El pasado 25 de Mayo de 2018 y después de dos años desde su entrada en vigor, el Reglamento General de Protección de Datos 2016/679 (RGPD) comenzó a ser de obligado cumplimiento y aplicación para todas aquellas empresas que tratamos datos de carácter personal en el ámbito de la Unión Europea (salvo las excepciones previstas).
Esta nueva normativa modificó el paradigma y la forma de entender la protección de datos de las personas físicas, pasando de un modelo puramente reactivo, en donde las empresas nos sentíamos relativamente cómodas cumpliendo una serie de requerimientos establecidos en el Reglamento de Desarrollo de la Ley 15/1999, a un modelo de carácter anglosajón que introduce términos como responsabilidad proactiva, privacidad desde el diseño y por defecto, enfoque de riesgos, evaluación de impacto o delegado de protección de datos, entre otros.
Ya no se trata de cumplir unos requisitos mínimos, como responsables o encargados de tratamiento, ahora debemos tener una conducta diligente, estudiar y analizar los riesgos que conllevan nuestras actividades de tratamiento e implementar las medidas de seguridad necesarias y proporcionales a dichos riesgos. Adicionalmente y en aras de dar cumplimiento al principio de responsabilidad proactiva, debemos ser capaces de demostrar que dichas medidas son las adecuadas.
Sin apenas haber tenido tiempo para adaptarnos al nuevo Reglamento General de Protección de Datos, el pasado 5 de diciembre entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPD), que deroga la Ley Orgánica 15/1999 del 13 de Diciembre, con la finalidad de completar y/o desarrollar aquellos preceptos permitidos o exigidos por la norma europea.
Es por ello que, en estos momentos, nos encontramos con dos normas conectadas entre sí que, en no pocas ocasiones, nos exigirá realizar una doble consulta para poder comprender y aplicar lo que el legislador europeo y nacional nos exige.
Sin la intención de hacer un análisis exhaustivo, expondremos a continuación las principales novedades que introduce esta nueva LOPD y que debemos considerar a la hora de gestionar e implementar nuestra Política de Protección de Datos.
- PERSONAS FALLECIDAS.
La norma europea establece, en su considerando 27, que no aplica a los datos personales de personas fallecidas y permite a los Estados Miembros regular su tratamiento.
La LOPD, en su art. 3, permite a las personas vinculadas al fallecido por razones familiares o de hecho, así como a sus herederos dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, con la excepción que la persona fallecida lo haya prohibido expresamente.
Si bien este precepto se constituyó pensando más en las Redes Sociales y en la actividad en línea, se extiende a todo tipo de tratamiento (automatiza o no) realizado por cualquier responsable o encargado.
- MENORES DE EDAD.
El RGPD en su art. 8 regula las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información, estableciendo que el tratamiento de los datos personales de un niño, en relación de la oferta directa de servicios de la sociedad de la información, se considerará lícito cuando el niño tenga como mínimo 16 años. Si el niño es menor de 16 años, el tratamiento solamente se considerará lícito si el consentimiento lo dio o lo autorizó el titular de la patria potestad o tutela sobre el niño (…).
Por otro lado, se da libertad a los Estados Miembros de la UE a establecer una edad inferior, siempre que no sea inferior a 13 años.
La LOPD finalmente, establece dicha edad mínima para la prestación del consentimiento en 14 años.
- INFORMACIÓN POR CAPAS.
En virtud del principio de transparencia y según los art. 13 y 14 del RGPD, la persona interesada tiene derecho a ser informada de varios aspectos relativos al tratamiento de sus datos de carácter personal. Dicho derecho del interesado se convierte en obligación de los responsables o encargados de tratamiento, quienes deben dar cumplimiento a dicho principio de una forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si la información va dirigida a un niño.
Debido a la gran cantidad de información que nos exige aportar el RGPD a los interesados, la LOPD, en su art. 11, establece la posibilidad de facilitar dicha información en dos capas. Una primera capa con una información básica que debe contener, al menos, los datos del responsable, la finalidad del tratamiento y la posibilidad de ejercer los derechos y un apartado de información adicional, bien a través de una dirección electrónica u otro medio, que permita acceder de forma sencilla e inmediata a la restante información.
En el caso de no haber obtenido los datos directamente del interesado, en la primera capa deberemos informar adicionalmente de las categorías de datos objeto del tratamiento y sus fuentes de procedencia.
- BLOQUEO DE LOS DATOS.
La LOPD introduce un término no contemplado en el RGPD, a saber, el bloqueo de los datos. En su art. 32 exige al responsable del tratamiento el bloqueo de los datos cuando proceda a su rectificación o supresión, esto es, cuando dejen de ser necesarios para la finalidad para cuál han sido recogidos.
El bloqueo de los datos consiste en su identificación y reserva, adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización. Desde el momento del bloqueo de los datos, solamente estarán disponibles para su puesta a disposición a jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en partículas las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de los mismos.
Transcurrido ese plazo, los datos deben ser destruidos.
La norma autoriza, cuando nuestro sistema no permita el bloqueo, realizar una copia segura de la información (en un disco duro externo, por ejemplo) y asegurando la no manipulación de dichos soportes.
