El pasado 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) que deroga la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de diciembre.

Esta nueva normativa es la encargada de transponer al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, más conocido como Reglamento General de Protección de Datos (RGPD), así como completar sus disposiciones.

Además, se ha incorporado a su objeto una importante novedad: garantizar los derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española.

Tras la aprobación de esta nueva Ley de protección de datos, el derecho fundamental de las personas físicas a la protección de datos personales se ejercerá con arreglo a lo establecido tanto por el RGPD como por la propia Ley Orgánica, pero, ¿cuáles son sus principales novedades?

LEGITIMACIÓN PARA EL TRATAMIENTO

De acuerdo con lo establecido en el RGPD, el tratamiento de datos de los interesados debe estar en todo caso amparado en alguna de las bases legales recogidas por la normativa en materia de protección de datos, en este sentido la nueva Ley Orgánica introduce las siguientes novedades:

El consentimiento del interesado

Se recuerda nuevamente que el consentimiento del interesado necesario para legitimar el tratamiento de datos ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como «consentimiento tácito», y se indica que en el caso de que el consentimiento del afectado se obtenga para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se otorga para todas ellas. Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.

✓ El interés legítimo

Se presume, salvo prueba en contrario, la prevalencia del interés legítimo del responsable para el tratamiento de los datos profesionales de las personas físicas que presten servicios en una persona jurídica, así como respecto de los datos de los empresarios individuales y a los profesionales liberales, sin necesidad de haber recabado previamente su consentimiento cuando se lleven a cabo una serie de requisitos:

  1. a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  2. b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Esto no significa que el tratamiento de tales datos no resulte lícito cuando no se cumplan los citados requisitos, sino que, en estos casos, no se presumirá la prevalencia del interés legítimo del responsable, sino que deberá llevar a cabo una ponderación de intereses para determinar cual prevalece en cada caso, o bien amparar el tratamiento en otra de las bases legales que lo legitiman.

Tratamientos relacionados con la realización de determinadas operaciones mercantiles

Se presume, salvo prueba en contrario, la licitud de los tratamientos de datos sin necesidad de autorización previa, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que se cumplan dos requisitos: (i) que los tratamientos fueran necesarios para el buen fin de la operación y (ii) que garanticen, cuando proceda, la continuidad en la prestación de los servicios.

✓ Categorías especiales de datos

En relación con el tratamiento de categorías especiales de datos como son, los datos de origen étnico o racial, el tratamiento de datos genéticos, datos relativos a la salud o datos relativos a la vida sexual una persona física, por ejemplo, la Ley Orgánica consagra lo establecido en el RGPD prohibiendo el tratamiento de las categorías especiales de datos salvo en los supuestos en que la Ley expresamente lo habilite.

En este sentido, señala que el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de estos datos, si bien si podrán tratarse al amparo de los restantes supuestos contemplados en el artículo 9.2 del RGPD.

Uno de estos supuestos es que el tratamiento de determinados datos especiales se encuentre amparado en una norma con rango de ley. . Dicha previsión no sólo alcanza a las disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima.

En este sentido, la Ley Orgánica introduce una serie de previsiones específicas encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, permitiendo en algunos supuestos amparar el tratamiento de los datos en el consentimiento del interesado.

EL PAPEL DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Siguiendo el mandato del RGPD, las autoridades de control se han de establecer por ley nacional.

De este modo, y manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, la Ley Orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control.

DELEGADO DE PROTECCIÓN DE DATOS

La figura del delegado de protección de datos adquiere una destacada importancia en el RGPD y así lo recoge la Ley Orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

La principal novedad introducida por la Ley Orgánica en este sentido, y en cumplimiento de lo establecido por el RGPD del deber de comunicación a la autoridad de protección de datos competente de la designación del delegado de protección de datos, es la obligación para la Agencia Española de Protección de Datos de mantener una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.

Es necesario destacar, además, que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.

PROCEDIMIENTOS EN CASO DE POSIBLE VULNERACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

Ante posibles vulneraciones de la normativa en materia de protección de datos, el RGPD establece un sistema en el que existe una autoridad de control principal y un procedimiento de cooperación entre autoridades de los Estados miembros. En caso de discrepancia entre posibles resoluciones de ambas autoridades, se prevé que la misma se resuelva mediante decisión vinculante del Comité Europeo de Protección de Datos.

La nueva Ley Orgánica se limita a establecer el régimen jurídico de estos procedimientos: la iniciación de los mismos, la inadmisión de las reclamaciones, las actuaciones previas de investigación, las medidas provisionales y el plazo de tramitación de los procedimientos y, en su caso, su suspensión dejando al desarrollo reglamentario las especialidades del procedimiento.

Además, se prevé la posibilidad de que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta.

EL RÉGIMEN SANCIONADOR

El sistema de sanciones que establece el RGPD, permite un amplio margen de actuación por los Estados Miembros.

En este marco, la Ley Orgánica procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, de acuerdo a la diferenciación que el RGPD establece al fijar la cuantía de las sanciones.

La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, limitándose a enumerar de manera ejemplificativa algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.

En cuanto a la cuantía de las sanciones, la Ley Orgánica aprovecha la cláusula residual del artículo 83.2 del RGPD, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el artículo 45.4 y 5 de la Ley Orgánica 15/1999 tales como vinculación de la actividad del infractor con la realización de tratamientos de datos o el volumen de negocio o actividad del infractor.

ÁMBITO DE APLICACIÓN MATERIAL

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos, puedan solicitar el acceso, rectificación o supresión de los mismos con sujeción a las instrucciones del fallecido.

DERECHOS DIGITALES DE LOS CIUDADANOS CONFORME AL MANDATO ESTABLECIDO EN LA CONSTITUCIÓN

La principal novedad de la Ley Orgánica se encuentra recogida en su Título X, en el que se incluye como objeto de regulación de la misma, los derechos y libertades predicables al entorno de Internet tales como la neutralidad de la red y el acceso universal o los derechos a la seguridad y educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupan también un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet, la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.