Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales

Lo primero que destaca la nueva Ley en su artículo 6.3 es que no podrá supeditarse la ejecución de un contrato a que el afectado consienta el tratamiento de sus datos personales para finalidades que no guarden relación con la relación contractual.

A continuación, se destacan los aspectos más relevantes introducidos por esta normativa:

(Las citas textuales de la Ley se presentan en cursiva. No es necesario memorizarlas, sino comprender su implicación. Los puntos clave se resaltan en negrita para facilitar su identificación.)

Menores de Edad (Artículo 7)

A partir de los catorce años, los menores pueden otorgar su consentimiento para el tratamiento de sus datos personales, con la excepción de aquellos actos jurídicos en los que sea necesaria la asistencia de padres o tutores.

La norma no especifica cómo se puede constatar la edad del menor en el entorno digital.

Facilidad para Acceder a la Información

La Ley impone que los ciudadanos puedan ejercitar sus derechos de forma fácilmente accesible, en particular en internet, a través de enlaces directos. Regula el modo en que debe informarse a los ciudadanos con un sistema por capas que permita conocer de forma clara y sencilla los aspectos más importantes del tratamiento de datos.

(La idea subyacente es que, de la misma forma que rápidamente, con un solo clic, confirmamos haber leído la información sobre tratamiento y protección de datos, también fácilmente podamos acceder a ellos para ejercer nuestros derechos.)

Categorías Especiales de Datos

Tal como se indica en el recuadro del margen de la página 54 del libro, existe una protección especial para el tratamiento de determinados datos. La nueva Ley no ha modificado este principio, sino que lo ha concretado.

No obstante, el mismo artículo puntualiza en su apartado 3 que se podrán tratar datos de salud cuando así lo exija la gestión de sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro.

Derecho al Olvido en Redes Sociales y Servicios de la Sociedad de la Información

La nueva Ley remite al artículo 17 del Reglamento General de Protección de Datos (RGPD), cuyo texto se reproduce a continuación para facilitar la comprensión de lo que implica el Derecho al Olvido:

“El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el responsable del tratamiento de datos estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

  • a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  • b) el interesado retire el consentimiento en que se basa el tratamiento de datos o se oponga a él;
  • d) los datos personales hayan sido tratados ilícitamente;
  • e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros.”

“Cuando el responsable deba suprimir datos en virtud de esta normativa lo hará teniendo en cuenta las medidas tecnológicas disponibles y el coste de su aplicación, informando a los responsables que estén tratando los datos de la solicitud del interesado de supresión de cualquier enlace o copia de los mismos.”

Comentario: Pensemos en los motores de búsqueda (como Google). A través de ellos se puede acceder a información de todo tipo que, aunque sea cierta, puede perjudicar a los ciudadanos. Recordemos que el precedente para esto lo sentó un ciudadano español que recurrió a los tribunales europeos, los cuales le reconocieron el derecho a eliminar el acceso a cierta información de su pasado que le perjudicaba.

Información Crediticia (Listas de Morosos)

La nueva Ley reduce de 6 a 5 años el periodo de tiempo que se puede guardar información en estos ficheros y fija el mínimo de la deuda para su inclusión en 50 euros.

Datos de Personas Fallecidas

Limita el ejercicio por parte de los familiares o herederos de los derechos de acceso, rectificación o supresión cuando el fallecido lo hubiera prohibido expresamente.

Delegado de Protección de Datos (Artículos 32 y siguientes)

En las empresas o entidades que traten con datos de carácter personal deberá haber responsables y encargados de protección de datos que mantendrán un registro de las actividades de tratamiento de datos.

Según el artículo 30 de la Ley:

“Los responsables y encargados, determinarán las medidas técnicas y organizativas que se deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el reglamento europeo, con la presente ley orgánica y con sus normas de desarrollo.”

La nueva Ley crea la figura del Delegado de Protección de Datos (DPD), que deberán tener obligatoriamente algunas empresas y entidades, entre las que se incluyen:

  • Colegios profesionales
  • Centros docentes de cualquier nivel
  • Empresas de servicios de la sociedad de la información
  • Entidades financieras y de inversión
  • Entidades de seguros
  • Distribuidoras y comercializadoras de energía eléctrica
  • Empresas de seguridad privada
  • Federaciones deportivas con datos de menores
  • Operadores de juego a través de canales electrónicos

Empresas o entidades no incluidas en esta lista también podrán designar esta figura si así lo estiman conveniente. Los DPD serán nombrados por los responsables del tratamiento.

Los responsables y encargados del tratamiento comunicarán a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Podrá formar parte de la plantilla de la empresa. Cuando sea un miembro de la plantilla, tendrá una especial protección: no podrá ser “removido” (despedido) ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave. Esta figura está pensada para hacer de intermediario entre los usuarios y las empresas u organismos que traten sus datos, y para gestionar sus reclamaciones.

Otras Disposiciones Relevantes

La nueva Ley también limita el uso de videovigilancia y dispositivos de geolocalización en el ámbito laboral para asegurar el derecho a la intimidad de los trabajadores.

Por último, y algo que nos afecta directamente, para poder llevar un mayor control es necesaria la formación e información de los ciudadanos en el uso seguro y adecuado de internet. Esto se incluye específicamente en los currículos académicos, exigiendo que el profesorado reciba una formación adecuada. El Gobierno deberá remitir en un año desde la entrada en vigor de la Ley (diciembre de 2018) un proyecto de ley que así lo contemple, y las Administraciones Educativas deberán implantarlo en el mismo plazo. Es decir, habrá que modificar los currículos incluyendo este aspecto en su contenido.