El pasado 7 de diciembre entró en vigor la Ley Orgánica 3/2018, de Protección de Datos y garantía de derechos digitales (también conocida como LOPDGDD), publicada un día antes en el BOE. La nueva ley adapta a nuestro ordenamiento jurídico al Reglamento General de Protección de Datos (RGPD), directamente aplicable en los estados miembros de la UE desde el pasado 25 de mayo.
Con esta nueva ley se deroga la antigua ley de 1999 así como el Real Decreto-ley 5/2018, de 27 de julio.
La Ley facilita que los ciudadanos puedan ejercitar sus derechos al
exigir, en particular, que los medios para hacerlo sean fácilmente
accesibles. Además, se regula el modo en que debe informarse a las
personas acerca del tratamiento de sus datos optándose, específicamente
en el ámbito de internet, por un sistema de información
por capas que permita al ciudadano conocer de forma clara y sencilla
los aspectos más importantes del tratamiento, pudiendo acceder a los
restantes a través de un enlace directo.
Otro de los aspectos
novedosos incluidos en la nueva normativa es que se reconoce
específicamente el derecho de acceso y, en su caso, de rectificación o
supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita
el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar
consentimiento de manera autónoma. También se regula expresamente el
derecho a solicitar la supresión de los datos facilitados a redes
sociales u otros servicios de la sociedad de la información por el
propio menor o por terceros durante su minoría de edad.
La Ley refuerza, como propuso la Agencia Española de Protección de Datos, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado
de internet, incluyéndola de forma específica en los currículums
académicos y exigiendo que el profesorado reciba una formación adecuada
en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de
un año desde la entrada en vigor de la Ley un proyecto de ley dirigido
específicamente a garantizar estos derechos y las administraciones
educativas tendrán el mismo plazo para la inclusión de dicha formación
en los currículums.
El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información
equivalentes. Se exceptúa la supresión cuando los datos hubieran sido
facilitados por terceros en el ejercicio de actividades personales o
domésticas.
Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas,
a través de los cuales puede ponerse en conocimiento de una entidad
privada la comisión de actos o conductas que pudieran resultar
contrarios a la normativa. Estos sistemas son imprescindibles para que
las personas jurídicas puedan acreditar la diligencia necesaria para
quedar exentas de responsabilidad penal. De este modo, la Ley dota a las
empresas de un mecanismo que les permite conciliar su propio derecho
con el derecho a la protección de datos de las personas.
Además,
la Ley actualiza las garantías del derecho a la intimidad frente al uso
de dispositivos de videovigilancia y de grabación de sonidos en el lugar
de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad
en relación con el uso de dispositivos digitales puestos a disposición
de los empleados, complementando la regulación del derecho a la
intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el
periodo máximo de inclusión de las deudas y en los que se exige una
cuantía mínima de 50 euros para la incorporación de las deudas a dichos
sistemas. Con la anterior Ley, no existía una cantidad mínima.
Se modifica la Ley de competencia desleal,
regulando como prácticas agresivas las que tratan de suplantar la
identidad de la Agencia o sus funciones y las relacionadas con el
asesoramiento conocido como ?adaptación a coste cero? a fin de limitar
asesoramientos de ínfima calidad a las empresas.
La ley también recoge una serie de supuestos en los que, en todo caso, se deberá nombrar a un delegado de protección de datos, DPO. Se regula la obligación de comunicar su nombramiento o cese a la AEPD, pudiendo tener una dedicación completa o a tiempo parcial.
Infracciones (Título IX, Régimen sancionador)La ley procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones. La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.
Prescripción de las sancionesSe establece una graduación en la prescripción de las sanciones, en función de su importe: 1 año, para las sanciones inferiores a 40.000 euros; 2 años para las sanciones de entre 40.001 y 300.000 euros, y 3 años, para las superiores a 300.000 euros.
Más información sobre el RGPD