Entradas

¿Cómo afecta el Brexit a la Protección de Datos?

Muchas son las consecuencias que van a producirse cuando el Brexit se materialice, tanto para los británicos como para el resto de Europa. Consecuencias en varios ámbitos, como el económico o el político, más relevantes en un principio, pero que tampoco pueden empañar los efectos adversos que también pueden producirse en otros sectores no menos importantes en los que parece que todavía no se ha puesto el foco.

En materia de protección de datos, el Brexit puede suponer un punto de inflexión para el Reino Unido y el resto de países del territorio europeo, cuyas entidades puedan tener proveedores procedentes de las islas británicas. Cuando se haga efectiva su salida, Gran Bretaña pasará a ser país tercero de la Unión Europea (UE) y el Espacio Económico Europeo (EEE) desde el punto de vista del RGPD, convirtiéndose las comunicaciones de datos personales realizadas a/desde dicho país, consideradas como transferencias internacionales de datos.

En caso de que los datos se envíen a un país fuera del Espacio Económico Europeo, los niveles de seguridad y garantías disminuyen considerablemente. Como regla general no se permiten esos flujos de datos a países terceros, aunque hay una serie de excepciones que pueden permitir que esas comunicaciones de datos se ajusten a la normativa europea.

Esto provocará que el Reino Unido tendrá que solicitar una decisión de adecuación a la Comisión Europea, para que ésta le confiera el estatus de tercer Estado con un nivel de adecuación suficiente, en el sentido de alcanzar un nivel de protección de datos equiparable al previsto en el RGPD. No obstante, esta decisión de adecuación conlleva el estudio por parte de la Comisión Europea, lo que puede provocar una demora en esa declaración del Reino Unido como tercer estado con un nivel adecuado de garantías para la comunicación de datos.

Hasta entonces, todos los contratos que puedan estar en vigor deberán modificarse para establecer cláusulas contractuales tipo, que son las establecidas por la Comisión en orden a garantizar una seguridad similar a la existente en el ámbito de aplicación del Reglamento.

Todo esto sin olvidar que también las relaciones entre el Reino Unido y los Estados Unidos se verán afectadas en esta materia, al no ser ya extensible el ámbito de aplicación del Privacy Shield, y que también puede perjudicar gravemente a los intercambios de datos realizados entre ambos países angloparlantes.

Llevando esto a la práctica, va a resultar en la obligación de volver a redactar los clausulados correspondientes en materia de protección de datos cuando, por ejemplo, nuestra empresa se sirva de un hosting que está radicado en territorio británico, lo cual puede ser una de las situaciones y problemas más habituales que se le podrán presentar a entidades que tengan contratados proveedores británicos.

Si nos ponemos en el lugar de una empresa europea, nos podemos encontrar, de la noche a la mañana, con que pasamos de facilitar datos a un país que está sometido por normativa a las máximas garantías del RGPD, a estar comunicando datos a un tercer país mediante una transferencia internacional de datos,  con las consecuencias que eso puede conllevar y la diferencia de requisitos que debemos cumplir.

Cambios más relevantes de la nueva LOPD (3/2018)

El pasado 6 de diciembre fue publicada en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDyGDD”) que incluye una serie de novedades que exceden de lo inicialmente previsto en el Reglamento General de Protección de Datos.

No se pretende hacer un resumen de la nueva normativa, pues esta básicamente viene a trasponer lo que el Reglamento Europeo de Protección de Ddatos establecía y en muchos aspectos se remite a la normativa europea sin aportar nada nuevo o realmente interesante. Por tanto vamos a ver una serie de contenidos y aportaciones interesantes que la nueva LOPDGDD realiza a nuestro ordenamiento.

En primer lugar, el que ha sido el tema más controvertido, la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo -el cincuenta y ocho bis-, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, con el objetivo de hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Respecto al tratamiento de datos de personas ya fallecidas, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los “Datos de las personas fallecidas”, la posibilidad de que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable o encargado del tratamiento con el objetivo de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una disposición legal. Esta prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante

En el ámbito laboral también tenemos novedades, y es que se regula la creación de un canal de denuncias internas en el seno de las empresas y permite que las denuncias puedan ser realizadas tanto por un sujeto identificado, como de forma anónima.

En cuanto al Delegado de Protección de Datos (DPD), el artículo 34.1 tasa unos sectores concretos en los que será obligatorio el nombramiento de un DPD. De este modo se especifican los casos que el Reglamento General de Protección de Datos dejaba vagamente descritos, haciendo referencias a supuestos en los que se realizasen tratamientos de datos de forma “sistemática” o a “gran escala” para que fuese necesario llevar a cabo el nombramiento de un DPD. Entre los principales sectores afectados se encuentran los colegios profesionales y consejos generales regulados, universidades y centros docentes que ejerzan enseñanza regulada, empresas aseguradoras y dedicadas a la seguridad privada, entre otras.

