El Senado vota a favor del proyecto de Ley Orgánica de Protección de Datos

AUTOR: Ana Victoria Martínez 

FECHA: 04.12.2018

Sin modificaciones respecto al texto remitido por el Congreso, el pasado 21 de noviembre se aprobó la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales con 220 votos a favor y 21 en contra. Ahora solo queda esperar a que se publique en el Boletín Oficial del Estado (BOE), entrando en vigor al día siguiente de su publicación. 

La Ley contiene 97 artículos, 20 de los cuales se dirigen a reconocer un elenco de derechos digitales a los ciudadanos y regular el ejercicio de los mismos, de acuerdo con el mandato contenido en el artículo 18.4 de nuestra Constitución en lo relativo a las limitaciones  del "uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

En todo caso, y sin obviar la polémica entre los expertos por la alarma acerca de los fallos de la  norma en cuanto a la protección de la intimidad ciudadana, la ley supone desde el punto de vista jurídico, con más o menos acierto, un paso en el desarrollo de la normativa europea por el ordenamiento interno español.

 

 

Estos son algunos de los aspectos más destacados de la norma:

  • El tratamiento de datos de las personas fallecidas no está incluido en el ámbito de aplicación de la ley, ni del RGPD. No obstante, se permite el ejercicio de los derechos de acceso, supresión o rectificación de los datos del fallecido, a las personas vinculadas a éste o a sus herederos. 
  • Se limita la imputabilidad del responsable del tratamiento por la inexactitud de los datos personales, si se dan determinados requisitos.
  • Se mantiene en 14 años la edad a partir de la cual lo menores pueden prestar su consentimiento
  • Categorías especiales de datos: No será suficiente el consentimiento del interesado para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
  • Con respecto al deber de información del RGPD, se recoge la “información por capas”. La nueva Ley, exige en la primera capa de información, únicamente la identidad del responsable, la finalidad del tratamiento y la posibilidad de ejercer sus derechos.  Se indicará una dirección electrónica u otro medio, que remita a la segunda capa de información que contenga los requisitos exigibles en cada caso, esto es aquellos derivados de los artículos 13 y 14 del RGPD. De esta forma, las empresas se evitan tener que facilitar extensos textos informativos a cada uno de los interesados de los cuales tratan datos personales, pudiendo facilitar, por ejemplo, un link a una página web o dirección electrónica que contenga los requisitos de información respecto de todos los tratamientos.
  • El interés legítimo se constituye, salvo prueba en contrario, como la base legítima del tratamiento de los datos de contacto y los relativos al puesto desempeñado de las personas físicas que presten sus servicios en una persona jurídica, así como de los datos personales tratados por sistemas de información crediticia. 
  • Antes de llevar a cabo una comunicación de mercadotecnia directa, la Ley exige al que pretenda hacerla, consultar unos sistemas de exclusión publicitaria, que contengan datos que identifican a los afectados que hayan manifestado su oposición a recibir tales comunicaciones. Se elimina esta obligación, si el afectado prestó su consentimiento.
  • Se regula la obligación de bloqueo de datos cuando éstos deban suprimirse o rectificarse.
  • Se establece una lista tasada de entidades que en todo caso deben nombrar a un delegado de protección de datos. Respecto a la cualificación que a éste se le exige, se considera idónea pero no excluyente el perfil de jurista sin excluir expresamente para tales desempeños a profesionales de otros campos. La designación, nombramiento y cese del delegado de protección de datos, debe comunicarse a la Agencia Española de Protección de Datos en el plazo de diez días desde que aquellas tengan lugar.
  • Se incluyen una serie de derechos digitales, entre otros, la neutralidad de internet o el acceso universal, la seguridad digital, el derecho de rectificación en Internet, o el testamento digital. Se reconoce además el derecho a la educación y formación del alumnado en el uso seguro y respetuoso de los medios digitales. 
  • En el ámbito laboral, se reconoce el derecho a la intimidad en el uso de los dispositivos digitales que el empleador pone a disposición del trabajador con fines profesionales y a su vez privados. El empleador deberá para ello especificar de modo preciso los usos autorizados y establecer garantías para preservar la intimidad de los trabajadores. Además, las empresas deberán elaborar una política interna que defina la modalidad de ejercicio del derecho a la desconexión digital y de uso razonable para evitar la fatiga informática, incluida una formación en la materia. 
  • Las empresas podrán tratar los datos de los trabajadores obtenidos a través de sistemas de video vigilancia y de geolocalización, de conformidad con el artículo 20.3 del Estatuto de los Trabajadores, siempre y cuando se haya informado a éstos acerca de estas medidas y se adopten las garantías suficientes. 

La norma incorpora las previsiones de las normas europeas y ha nacido no exenta de críticas por algunas voces que pronostican que su redacción permite ciertas actividades o comunicaciones no comerciales, amparadas en el “interés público” lo que para algunos abrirá la puerta a efectos no deseados como spam electoral, que quedarán sometidas a un incierto control sobre el uso y destino de los datos y podría posibilitar cualquier uso lesivo.