La Protección de Datos ha sido uno de los temas estrella de 2018. El RGPD entró en vigor el 25 de mayo, implantando un nuevo modelo de gestión de la información. Esta norma trata de proteger los derechos y libertades de las personas físicas al tiempo que defiende la libre circulación de los datos personales.
El nuevo enfoque organiza un marco imprescindible para una sociedad basada en las tecnologías de la información y la comunicación, como es la europea. Pero también ha supuesto un reto para empresas y Administraciones Públicas, que han tenido que ponerse al día.
En España esto ha conllevado la reforma de nuestra normativa de protección de datos, con la aprobación de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
¿Cómo funciona la Ley Orgánica 3/2018?
La nueva ley no solo se basa en la adopción de las disposiciones contenidas en el RGPD. Y es que la Constitución de 1978 incluye entre los derechos fundamentales la protección de las personas físicas en cuanto al tratamiento de su información. Este derecho, reconocido en el artículo 18, ha sido interpretado recurrentemente por el Tribunal Constitucional. De modo que el ordenamiento jurídico español no era ajeno a principios ahora consagrados por el Reglamento, como:
– El control por la persona física de la gestión que se haga de sus datos personales.
– La facultad de oponerse a un tratamiento ilícito.
– El uso de los datos únicamente para las finalidades para las que fueran recabados.
De modo que la nueva Ley Orgánica sustituye a la de 1999, integrando estos principios (en ocasiones meramente jurisprudenciales) y armonizando la regulación nacional a la europea.
¿Cuáles son las bases de la nueva legislación en materia de protección de datos?
Los primeros títulos de la LO/2018 se dedican a la regulación de principios generales, integrando las novedades del RGPD, lo que conlleva:
– Integrar las figuras comunitarias como responsables, delegados encargados de tratamiento, autoridades de control…
– Asumir el sistema sancionador regulado en el Reglamento.
– Reconocer todos los derechos de los interesados, que incluyen el de portabilidad y el derecho al olvido como novedades.
– Incorporar el régimen reforzado de obtención de consentimiento, excluyendo el obtenido “tácitamente”.
– Establecer las categorías de información sensible y datos penitenciarios.
Respecto al principio de transparencia, informador de la normativa europea, se ha reconocido en la ley nacional. Sin embargo, se permite la llamada “información por capas”, que consiste en ofrecer información básica y dirigir al interesado a un lugar donde pueda ampliarla.
Disposiciones aplicables a tratamientos concretos
El título IV de la LO 3/2018 introduce las normas particulares relativas a sistemas y tratamientos de:
– Información crediticia.
– Relacionados con las empresas y profesionales y algunas operaciones mercantiles.
– Videovigilancia.
– Publicidad.
– Denuncias internas.
Además, se recogen las previsiones relativas a las actividades estadísticas o de interés general. Estos dos elementos son una excepción generalizada respecto a los preceptos del RGPD.
¿Quién es el responsable del tratamiento? ¿Y los otros intervinientes?
La LO 3/2018 importa las previsiones europeas al respecto de las figuras del responsable y el encargado del tratamiento. Tales figuras existen a fin de distribuir funciones y responsabilidades en estas actividades. Y es que el principio de responsabilidad proactiva agiliza la gestión de datos personales, pero obliga al responsable del tratamiento a verificar el cumplimiento de la ley. Se diferencian así:
– Responsable del tratamiento, que es quien establece los fines para los que se emplea la información.
– Encargado del tratamiento, que es un gestor y administrador de estos datos.
– Delegado de tratamiento, que es un auxiliar a quien la ley impone funciones de garantía, control y asistencia.
Autoridades de protección
Además de estas figuras, la LO 3/2018 importa otras. Por ejemplo, las autoridades de protección, entre las que destaca la AEPD, que tiene facultades informativas, consultivas y sancionadoras. Además, ostenta ciertas habilitaciones corporativas, pudiendo aprobar normas vinculantes y modelos contractuales.
¿Qué ocurre si se incumple la LO 3/2018?
La ley orgánica incluye ciertos mecanismos de garantía en materia de protección de datos. Los procedimientos administrativos de este tipo pueden dirimirse ante la AEPD, lo que no excluye el recurso ante el órgano jurisdiccional competente.
Además, se establecen mecanismos de colaboración internacional, incluyéndose la participación del Comité Europeo de Protección de Datos. Todo ello tratando de agilizar las gestiones por medio de un modelo de ventanilla única y la habilitación de órganos de resolución extrajudicial de conflictos.
Por último, recoge los principios sancionadores del RGPD, tipificando conductas y estableciendo los criterios de graduación y los plazos prescriptivos.
¿Qué son los derechos digitales?
El último título, probablemente el más original de toda la ley, se redacta en reconocimiento y ganatía de los derechos digitales. Entre ellos destacan:
– Neutralidad en la red.
– Acceso universal.
– Seguridad digital.
– Educación digital.
– Derecho al olvido.
– Portabilidad de datos.
– Testamento digital.
Estos derechos de protección de datos se reconocen en el marco constitucional y europeo. Por lo tanto, todos ellos tienen en consideración los derechos a la información, comunicación y expresión.