El pasado 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD) que deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Esta nueva normativa es la encargada de transponer al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, más conocido como Reglamento General de Protección de Datos (RGPD), así como completar sus disposiciones.

Además, se ha incorporado a su objeto una importante novedad: garantizar los derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española.

Tras la aprobación de esta nueva Ley, el derecho fundamental de las personas físicas a la protección de datos personales se ejercerá con arreglo a lo establecido tanto por el  RGPD  como por la propia Ley Orgánica. En el presente artículo analizaremos algunas de sus principales novedades.

Administraciones Públicas y uso de datos personales

El artículo 6 del RGPD contiene las bases de legitimación para el tratamiento de datos personales. En el caso de las Administraciones Públicas (AAPP) son dos las principales bases legales sobre las que se legitimará el tratamiento de datos personales: la necesidad del tratamiento para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o bien en la necesidad del tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En este sentido, la LOPD-GDD introduce un nuevo artículo 8, relativo al “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos”, que aclara cuándo el tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del RGPD.

Así, señala que el tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley. Estas normas serán las encargadas de determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo, así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del RGPD.

Por otra parte, y en cuanto al tratamiento de datos personales fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable y en los términos previstos en el artículo 6.1 e) del RGPD, añade que sólo resultará legítimo cuando derive de una competencia atribuida por una norma con rango de ley.

Redes sociales y protección de datos

La LOPD-GDD regula de manera específica en los artículos 93 y 94 el derecho al olvido en búsquedas de Internet, así como en servicios de redes sociales y servicios equivalentes.

El primer precepto recoge que los buscadores, como Google, tienen la obligación de eliminar contenidos a petición de terceros en determinadas condiciones.

Este precepto se amplía ahora a las redes sociales y otros servicios de Internet. De modo que toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes. Si bien, la decisión sobre la supresión de datos en redes sociales corresponde, en última instancia, a la propia red social.

En este sentido el artículo 94.2 expone que “Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.” 

Nuevas funciones del Delegado de Protección de Datos

La figura del delegado de protección de datos adquiere una destacada importancia en el RGPD y así lo recoge la Ley Orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

La principal novedad introducida por la Ley Orgánica en este sentido, y en cumplimiento de lo establecido por el RGPD del deber de comunicación a la autoridad de protección de datos competente de la designación del delegado de protección de datos, es la obligación para la Agencia Española de Protección de Datos de mantener una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.

Además, el delegado de protección de datos se configura como un medio de resolución amistosa de reclamaciones que no sean atendidas por el responsable o encargado del tratamiento.

LETSLAW

En Letslaw ayudamos a empresas de todo tipo a cumplir con la normativa en materia de protección de datos personales y en todo lo relacionado con el sector digital.