10 puntos que debes conocer (YA) de la nueva LOPD y GDD

Ya tenemos nueva LOPD, aunque esta vez tenga un apellido compuesto, con el añadido (no orgánico) de los derechos digitales y su garantía. Con más que un considerable retraso, tras la vigencia desde el 25 de mayo del RGPD, se publica en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Aunque su finalidad última sea la introducción en el ordenamiento jurídico interno del RGPD, ya directamente aplicable por su naturaleza jurídica, la LOPDGDD contiene sustanciales novedades, algunas de ellas vía modificación de otras normas, que conviene tener en consideración desde el primer momento, máxime a la vista de que su entrada en vigor se produce al día siguiente de su publicación en el BOE de 6 de diciembre de 2018 (muy constitucional), es decir, el 7 de diciembre. Por ello, a continuación realizamos una breve reseña de las 10 principales novedades a las que prestar atención:

1.- Legitimación de las Administraciones Públicas para utilizar y ceder datos personales

El art. 6 RGPD contiene las bases de legitimación para la utilización de los datos personales, de entre las cuales son dos las que sirven de base legal para la utilización y, en su caso, la cesión de datos por parte de las AAPP. Por un lado, cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, y, por otro,  cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En este tema, la LOPDGDD introduce un nuevo art. 8, relativo al “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos”, que aclara cuándo el tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) RGPD. Será cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, norma que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV RGPD.

2.- Utilización de nuestros datos para perfilación partidos políticos

La LOPDGDD añade un nuevo art. 58 bis a la Ley Orgánica 5/1985, de 19 de junio, del Régimen ElectoraL General, (LOREG )relativo a la “Utilización de medios tecnológicos y datos personales en las actividades electorales”, que ha levantado no pocas polémicas por la posible (indebida) utilización que de esos datos puedan hacer los partidos políticos, mediante técnicas de perfilación y que ha traido a la memoria el asunto de Cambridge Analytics, tal y como señala Borja Adsuara aquí y que ha provocado incluso el pronunciamiento “preventivo” de la Agencia Española de Protección de Datos (AEPD), en su criterio sobre cuestiones electorales en el proyecto LOPD, que puedes consultar aquí.

El nuevo precepto de la LOREG permite la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales, desde la consideración de que se encuentra  amparada en el interés público, con un condicionante, que se ofrezcan garantías adecuadas. Ahora bien, no se concretan dichas medidas, sino que se limita a señalar a continuación que los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral. Las posibilidades que ofrecen en la actualidad el tratamiento masivo de datos mediante técnicas de big data, inteligencia artificial requieren prestar especial atención a esta cuestión.

3.- Más funciones para el Delegado de Protección de Datos

Con algunas modificaciones, la LOPDGDD mantiene la configuración del Delegado de Protección de Datos (DPD), con una novedad en su art. 37, relativo a la “Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos”, mediante el reconocimiento de su papel como órgano intermedio de control.

De este modo, cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al DPD de la entidad contra la que se reclame.

En este caso, el DPD comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Es decir, se configura como una autoridad de control, escenario que plantearía problemas en aquellos casos en los que las AAPP hayan recurrido a la vía de la contratación externa, vía LCSP, para el desempeño de estas funciones, dada la reserva del ejercicio de las funciones públicas de autoridad.

4.- Redes sociales y protección de datos

La importancia que han adquirido las redes sociales en la vida cotidiana del conjunto de la sociedad sigue multiplicándose de un modo exponencial, y la información y datos personales que voluntaria o involuntariamente se exponen exigen adoptar una posición activa para su protección, que en nuestro ordenamiento todavía está poco regulada.

Su incorporación se produce vía art. 94, relativo al “Derecho al olvido en servicios de redes sociales y servicios equivalentes”, recogiendo el derecho de toda persona a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes, como los facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

También se incorpora el “Derecho de portabilidad en servicios de redes sociales y servicios equivalentes”, en el art. 95, gracias al cual los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible.

5.- Nuevas obligaciones de transparencia

No cabe duda de la conexión entre la transparencia y la protección de datos, como puede comprobarse en  Cómo afecta el RGPD al Portal de Transparencia. De ahí que la Disposición adicional segunda de la LOPDGDD, relativa  a la “Protección de datos y transparencia y acceso a la información pública” lleve a cabo la modificación de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno (LTBG).

Señala la modificación que la publicidad activa y el acceso a la información pública regulados  en la LTBG, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 LTBG, RGPD y en la propia ley orgánica, modificándose asimismo el art. 15 LTBG para su ajuste normativo.

