Nueva Ley de Protección de Datos. Aprobada y en vigor desde el 7/12/18

La Nueva Ley de Protección de Datos, llamada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD). Fue aprobada en el Senado por mayoría absoluta, el pasado 6 de diciembre. Adapta el ordenamiento español y desarrolla el contenido del Reglamento Europeo de Protección de Datos (RGPD). Vigente desde el 25 de mayo de 2018.

La principal aportación de esta LOPD al contenido del RGPD, es la regulación de las garantías de los derechos digitales. Poniendo a nuestro país como primera referencia europea en la regulación de esta materia.

A continuación la resumimos y destacamos algunos puntos clave de la nueva LOPD, en vigor desde el 7 de diciembre.

Nueva Ley de Protección de Datos

Puntos Claves

Consentimiento para el tratamiento. En la línea con lo dispuesto por el RGPD, se establece que el consentimiento deberá ser específico e inequívoco. Además de que se otorga para todas las finalidades de tratamiento. La edad mínima para prestar consentimiento se fija en 14 años.

Deber de información. Se establece un sistema de dos capas mediante el cual los afectados deben ser informados acerca del tratamiento de sus datos. Cuando los datos sean obtenidos del afectado, el responsable podrá cumplir su obligación de información facilitando al afectado una primera capa de información básica. Indicando cómo el afectado puede acceder a la restante información, de forma gratuita e inmediata.

Conservación de los datos. El plazo de conservación en los sistemas o canales de denuncias internas será de tres meses desde la denuncia.

Bloqueo de datos (impedir el tratamiento y/o visualización de los datos). La cancelación dará lugar al bloqueo de los datos. Que se conservarán únicamente para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Se establece, por tanto, la obligación de bloquear los datos cuando proceda su supresión o rectificación.

Sistema de información crediticia. En referencia al tratamiento de datos de solvencia de las personas. Se establecen las condiciones para considerar lícito el tratamiento:

en primer lugar, que la información sea facilitada por el acreedor
y además, que los datos incluidos se refieran a deudas ciertas, vencidas y exigibles. Lo cual incluye la circunstancia de que el deudor no haya presentado reclamación sobre la existencia de la deuda.

Video-vigilancia. Se establece su licitud, incluso para imágenes captadas en la vía pública, siempre que el tratamiento sea proporcional y necesario para preservar la seguridad de las personas, bienes e instalaciones vigiladas. Las imágenes deberán ser suprimidas en el plazo máximo de un mes.

Delegado de Protección de Datos (DPO)

Se establecen qué entidades deberán asignar un DPO:

Colegios profesionales.
Centros docentes.
Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
Prestadores de servicios de la sociedad de la información, cuando elaboren a gran escala perfiles de los usuarios del servicio.
Entidades de ordenación, supervisión y solvencia de entidades de crédito.
Establecimientos financieros de crédito.
Entidades aseguradoras y reaseguradoras.
Empresas de servicios de inversión.
Distribuidores y comercializadores de energía eléctrica.
Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y de crédito.
Entidades que desarrollen actividades de publicidad y prospección comercial. Cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Centros sanitarios.
Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
Operadores que desarrollen la actividad del juego a través de canales electrónicos.
Entidades de seguridad privada.
Federaciones deportivas.

El incumplimiento de esta obligación conllevará la correspondiente sanción.

Derechos Digitales

Neutralidad de la Red. Los usuarios tienen derecho a la neutralidad en Internet. Por lo tanto, toda la información que circula debe ser tratada de la misma forma, sin que pueda discriminarse por razones de quién la emita o la reciba.

Acceso universal. El acceso universal a Internet deberá ser asequible, de calidad y no discriminatorio para la población. Atendiendo las necesidades específicas de los entornos rurales.

Derecho a la seguridad y educación digital. Los usuarios tienen derecho a la seguridad de las comunicaciones transmitidas y recibidas a través de Internet.

Derecho a la portabilidad. Es decir, a recibir y transmitir los contenidos que los usuarios hubieran facilitado a los prestadores de los servicios. Así como que los prestadores los transmitan directamente a otro prestador designado por el usuario.

Derecho al testamento digital. Regula quiénes podrán acceder y decidir sobre los contenidos gestionados por prestadores de servicios de la sociedad de la información, en referencia a personas fallecidas. Estarán legitimadas las personas vinculadas al fallecido (familiares y herederos), entre otras.

Derecho a la rectificación digital. Aquel que otorga a su titular la capacidad de exigir la rectificación de informaciones vertidas en medios de comunicación digitales. La LOPD lo extiende a redes sociales y otras plataformas digitales. Y establece pautas obligatorias a incluir en los protocolos de los proveedores de servicios para garantizar este derecho.

Derecho al olvido. Aquel que otorga a su titular la potestad de exigir a los motores de búsqueda que eliminen de los resultados aquellos enlaces con información inadecuada, inexacta, no pertinente, no actualizada o excesiva.

Sanciones

Con respecto a la imposición de sanciones por incumplimiento, se diferencia:

El procedimiento sancionador para el supuesto de falta de atención a una solicitud de ejercicio de los derechos por parte de un titular.

Para el supuesto de una infracción del contenido del RGPD.

Finalmente, para el caso de tramitación del procedimiento por haber recibido la Agencia de Protección de Datos una denuncia de otro estado miembro o su autoridad de control.

Por lo tanto, no dude en ponerse en contacto con nuestro Departamento Jurídico, para poder valorar las acciones a adoptar por su empresa en materia de cumplimiento de la normativa de protección de datos.