Respecto a las sanciones, estas se establecen en el título IX, y destacan por, en primer lugar, liberar de responsabilidad sancionadora al Delegado de Protección de Datos. Según la gravedad, se establecen una serie de sanciones, clasificadas en leves, graves y muy graves, así como un plazo de prescripción que oscilará dependiendo de la cuantía económica que venga aparejada a las sanciones. Estos plazos de prescripción serán de un año cuando el importe de la sanción sea igual o inferior a 40.000 euros, dos años cuando las sanciones sean por importe comprendido entre 40.001 y 300.000 y a los tres años cuando las sanciones sean por un importe superior a 300.000 euros.

Por último, y como principal novedad se incorporan los derechos digitales, al introducir el título X dedicado exclusivamente a la regulación y garantía de este tipo de derechos, que con la proliferación de ciertas tecnologías han sido necesarios establecer. Entre estos derechos destacan:

  • Artículo 89: Derecho a la intimidad frente al uso de videovigilancia y grabación de sonidos en el trabajo
  • Artículo 90: Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
  • Artículo 91: Derechos digitales en la negociación colectiva
  • Artículo 92: Protección de datos de los menores en Internet
  • Artículo 93: Derecho al olvido en búsquedas de Internet
  • Artículo 94: Derecho al olvido en servicios de redes sociales y servicios equivalentes

En conclusión, estas son las principales novedades que introduce la normativa nacional con respecto a la europea y que será de aplicación para todos los operadores que traten datos de carácter personal en España. Constituye una norma complementaria al Derecho de la Unión Europea, que puede conllevar discordancia con las normas internas que hayan aprobado otros Estados Miembros, y que resulta un tanto decepcionante por no haber abordado ciertas cuestiones que el Reglamento trataba de una forma ambigua y que se podrían haber regulado o desarrollado de una forma más específica.

La LOPD ni ha muerto, ni se ha ido de parranda

Con la entrada en aplicación del reciente Reglamento Europeo relativo a la Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), surgen muchas dudas en cuanto a la normativa aplicable y su dispersión actual.

Hoy en día, es frecuente leer o escuchar que la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante, LOPD) “ya no tiene aplicación”, que “está derogada”, o que “un contrato que haga referencia a ella está desfasado”. Nada más lejos de la realidad. ¡La LOPD NO HA MUERTO!

Vaya por delante el “Principio de Primacía del Derecho Comunitario” (consagrado por el Tribunal de Justicia de la Unión Europea en la sentencia Costa contra Enel, de julio de 1964), en virtud del cual el Derecho Europeo tiene un valor superior a los Derechos nacionales de los Estados Miembros, siendo esta primacía absoluta. Este principio es válido para todos los actos europeos de aplicación obligatoria, por lo que los Estados Miembros no pueden aplicar una norma nacional contraria al Derecho Europeo. En resumen: un reglamento o directiva europea estaría por encima de una ley nacional.

Este no es el caso de la LOPD, pues su contenido no entra en contradicción íntegramente con el RGPD. El 28 de julio de 2018 se publicó el Real Decreto-ley 5/2018, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de Protección de Datos, en el que podemos conocer los artículos de la LOPD que sí han quedado derogados; en concreto los siguientes:
.- Art. 40, en el que hace referencia a la potestad de inspección, ya que se refiere a los ficheros, los cuales desaparecieron tras la entrada en aplicación del RGPD
.- Art. 43, referente a los responsables de los ficheros
.- Art. 44, referente a los tipos de infracciones, actualizadas conforme a los apartados 4, 5 y 6 del Art. 83 RGPD
.- Art. 45, referente a los tipos de sanciones
.- Art. 47, referente a la prescripción de las infracciones, actualizadas conforme al artículo 83 del RGPD
.- Art. 48, referente al procedimiento sancionador
.- Art. 49, referente a la potestad de inmovilización de ficheros

Actualmente tenemos un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, aprobado ya por el Congreso de los Diputados y a la espera de ser aprobado por el Senado (sin fecha). Una vez se apruebe, la LOPD no solo no estará muerta, sino que estará actualizada y alineada con el RGPD. En esta web se puede llevar un seguimiento de la aprobación, y este es el último texto del Proyecto.

Por tanto, si tu departamento legal o tu empresa de consultoría de Protección de Datos opina que un documento es incorrecto por hacer alusión a la LOPD además del RGPD, no te lo creas e invítales a leer este artículo para que comprendan la realidad en materia legislativa.

 

ACTUALIZACIÓN 14/12/2018

La “Nueva LOPD” (cuyo verdadero acrónimo es “LOPDyGDD”) ha sido aprobada definitivamente el 5 de diciembre de 2018, con algunas sorpresas, pero cumpliendo todo lo que habíamos comentado en este artículo.