola de autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Aunque mantiene un cierto grado de relación con el Ministerio de Justicia se acerca al modelo de comisionado parlamentario incorporando en el camino una nueva denominación para su dirección, la Presidencia, y la figura de un Adjunto. Para el nombramiento de ambos, allí donde antes no hubo requisitos ahora se exigirá una reconocida competencia profesional, en particular en materia de protección de datos, que implicará una convocatoria pública y la previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos antes de ser propuestos al Parlamento acompañada de un informe justificativo. Las candidaturas serán ratificadas en la Comisión de Justicia en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes. Por otra parte, se integran en el Consejo de profesionales de la privacidad, la seguridad o la transparencia.
• Otro elemento destacable, resulta de la necesidad de abordar un modelo de relación con las autoridades de protección de datos autonómicas que asegure un cumplimiento normativo homogéneo, proporcione mecanismo de cooperación, y garantice que la delimitación competencial y la exigencia de coherencia y cohesión sé de también en el plano nacional.
• En materia sancionadora la LOPDGDD, refuerza el marco procedimental y aterriza en nuestro Derecho el régimen del RGPD confiriendo particular importancia a la intervención del delegado de protección de datos y de los sistemas de resolución extrajudicial de conflictos. La LOPDGDD describe un catálogo de conductas típicas con la triple diferenciación propia de las infracciones y sanciones administrativas en nuestro Ordenamiento jurídico, que las distingue entre muy graves, graves y leves, pero tomando en consideración la diferenciación que el RGPD establece al fijar la cuantía de las sanciones. La categorización de las infracciones y de las sanciones se introduce, por lo tanto, a los solos efectos de determinar los plazos de prescripción de unas y otras, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.
• Se regulan por primera vez los derechos digitales de los españoles. La LOPDGDD recoge novedades significativas en esta materia. El Título X posee un contenido complejo que aúna diversas estrategias. En primer lugar, se ordena una relectura de nuestro sistema de derechos fundamentales que deberá ser interpretado de modo funcional al mundo digital. Se apuesta por una internet segura e inclusiva, con garantía de acceso universal y se fomentan las políticas públicas. El legislador confiere 4/25