Se introducen, por otra parte, nuevas obligaciones en materia de publicidad activa, al añadir un nuevo art. 6 bis, relativo al “Registro de actividades de tratamiento”,  que establece que los sujetos enumerados en el artículo 77.1 LOPDGDD, publicarán su inventario de actividades detratamiento en aplicación del artículo 31 de la misma.

6.- Protección de Datos de las personas fallecidas

Aunque algunas CCAA ya se habían adentrado a explorar la gestión de los datos de las personas fallecidas en el entorno digital, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los “Datos de las personas fallecidas”, que contempla que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Esta prohibición no afectará al derecho de los herederos aacceder a los datos de carácter patrimonial del causante. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.

También se contemplan las especialidades en el caso de fallecimiento de menores y de personas con discapacidad. A su lado y como uno de los derechos digitales en el  art. 96, el “Derecho al testamento digital”.

7.- Intermediación de datos en el Procedimiento Administrativo Común (LPAC)

Uno de los temas más controvertidos en la utilización de las Plataformas de Intermediación de Datos (PID) por las AAPP en ejecución del princpio «once&only», es la posible colisión entre el art. 28 Ley 39/2015, de1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC) y el RGPD, por cuanto este último veta el consentimiento tácito que es, en cierta medida , lo que recoge este precepto en su redacción original.

Tras la modificación de los apartados 2 y 3 del art. 28 LPAC se mantiene el reconocimiento a los interesados del derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o que hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello, sin que quepa oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección. Para ello las AAPP deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto. Las AAPP tampoco requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. Su obtención se realizará de igual modo al anterior supuesto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso.

Esta nueva redacción debe leerse a la luz de lo establecido en la Disposición adicional octava, relativa a la «Potestad de verificación de las Administraciones Públicas», que otorga dicha legitimidad al señalar que cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las AAPP, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

8.- Novedades en el régimen jurídico de los empleados (públicos y no públicos)

Los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral, puede ser objeto de garantías adicionales en los términos establecidos en el art 91, relativo a los “Derechos digitales en la negociación colectiva”,  pero como garantía básica y medida de protección de los trabajadores, se modifican las dos normas básicas que regulan las relaciones laborales.

Por una parte, en la Disposición final decimotercera, se modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, relativo a su derecho a la intimidad en relación con el entorno digital ya la desconexión. Y, en idénticos términos, para el sector público, al modificar la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, añadiendo una nueva letra j bis) en el art. 14, con la Disposición final decimocuarta. En ambos casos, se recoge el derecho  a la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en esta normativa.

9.- Modificación de importantes normas

Además de las citadas normas que se han citado, LOREG, LPAC y LTBG, se introducen modificaciones en otras relevantes normas que conviene examinar:

  • Disposición final cuarta. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

  • Disposición final quinta. Modificación de la Ley 14/1986, de 25 de abril, General de Sanidad.

  • Disposición final sexta. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

  • Disposición final séptima. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil

  • Disposición final octava. Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.

  • Disposición final novena. Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

  • Disposición final décima. Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de Educación.

10.- Introducción de los Derechos Digitales

Se incorpora un nuevo Título X, con una novedosa regulación, relativa a la “Garantía de los derechos digitales”, en la que se recogen derechos que introducen en el ordenamiento jurídico aspectos necesarios para adaptar la norma a la sociedad actual cuya actividad pivota en gran medida en un entorno digital

Artículo 79. Los derechos en la Era digital.
Artículo 80. Derecho a la neutralidad de Internet.
Artículo 81. Derecho de acceso universal a Internet.
Artículo 82. Derecho a la seguridad digital.
Artículo 83. Derecho a la educación digital.
Artículo 84. Protección de los menores en Internet
Artículo 83 .Derecho a la educación digital.
Artículo 84 .Protección de los menores en Internet.
Artículo 85. Derecho de rectificación en Internet.
Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales.
Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
Artículo 88. Derecho a la desconexión digital en el ámbito laboral
Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
Derecho de rectificación en Internet
Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
Artículo 91. Derechos digitales en la negociación colectiva.
Artículo 92. Protección de datos de los menores en Internet.
Artículo 93. Derecho al olvido en búsquedas de Internet.
Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes.
Artículo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
Artículo 96. Derecho al testamento digital.
Artículo 97. Políticas de impulso de los derechos digitales.

Sobre esta materia recomiendo la lectura de Rafael Jiménez Asensio Protección de datos y Derechos digitales

Para cerrar, simplemente recordar que no todos los preceptos de la LOPDGDD goza de la protección reforzada de la Ley Orgánica, pues tal y como señala la Disposición Final Primera tendrán naturaleza de ley ordinaria : el Título IV, el Título VII, salvo los artículos 52 y 53, que tienen carácter orgánico, el Título VIII, el Título IX, los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X, las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico, las disposiciones transitorias y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.