Ley de Protección de Datos ¿En qué consiste y cómo te afecta?
La Ley de Protección de Datos es la encargada de transponer al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, más conocido como Reglamento General de Protección de Datos (Reglamento General de Protección de Datos), así como completar sus disposiciones.
Esta normativa es de especial relevancia en lo que respecta al tratamiento de los datos personales de usuarios, clientes, proveedores, etc. Todas las empresas europeas deben tener en consideración diferentes tipos de características y principios que explicaremos en este artículo.
¿En qué consiste la Ley de Protección de Datos?
La Ley de Protección de Datos se basa en la premisa de que todos los datos personales de los usuarios deben ser protegidos por los legisladores europeos. Se considera “dato personal” a todo dato informativo capaz de hacer identificada o identificable a una persona física. Es decir, cualquier dato que, por sí mismo o en consonancia a otros datos que pudieran cotejarse, pueda llevar a la identificación de una persona física deberá ser considerado dato personal.
Por otra parte, existen una serie de principios generales que las empresas deberán tener en cuenta a la hora de aplicar esta regulación:
- Minimización de los datos personales, debiéndose tratar los datos justamente necesarios para el tratamiento
- Limitación de la finalidad del tratamiento. Es decir, que los tratamientos se realicen para unas finalidades concretas.
- Limitación del plazo de conservación de los datos personales. Es decir, bloquear y/o destruir los datos en plazo de tiempo determinado.
- Transparencia en cuanto a la información proporcionada a los interesados sobre el tratamiento de sus datos personales.
- Responsabilidad proactiva en el uso de medidas de seguridad y políticas antes brechas de seguridad en los sistemas utilizados por las empresas en el tratamiento de los datos personales.
- Exactitud y veracidad de los datos personales cuando los mismos no sean proporcionados por los interesados.
- Obtención de consentimiento como base de legitimación para el tratamiento de datos personales, cuando proceda. Este consentimiento deberá ser expreso.
¿A quién afecta?
Por un lado, el Reglamento General de Protección de Datos es aplicable directamente a todos los Estados miembros y es vinculante a todas aquellas empresas alrededor del mundo que vayan a tratar datos personales de ciudadanos europeos.
Por otro lado, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales es aplicable a todas las empresas españolas que vaya a realizar tratamientos de datos personales.
¿Cómo aplicar la Ley de Protección de Datos?
En el seno de cualquier empresa afectada por la normativa en materia de protección de datos de carácter personal, deberá tener en consideración dos figuras principales en el tratamiento de datos. Estas figuras suelen aseverarse a clientes y proveedores de servicios y explicadas grosso modo, son las siguientes:
- Responsable del tratamiento de datos personales (o Data Controller en inglés): El Responsable del tratamiento será la figura que tome las decisiones sobre el tipo de tratamiento y las finalidades del tratamiento de datos personales en una relación comercial.
- Encargado del tratamiento de datos personales (o Data Processor en inglés): El Encargado del tratamiento será aquella figura que vaya a tener acceso a bases de datos personales de un Responsable del tratamiento. La principal característica de dicha relación será que el Encargado del tratamiento deberá seguir al pie de la letra las instrucciones del Responsable del tratamiento en lo que respecta a la finalidades de uso de los datos integrados en las bases de datos.
Ambas figuras deberán adaptar (i) sus sistemas contractuales, (ii) sus protocolos de datos personales (análisis de riesgos, registros de actividades, evaluaciones de impacto etc.), (iii) los textos legales de sus sitios web, etc.
Legitimación para el tratamiento
De acuerdo con lo establecido en el RGPD, el tratamiento de datos de los interesados debe estar en todo caso amparado en alguna de las bases legales recogidas por la normativa en materia de protección de datos, en este sentido la nueva Ley Orgánica introduce las siguientes novedades:
El consentimiento del interesado
Se recuerda nuevamente que el consentimiento del interesado necesario para legitimar el tratamiento de datos ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como «consentimiento tácito», y se indica que en el caso de que el consentimiento del afectado se obtenga para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se otorga para todas ellas. Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.
El interés legítimo
Se presume, salvo prueba en contrario, la prevalencia del interés legítimo del responsable para el tratamiento de los datos profesionales de las personas físicas que presten servicios en una persona jurídica, así como respecto de los datos de los empresarios individuales y a los profesionales liberales, sin necesidad de haber recabado previamente su consentimiento cuando se lleven a cabo una serie de requisitos:
- a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
- b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Esto no significa que el tratamiento de tales datos no resulte lícito cuando no se cumplan los citados requisitos, sino que, en estos casos, no se presumirá la prevalencia del interés legítimo del responsable, sino que deberá llevar a cabo una ponderación de intereses para determinar cual prevalece en cada caso, o bien amparar el tratamiento en otra de las bases legales que lo legitiman.
