El pasado 6 de diciembre fue publicada en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDyGDD”) que incluye una serie de novedades que exceden de lo inicialmente previsto en el Reglamento General de Protección de Datos.
No se pretende hacer un resumen de la nueva normativa, pues esta básicamente viene a trasponer lo que el Reglamento Europeo de Protección de Ddatos establecía y en muchos aspectos se remite a la normativa europea sin aportar nada nuevo o realmente interesante. Por tanto vamos a ver una serie de contenidos y aportaciones interesantes que la nueva LOPDGDD realiza a nuestro ordenamiento.
En primer lugar, el que ha sido el tema más controvertido, la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo -el cincuenta y ocho bis-, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, con el objetivo de hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.
Respecto al tratamiento de datos de personas ya fallecidas, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los “Datos de las personas fallecidas”, la posibilidad de que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable o encargado del tratamiento con el objetivo de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una disposición legal. Esta prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante
En el ámbito laboral también tenemos novedades, y es que se regula la creación de un canal de denuncias internas en el seno de las empresas y permite que las denuncias puedan ser realizadas tanto por un sujeto identificado, como de forma anónima.
En cuanto al Delegado de Protección de Datos (DPD), el artículo 34.1 tasa unos sectores concretos en los que será obligatorio el nombramiento de un DPD. De este modo se especifican los casos que el Reglamento General de Protección de Datos dejaba vagamente descritos, haciendo referencias a supuestos en los que se realizasen tratamientos de datos de forma “sistemática” o a “gran escala” para que fuese necesario llevar a cabo el nombramiento de un DPD. Entre los principales sectores afectados se encuentran los colegios profesionales y consejos generales regulados, universidades y centros docentes que ejerzan enseñanza regulada, empresas aseguradoras y dedicadas a la seguridad privada, entre otras.
Respecto a las sanciones, estas se establecen en el título IX, y destacan por, en primer lugar, liberar de responsabilidad sancionadora al Delegado de Protección de Datos. Según la gravedad, se establecen una serie de sanciones, clasificadas en leves, graves y muy graves, así como un plazo de prescripción que oscilará dependiendo de la cuantía económica que venga aparejada a las sanciones. Estos plazos de prescripción serán de un año cuando el importe de la sanción sea igual o inferior a 40.000 euros, dos años cuando las sanciones sean por importe comprendido entre 40.001 y 300.000 y a los tres años cuando las sanciones sean por un importe superior a 300.000 euros.
Por último, y como principal novedad se incorporan los derechos digitales, al introducir el título X dedicado exclusivamente a la regulación y garantía de este tipo de derechos, que con la proliferación de ciertas tecnologías han sido necesarios establecer. Entre estos derechos destacan:
- Artículo 89: Derecho a la intimidad frente al uso de videovigilancia y grabación de sonidos en el trabajo
- Artículo 90: Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
- Artículo 91: Derechos digitales en la negociación colectiva
- Artículo 92: Protección de datos de los menores en Internet
- Artículo 93: Derecho al olvido en búsquedas de Internet
- Artículo 94: Derecho al olvido en servicios de redes sociales y servicios equivalentes
En conclusión, estas son las principales novedades que introduce la normativa nacional con respecto a la europea y que será de aplicación para todos los operadores que traten datos de carácter personal en España. Constituye una norma complementaria al Derecho de la Unión Europea, que puede conllevar discordancia con las normas internas que hayan aprobado otros Estados Miembros, y que resulta un tanto decepcionante por no haber abordado ciertas cuestiones que el Reglamento trataba de una forma ambigua y que se podrían haber regulado o desarrollado de una forma más específica.