Sirva de ejemplo la pérdida de un cliente (por cualquier motivo) del cuál somos responsables de determinados datos relacionados con la Prevención de Blanqueo de Capitales. La LOPD nos exige bloquear esos datos durante el plazo durante el cual se nos puedan exigir responsabilidades, que en este caso concreto sería de diez años. Pasado ese plazo, los datos deben ser eliminados.
- CONTRATOS DE ENCARGADO DE TRATAMIENTO.
La LOPD, en su disposición transitoria quinta incluye los plazos de vigencia de los contratos de encargado de tratamiento firmados con anterioridad al 25 de mayo del 2018. Recoge lo ya establecido en el derogado Real Decreto-ley 5/2018, de 27 de julio de medidas urgentes para la adaptación del Derecho Español a la normativa de la UE en materia de protección de datos, estipulando que dichos contratos mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
- DELEGADO DE PROTECCIÓN DE DATOS.
El art. 37 del RGPD exige la designación de un Delegado de Protección de Datos en los siguientes supuestos:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos (…).
El art. 34 de la LOPD establece una lista sectorial de sujetos obligados, ampliando considerablemente la obligatoriedad de su nombramiento. Entre otros organismos estarán obligados:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes regulados por la Ley General de Educación, así como las universidades públicas y privadas.
- Entidades aseguradoras y reaseguradoras.
- Entidades responsables de ficheros regulados por la legislación de prevención de blanqueo de capitales y financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial (…).
- Los centros sanitarios obligados al mantenimiento de las historias clínicas.
- GARANTÍA DE DERECHOS DIGITALES.
Sin duda la mayor novedad de la nueva LOPD teniendo en cuenta que el Título X sobre Garantías de Derechos Digitales no existía en el proyecto de Ley remitido por el Gobierno al Congreso en noviembre de 2017.
Se trata de un título muy discutido, en tanto y cuanto regula determinados aspectos que parecen, a priori, más susceptibles de inclusión en el Estatuto de los Trabajadores o en la Ley del Menor que en una Ley Orgánica de Protección de Datos.
Este Título X de la LOPD regula nuevos derechos relacionados con la era digital tales como la neutralidad en internet, la seguridad digital, la educación digital, la protección de los menores en internet o el derecho a la rectificación en internet y la rectificación de informaciones en medios de comunicación digitales. Así mismo, la norma recoge también el derecho al Testamento Digital.
Por otro lado, regula aspectos relacionados con los derechos laborales de los trabajadores en el ámbito digital, tales como el derecho a la intimidad y dispositivos móviles en el ámbito laboral, el derecho a la desconexión digital de los trabajadores o el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, entre otros.
- PARTIDOS POLÍTICOS.
Así como las Garantías de Derechos Digitales ha sido muy discutido, ya no tanto por su redacción sino por su inclusión en la LOPD, el apartado más polémico de la norma ha sido la inclusión de la Disposición Adicional Tercera que modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que añada el art. 58 bis donde se dispone que:
- La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
La polémica está servida.
La redacción de este precepto incluye términos y definiciones no recogidos en el RGPD, tales como Fuentes de Acceso Público. Incluso incluye las páginas web dentro de este ámbito, algo que no hacia la anterior LOPD.
El hecho de no considerar la propaganda electoral como comunicaciones comercial y por tanto, no someterla al amparo de lo dispuesto en la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (en caso de comunicaciones electrónicas) no es algo nuevo, en tanto y cuanto este ha sido el criterio de la Agencia Española de Protección de Datos en varios informes durante los últimos años.
Si bien es cierto que esta modificación parece permitir, a priori, el envío de propaganda electoral en base a la elaboración de perfiles ideológicos de las personas físicas por parte de los partidos políticos, la Agencia Española de Protección de Datos se ha apresurado a emitir una nota de prensa explicando las limitaciones y restricciones que dichos partidos políticos han de tener en consideración.
Entre otras, determina que los partidos políticos solamente podrán tratar opiniones políticas cuando estas hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica. Continua diciendo que este precepto no ampara aplicar tecnologías de big data o inteligencia artificial para inferir la ideología política de una persona, ya que esto supondría una violación de su derecho fundamental a no declarar su ideología.
La idea pasa por permitir a los partidos políticos basarse en el “interés público” para conocer las inquietudes de los ciudadanos de cara a elaborar un programa electoral acorde a dichas inquietudes. En ningún caso enviar propaganda electoral personalizada en base a un perfil ideológico previo.
Tendremos que verlo para creerlo.
2019…más cambios…Hacía un camino de cultura de cumplimiento.
Habiendo sido este año 2018 el año de “La Protección de Datos” por excelencia, los cambios no terminan aquí.
Tenemos en el horizonte la aprobación del Reglamento Europeo de Privacidad y Comunicaciones Electrónicas que derogará a la actual LSSI y CE, un futuro Reglamento de Desarrollo de la actual LOPD, una propuesta de Reglamento Europeo de Ciberseguridad y una propuesta para un nuevo ¡Reglamento Europeo de Protección de Datos No Personales!