Tratamientos relacionados con la realización de determinadas operaciones mercantiles
Se presume, salvo prueba en contrario, la licitud de los tratamientos de datos sin necesidad de autorización previa, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que se cumplan dos requisitos: (i) que los tratamientos fueran necesarios para el buen fin de la operación y (ii) que garanticen, cuando proceda, la continuidad en la prestación de los servicios.
Categorías especiales de datos
En relación con el tratamiento de categorías especiales de datos como son, los datos de origen étnico o racial, el tratamiento de datos genéticos, datos relativos a la salud o datos relativos a la vida sexual una persona física, por ejemplo, la Ley Orgánica consagra lo establecido en el RGPD prohibiendo el tratamiento de las categorías especiales de datos salvo en los supuestos en que la Ley expresamente lo habilite.
En este sentido, la ley de protección de datos señala que el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de estos datos, si bien si podrán tratarse al amparo de los restantes supuestos contemplados en el artículo 9.2 del RGPD.
Uno de estos supuestos es que el tratamiento de determinados datos especiales se encuentre amparado en una norma con rango de ley. . Dicha previsión no sólo alcanza a las disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima.
En este sentido, la Ley Orgánica introduce una serie de previsiones específicas encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, permitiendo en algunos supuestos amparar el tratamiento de los datos en el consentimiento del interesado.
El papel de la Agencia Española de Protección de Datos
Siguiendo el mandato del RGPD, las autoridades de control se han de establecer por ley nacional.
De este modo, y manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, la Ley Orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control.
La figura del Delegado de Protección de Datos
La figura del delegado de protección de datos adquiere una destacada importancia en el RGPD y así lo recoge la Ley Orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.
La principal novedad introducida por la Ley Orgánica en este sentido, y en cumplimiento de lo establecido por el RGPD del deber de comunicación a la autoridad de protección de datos competente de la designación del delegado de protección de datos, es la obligación para la Agencia Española de Protección de Datos de mantener una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.
Es necesario destacar, además, que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
Procedimientos en caso de una posible vulneración de esta normativa
Ante posibles vulneraciones de la normativa en materia de protección de datos, el RGPD establece un sistema en el que existe una autoridad de control principal y un procedimiento de cooperación entre autoridades de los Estados miembros. En caso de discrepancia entre posibles resoluciones de ambas autoridades, se prevé que la misma se resuelva mediante decisión vinculante del Comité Europeo de Protección de Datos.
La nueva Ley Orgánica se limita a establecer el régimen jurídico de estos procedimientos: la iniciación de los mismos, la inadmisión de las reclamaciones, las actuaciones previas de investigación, las medidas provisionales y el plazo de tramitación de los procedimientos y, en su caso, su suspensión dejando al desarrollo reglamentario las especialidades del procedimiento.
Además, se prevé la posibilidad de que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta.
Régimen sancionador
El sistema de sanciones que establece el RGPD, permite un amplio margen de actuación por los Estados Miembros.
En este marco, la Ley Orgánica procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, de acuerdo a la diferenciación que el RGPD establece al fijar la cuantía de las sanciones.
La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, limitándose a enumerar de manera ejemplificativa algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.
En cuanto a la cuantía de las sanciones, la Ley Orgánica aprovecha la cláusula residual del artículo 83.2 del RGPD, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el artículo 45.4 y 5 de la Ley Orgánica 15/1999 tales como vinculación de la actividad del infractor con la realización de tratamientos de datos o el volumen de negocio o actividad del infractor.
Ámbito de aplicación
Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos, puedan solicitar el acceso, rectificación o supresión de los mismos con sujeción a las instrucciones del fallecido.
La principal novedad de la Ley Orgánica se encuentra recogida en su Título X, en el que se incluye como objeto de regulación de la misma, los derechos y libertades predicables al entorno de Internet tales como la neutralidad de la red y el acceso universal o los derechos a la seguridad y educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupan también un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet, la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.
Desde Letslaw hacemos un repaso a esta normativa al objeto de informar a las empresas sobre sus consecuencias tanto en España como en el resto de Europa para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.