¿Qué es lo más destacado de la nueva LOPD?

Datos Personales, RGPD 7 minutos

Por fin llegó la hora de la nueva LOPD (apellidada además y de Garantía de Derechos Digitales). Ya se ha publicado en el BOE y es la Ley Orgánica 3/2018. Pero ¿que es lo que nos aporta de nuevo en comparación con el Reglamento General de Protección de Datos? Pues la verdad que poco o nada, lo que se exigía en Reglamento, se va a seguir exigiendo en la nueva LOPD. No obstante, si que , en algunos aspecto clarifica a algún concepto o situación.

A continuación, expondré lo más destacado que, a mi entender nos trae la nueva LOPD:

  • Datos de personas fallecidas: Se regula el acceso, rectificación y/o supresión a los datos de esas personas en determinadas situaciones:
    • De personas vinculadas por razones familiares o de hecho.
    • De personas o instituciones a las que el fallecido hubiese designado expresamente para ello.
    • De los representantes legales de los menores y del Ministerio Fiscal.
    • De los representantes legales de las personas con discapacidad, del Ministerio Fiscal y del personal de apoyo.
  • Consentimiento de menores: La edad en las que pueden consentir al tratamiento son 14 años. Es decir, es una posibilidad, no una obligación que consientan de 14 años en adelante.
  • Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos: Debe fundamentarse en una norma legal que recoja esa obligación legal, interés público o ejercicio de poder público. A este respecto la AEPD ha analizado la base jurídica de los tratamientos de datos por parte de Administraciones Públicas en su Informe 2018-185, señalando que «el RGPD no considera el consentimiento como un “fundamento jurídico válido” para el tratamiento de los datos por una Administración Pública».
  • Categorías especiales de datos: No vale sólo el consentimiento para tratar datos de ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, sino que, además, hay que estar en los supuestos del artículo 9.2 RGPD.
  • Datos de contacto y de empresarios individuales: La base jurídica para su tratamiento sería el interés legítimo cuando su finalidad sea profesional.
  • Videovigilancia: La finalidad de la videovigilancia será la de preservar la seguridad de las personas y bienes, así como de sus instalaciones. Los datos deberán ser suprimidos al de 1 mes y el derecho de información se puede cumplir con un Cartel en el que se recoja el tratamiento, el responsable de tratamiento, el lugar ejercicio de derechos y el lugar donde consultar más información.
  • Archivo Público Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en base al interés público que será el propio RGPD y la normativa sectorial de archivo y patrimonio.
  • Tratamiento de infracciones penales y administrativas: Sólo se podrán tratar estos datos:
    • Cuando los responsables de tratamiento sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones, siempre y cuando, estos datos sean estrictamente necesarios para la finalidad perseguida por esos órganos.
    • Cuando se prevea por una norma legal.
    • Cuando se lleve a cabo Abogados y Procuradores, con objeto de recoger la información facilitada por sus clientes en el ejercicio de sus funciones.
  • Responsabilidad activa, protección de datos desde el diseño y por defecto: Para la adopción de las medidas específicas. se tendrá en cuenta estos riesgos:
    • Perjuicio económico, moral o social significativo para los afectado en el tratamiento.
    • Privación de derechos o control de los datos.
    • Tratamiento no incidental de Categorías especiales de datos.
    • Tratamiento que revele una evaluación de aspectos personales de los afectados.
    • Tratamiento de datos de personas vulnerables como menores o personas discapacitadas.
    • Tratamiento masivo de datos (muchas personas o muchos datos).
    • Otros que considere el Responsable o Encargado de Tratamiento.
  • Registro de actividades de tratamiento: Cualquier adición, modificación o exclusión en el contenido del registro se debe comunicar al Delegado de Protección de datos. Además el Sector Público debe hacer público este Registro de Actividades.
  • Bloqueo de datos: Es una paso previo a la eliminación de los datos que significa que no se pueden utilizar datos bloqueados para ninguna finalidad, salvo puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes.
  • Delegado de protección de datos (DPD):
    • Se establece un listado de entidades obligada a su nombramiento (Artículo 34.1).
    • Se debe garantizar la independencia del DPD.
    • El DPD debe documentar y comunicar toda vulneración de la normativa al Responsable de Tratamiento.
