En ciernes de las navidades Santa Claus nos trajo la nueva ley de protección de datos de carácter personal. Publicada en el B.O.E. (Boletín Oficial del Estado) en fecha de 5 de diciembre de 2018, recoge todos los requisitos derivados del reglamento europeo 2016/679 y alguna novedad que aquí vamos a intentar aclarar.

Mencionada Ley se vertebra en 97 artículos y unas cuantas decenas de disposiciones más. Como viene siendo habitual en este país, legislación y simpleza no casan de ninguna manera.

 

Garantías y Derechos Digitales

Uno de los cambios más significativos respecto a la anterior LOPD y al Reglamento General, es la inclusión de un nuevo capítulo de Garantías y Derechos Digitales, que implicará grandes cambios de concepción en el sí de las organizaciones y que afecta de lleno en la disciplina de la psicosociología en Prevención de Riesgos Laborales.

La ley indica que todo empleado tendrá derecho a la desconexión digital fuera de su horario de trabajo, es decir, que el empleado no tendrá la obligación de responder a correos electrónicos, waps up, mensajes, etc que le sean enviados fuera del horario y/o fines de semana, al igual que a la desconexión digital en periodos de vacaciones. Con este aspecto se pretende, entre otros, reducir los riesgos psicosociales de los empleados.

Dentro de la desconexión digital, se incluye la geolocalización de los vehículos de empresa fuera del horario laboral y vacaciones de los empleados. La nueva Ley indica que la organización no podrá utilizar los datos de geolocalización y se restringe el uso de este sistema durante dichos periodos, siempre que la empresa tenga acceso a dicha geolocalización.

La organización deberá informar a los empleados y directivos de que su vehículo está siendo geolocalizado sea cual sea la situación.

Para conocer el alcance y aplicación de este capítulo, deberemos estar atentos a las directrices que marque la AEPD en esta dirección y a que remitan las conclusiones que crean convenientes. Además, se deberán llegar a acuerdos entre sindicatos y empresa en el marco de los Convenios Colectivos para la concreción de la misma.

La Garantía de derechos digitales se extiende, regulando cuestiones como el derecho de acceso universal a internet, la educación digital o el derecho a la seguridad de las comunicaciones.

En relación al RGPD, es la edad de los menores en derechos digitales que pasa de 16 años en EU a 14 años en España igual que indicaba la LOPD. También revela las garantías que deberán tener las aplicaciones para que los menores puedan realizar el ejercicio de derechos digitales, así como, que el uso y el contenido que cuelguen en las redes, sea de acuerdo con la normativa.

 Figuras ejecutivas

Al Delegado de Protección de Datos (DPO) se le añaden algunas notas que aportan claridad respecto a la acreditación de sus aptitudes (se utilizarán sistemas de certificación y títulos universitarios que demuestren sus conocimientos en Derecho y protección de datos) y otras encaminadas a reforzar su independencia frente al responsable. Además, el texto ya recoge hasta dieciséis sectores donde el empresario deberá nombrar de manera obligatoria a un DPO si no quiere incurrir en infracciones administrativas. Se hace énfasis en la acreditación de las aptitudes e independencia del DPO.

Otra novedad, quizás la menos esperada, pero de gran importancia, es la formación del profesorado en materia de protección de datos. Los profesores deberán ser conocedores de la ley con el objetivo de formar y divulgar su contenido entre el alumnado e inculcar buenas prácticas en el uso de Internet y redes sociales.

 Tratamientos

Un cambio importante respecto a la anterior LOPD, aunque ya se manifestaba en el Reglamento Europeo, es el acceso a los datos de los difuntos por parte de los familiares, es decir, la familia podrá acceder a los datos de sus difuntos y ejercer el derecho cancelación de dichos datos, especialmente en lo que concierne a datos digitales (Facebook, Twitter, etc) hecho que no estaba permitido por la anterior Ley.  Este derecho podrá ser ejercido por los familiares exceptuando aquellos que se indiquen en las últimas voluntades. En el caso de menores serán los representes legales de los mismos los que podrán ejercer dichos derechos.

Respecto al deber de transparencia e información, el responsable debe poner a disposición y de manera accesible la información relativa al tratamiento que lleva a cabo. Para evitar cargas desproporcionadas se regula el método de información por capas, tan habitual en algunos tratamientos como la instalación de cookies o la videovigilancia. Se reduce la información que debe aparecer en la primera capa, que ahora, solo requerirá expresar la identidad del responsable, la finalidad del tratamiento y la posibilidad de los interesados de ejercer sus derechos. Implicando mayor sencillez en conocer qué tratamiento hacen de nuestros datos y cómo ejercer nuestros derechos.

Los tratamientos excepcionales basados en interés legítimo se incluyen en una serie de tratamientos concretos que podrán encuadrarse dentro del interés legítimo del art. 6.1.f RGPD. Esto permitirá trabajar con una cierta seguridad jurídica a la hora de llevar a cabo distintas operaciones como puedan ser el tratamiento de datos de contacto en el ámbito profesional, la consulta de ficheros de exclusión publicitaria o los sistemas de denuncias internas. Del mismo modo, se crea un apartado para habilitar legalmente y de forma expresa el tratamiento de datos que llevan a cabo abogados y procuradores respecto a infracciones y condenas. Facilita ciertos tratamientos basados en el interés legítimo.

Régimen sancionador

Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.

La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.

La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.

Así, el régimen español de infracciones se divide en:

MUY GRAVES:

Las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…

Este tipo de infracción prescribe a los 3 años.

GRAVES:

Las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.

Este tipo de infracción prescribe a los 2 años.

LEVES:

Las restantes que no queden contempladas en los grupos anteriores.

Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.

Disposiciones de la Ley

De las disposiciones adicionales conviene destacar la prohibición de incorporar datos personales en los conocidos como ficheros de morosos en caso de deudas inferiores a cincuenta euros, la regulación del método de identificación de personas en anuncios y publicaciones administrativas o la ya conocida regla de validez de los contratos de encargo suscritos con anterioridad al 25 de mayo (mantendrán su vigencia hasta la fecha de vencimiento señalada o, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022). Estas disposiciones adicionales dan un respiro muy importante a las empresas con un número importante de encargados de tratamiento para actualizar sus contratos.

En las Disposiciones finales se modifican otras leyes con el fin de armonizarlas a los principios del RGPD. Estas modificaciones afectan, entre otros, a la conservación del historial clínico del paciente, la formación dentro de las escuelas y universidades en derechos y habilidades tecnológicas, la regulación de los datos censales o el derecho a la intimidad en el uso de los dispositivos facilitados por el empleador. Nuevamente se incide en el incremento de derechos de los ciudadanos.

Por último, el Esquema Nacional de Seguridad (ENS) merece especial atención la Disposición Adicional Primera porque consagra al ENS como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas privadas que operan en él.

Para conocer el desarrollo y aplicación de estos cambios y de toda la ley en general, se deberá prestar atención de forma permanente a las directrices que marque la Autoridad de Control a partir de ahora.