Ya tenemos oficialmente nueva Ley de Protección de Datos Personales. ¿Cuáles son sus principales novedades?

El pasado 5 de Diciembre fue definitivamente aprobada la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la cual fue publicada al día siguiente, entrando en vigor el viernes 7 de diciembre.

La LOPDGDD viene acompañada de nuevas y numerosas novedades para las empresas y como no, para los organismos públicos, de las que podemos destacar las siguientes:

1. Datos de las personas fallecidas: en primer lugar, se excluye este tratamiento del ámbito de aplicación de la Ley (art. 2). Sin embargo, se permite que las personas vinculadas al fallecido por razones familiares o de hecho, o sus herederos, puedan solicitar el acceso, rectificación o supresión de los datos de carácter personal de las mismas (excepto cuando la persona fallecida o una ley lo prohíba expresamente), al igual que las personas o instituciones a las que el fallecido hubiese designado expresamente para ejercitar los derechos antes mencionados. Si son menores, también podrán ejercer estos derechos sus representantes legales o el Ministerio Fiscal.
2. Menores: los menores podrán dar su consentimiento a partir de los 14 años. El consentimiento hasta dicha edad (art. 7 LOPDGDD), al igual que el ejercicio de sus respectivos derechos (art. 12: acceso, rectificación, supresión, oposición, limitación y portabilidad), tendrá que ser prestado por los padres o tutores del menor.
3. Deber de información: el art. 11 recoge la denominada ya “información por capas”, utilizada por la AEPD desde la publicación de la “guía para el cumplimiento del deber de informar”. De este modo, en la información básica proporcionada, es suficiente que se informe sólo de la identidad del Responsable, la finalidad del tratamiento y la posibilidad de ejercer los derechos del interesado, siempre que se habiliten medios para consultar de forma sencilla e inmediata la información detallada sobre el tratamiento.
4. Disposiciones aplicables a tratamientos concretos, entre otros, a los datos de contacto de empresarios individuales y de profesionales liberales: el art. 19 establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo determinados tratamientos. En este sentido, se hace referencia a las relaciones comerciales (siempre y cuando el tratamiento se refiera únicamente a los datos necesarios para la localización profesional del interesado con la única finalidad de mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios), a la videovigilancia, a los ficheros de exclusión publicitaria, o a los sistemas de denuncias internas en que la licitud del tratamiento provenga de la existencia de un interés público, entre otros.
5. Evaluaciones de Impacto: se amplía la lista de casos en los que será necesaria una evaluación de impacto de carácter personal:
   1. Cuando el tratamiento pudiese provocar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos a secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados;
   2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales;
   3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos o con la comisión de infracciones administrativas;
   4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos (análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales…);
   5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad;
   6. Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales;
   7. Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección;
   8. Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
6. Delegado de Protección de datos: esta figura queda regulada en el capítulo tres del Título V, ampliando la lista de los casos en los que es obligatorio nombrarlo a 16 como ya señalábamos en nuestro post anterior (https://firma-e.com/blog/modificaciones-ley-organica-de-proteccion-de-datos/) sobre el mismo.
7. Transferencias Internacionales:no será necesaria la autorización de la AEPD para efectuar transferencias internacionales a países considerados adecuados o mediante garantías adecuadas (arts. 45 y 46 de la nueva Ley). No obstante, sí se requerirá la autorización de la AEPD cuando:
   1. Se pretenda fundamentar dicha transferencia en cláusulas contractuales que no sean las establecidas por la Comisión Europea de Protección de Datos;
   2. La transferencia se lleve a cabo por administraciones públicas en general, el Banco de España, los consorcios, y las demás autoridades que establece el art. 77.1, y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

Además, la LOPDGDD incorpora en su Título X el reconocimiento de un sistema de garantía de los llamados “Derechos digitales” como son, entre otros, el de neutralidad en Internet; el de acceso universal a la Red; el derecho a la seguridad digital; el derecho a la educación digital y la protección de los menores en Internet, el derecho al olvido en búsquedas de internet y en servicios de redes sociales y servicios equivalentes.

También destacan una serie de nuevos derechos en el ámbito laboral, siendo alguno de ellos el derecho a la intimidad y al uso de dispositivos digitales; el derecho a la desconexión digital en el ámbito laboral o el derecho a la a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.

Por último, la LOPDGDD contiene 22 Disposiciones adicionales; una Disposición Derogatoria únicaque afecta expresamente a la antigua LOPD, al RDL 5/2018 y, por si acaso, “Cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica”;  6 Disposiciones Transitoriasy 16 Disposiciones Finales, entre las cuales destacan la Disposición Adicional primera que nos advierte de que el texto de la LOPDGDD no tiene naturaleza en su integridad de Ley Orgánica, sino que hay diversas disposiciones (la mayoría) que tienen carácter de Ley Ordinaria y la controvertida Disposición Final Tercera que legitima a los partidos políticos para tratar la ideología política de los interesados a la hora de realizar propaganda electoral.

Sobre todo ello hablaremos en post posteriores.