    • La persona interesada puede comunicarse con DPD antes que reclamar ante la autoridad de control. La contestación se debe realizar en 2 meses.
  • Tipificación de sanciones:
    • Muy graves: La que supongan una vulneración sustancial del artículo 83.5 y del 83.6 del Reglamento General de Protección de Datos. (3 años de prescripción).
    • Graves: La que supongan una vulneración sustancial del artículo 83.4 del Reglamento General de Protección de Datos (2 años de prescripción).
    • Leves: Resto, es decir, infracciones de carácter meramente formal del 83.4 y 83.5 del Reglamento General de Protección de Datos(1 año de prescripción).
  • Sanciones: Las previstas en del Reglamento General de Protección de Datos. No obstante, para el Sector Público se prevén estas sanciones:
    • Apercibimiento.
    • Iniciación de actuaciones disciplinarias.
    • Amonestación.
    • Comunicación al Defensor del Pueblo.
  • Medidas de seguridad en el ámbito del sector público: Se remite al Esquema Nacional de Seguridad.
  • Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos: Se deberá realizar de la siguiente manera:
    • Publicación de un acto administrativo: Nombre y apellidos + cuatro cifras numéricas aleatorias del documento identidad.
    • Notificación por medio de anuncios en virtud del artículo 44 Ley 39/201): Identificación únicamente con su DNI (si no tuviera nombre y apellidos).
    • “En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente”.
    • Se prevé elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos a víctimas de violencia de género.
  • Potestad de verificación de las Administraciones Públicas: Cuando una persona interesada formule una solicitud a una Administración Pública en la que declare datos personales que ya obre en poder de la Administración Pública, el órgano al que se remite la solicitud podrá efectuar las verificaciones necesarias para comprobar la veracidad de esos datos.
  • Prácticas agresivas en materia de protección de datos: Se recogen una serie de prácticas agresivas de acuerdo a la normativa de Competencia.
  • Tratamientos de datos de salud: Estará amparado vía interés público, fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, salud pública e investigación científica o histórica o fines estadísticos, tratamientos derivados de varias normas legales sanitarias.
  • Tratamiento de datos de salud en el ámbito de la investigación: Se recogen una serie de criterios de cómo realizar estas actividades para que encaje con la normativa de protección de datos. A este respecto recomiendo la lectura de la ponencia de Gonzalo Álvarez “Anonimización de datos para la investigación biomédica” .
  • Tratamiento por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales: Continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la Directiva 680/2016. Lo que en definitiva significa que la LOPD no quede formalmente derogada.
  • Contratos de encargado del tratamiento: Se sigue con el régimen temporal creado por el Real Decreto-Ley 5/2018:
    • Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018: Hasta fecha vencimiento o 22 de mayo 2022.
    • Hasta ese plazo los contratos se pueden modificar a exigencia de una de las partes.
  • Modificaciones normativas: Se modifican leyes, para que el Reglamento General de Protección de Datos y, los nuevos derechos digitales, encajen mejor en el ordenamiento jurídico. En concreto:
    • Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial
    • Ley 14/1986, de 25 de abril, General de Sanidad
    • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
    • Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil
    • Ley Orgánica 6/2001, de 21 de diciembre, de Universidades
    • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
    • Ley Orgánica 2/2006, de 3 de mayo, de Educación
    • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
    • Texto refundido de la Ley del Estatuto de los Trabajadores.
    • Texto refundido de la Ley del Estatuto Básico del Empleado Público
    • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Pública
  • Modificación de la normativa electoral: Sin duda una polémica modificación (estupendamente explicada por Francisco Javier Sempere en Privacidad Lógica), que permite a los partidos políticos en períodos electorales utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas.

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Publicado por Gontzal

Especialista en Derecho de las TIC. Colegiado en el Colegio de la Abogacía de Bizkaia. Interesado en todo lo que se cuece en/para/por Internet.

Publicado

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.