Ley de Protección de Datos y Garantía de Derechos Digitales, ¿cómo afecta a tu empresa?

El pasado 22 de noviembre se aprobó por el pleno del Senado la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), publicada en el BOE el 5 de diciembre. Esta ley orgánica realiza una transposición para dar cobertura al Reglamento General de Protección de Datos (RGPD), de obligado cumplimiento y aplicación desde el pasado 25 de mayo en todos los países que forman parte de la Unión Europea.  Esta transposición no introduce cambios muy significativos respecto a la RGPD (de hecho, la empresas por el momento no deberán readaptar su política de privacidad), más bien, la LOPDGDD adapta nuestro ordenamiento jurídico al RGPD, lo complementa y clarifica.

El nuevo articulado deroga la anterior Ley Orgánica de Protección de Datos y, como decíamos,  da cobertura a la RGPD dentro del ordenamiento jurídico español con el objetivo de aclarar algunas cuestiones de la RGPD para seguir dando garantías en relación al tratamiento de los datos personales. La RGPD ya obligaba a los estados-miembro de la Unión Europea desde mayo, pero cada país debía acometer la aprobación de una legislación propia que diera cobertura a la RGPD. De ahí, la LOPDGDD.

Antes de estas normativas, podríamos decir que en internet los datos personales, prácticamente, campaban a sus anchas, por lo que se hacía necesario regular su tratamiento por parte de las empresas y los organismos públicos. De la mano de estas normativas (LOPDGDD y RGPD) se ponen en marcha los mecanismos de seguridad necesarios para el tratamiento de los datos de las personas físicas en la Unión Europea.

En este artículo del blog TIC de Bilib, hablaremos de los puntos fundamentales en los que la LOPDGDD afecta a las empresas. De todas formas, te recomendamos consultar estas cuestiones con un abogado o abogada especialista en tratamiento de datos. Es mejor no dejar esta cuestión al azar, si no queremos tener sustos que impliquen desembolsar cuantiosas cantidades económicas debido a las multas que podamos recibir y que pueden hacer tambalear las cuentas de resultados de un negocio de mediano o pequeño tamaño.

Principales cambios que introduce la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)

La LOPDGDD es aplicable a todas aquellas empresas que tratan datos de usuarios de carácter personal y que operan dentro de la Unión Europea. Esta ley que da cobertura a la RGPD es más estricta respecto a la ley de protección de datos que estaba vigente hasta el pasado 25 de mayo y, además, amplía algunas cuestiones respecto a la reciente RGPD. En la actualidad, las empresas, organismos y asociaciones que traten datos de carácter personal, deben rendir cuentas sobre el tratamiento que hacen de los mismos. El usuario aumenta el control que puede ejercer sobre sus propios datos y debe autorizar el tratamiento que se haga de los mismos. Esto en términos generales, pero existen otras muchas cuestiones si decidimos entrar al detalle.

A continuación, vamos a explicar algunos de los principales puntos en los que incide esta nueva ley que podrían afectar a las empresas, haciendo hincapié en los cambios que introduce respecto a la reciente RGPD a la que ofrece cobertura.

Principio de consentimiento

Se amplía el principio de consentimiento respecto a la RGPD. Deberá ser explícito e inequívoco por parte del titular de los datos personales, aunque se “afloja la cuerda” para aquellos profesionales liberales que utilicen los datos personales de los usuarios únicamente para contactar con ellos sin fines comerciales.

En los casos en los que debe dar su consentimiento porque existe finalidad comercial de por medio, el lenguaje debe ser claro y sencillo de comprender con el fin de garantizar que el usuario pueda dar su consentimiento de forma segura a cada una de las finalidades de tratamiento de los datos que hará la empresa. Se establece un sistema de información por capas que facilita la comprensión.

Asimismo, no se puede supeditar la ejecución de un contrato al consentimiento del tratamiento de los datos para finalidades que no guarden relación con dicho contrato. Además, es de obligado cumplimiento almacenar el consentimiento expreso del titularde los datos personales.

Con los cambios que introduce esta ley, los usuarios tienen derecho a conocer quien es la persona responsable del tratamiento de sus datos personales, además de reconocérsele el derecho de acceso, rectificación o supresión de sus datos. Se debe informar de forma sencilla de los medios para hacer valer estos derechos.

Confidencialidad

Uno de los puntos importantes que introduce esta ley es el deber de confidencialidad. Este deber se aplica al responsable del tratamiento de los datos en una empresa y a toda aquella persona que intervenga en el proceso de tratamiento de datos. Esta obligatoriedad se perpetúa cuando el responsable del tratamiento de los datos deja de tener relación con la compañía.

Tratamiento de datos de menores

Respecto al principio de consentimiento que explicábamos en el primer punto, la LOPDGDD introduce un cambio importante para el tratamiento de datos de menores de edad. En este sentido, el menor sólo puede dar su consentimiento al tratamiento de sus datos personales una vez superados los catorce años de edad. Si son menores de esta edad, el consentimiento debe venir por parte de sus tutores legales.

Testamento digital

Incluso si la persona ha fallecido, aquellas personas que tengan vinculación con ella, como familiares y herederos, podrán ejercer los derechos de acceso, rectificación y supresión, a excepción de prohibición expresa por parte de la persona fallecida.

Responsable y encargado de tratamiento de los datos

Se da forma a dos figuras importantes en el tratamiento de datos por parte de una empresa: el responsable y el encargado del tratamiento de los datos. Serán los responsables de poner en funcionamiento los mecanismos necesarios para garantizar el correcto tratamiento de los datos;  así como de mantener actualizado el registro de actividades en cuanto a los datos y deberán comunicar al Delegado de Protección de Datos las modificaciones que se realicen en el registro.

Delegado de Protección de Datos (DPD)

¿En qué casos es obligatorio contar con la figura del Delegado de Protección de Datos (DPD)? La nueva ley establece 16 casos, entre los que podemos destacar aseguradoras, centros de enseñanza, empresas que ofrezcan servicios de inversión o colegios profesionales, entre otros.

Es recomendable que consultes con un experto en protección de datos sobre si esta cuestión afectaría a tu empresa. La Agencia Española de Protección de Datos y los organismos de las comunidades autónomas encargadas de la protección de datos (se transfieren estas competencias) deben tener conocimiento sobre estos delegados. Serán los interlocutores autorizados para contactar con estas instituciones. Con la LOPDGDD, la figura del DPD se descarga de responsabilidad penal si no existiera dolo en el tratamiento fraudulento de los datos. 

Datos críticos

Una empresa no podrá tratar datos con el objetivo de conocer la orientación sexual, la ideología política, la afiliación sindical, el origen racial o étnico o la religión de los usuarios con la finalidad de utilizar estos datos con algún fin. Sin embargo, por el momento, se aprueba el denominado “spam político”, que autoriza a los partidos políticos a recabar información de carácter ideológico a través de las redes sociales y otras fuentes con el fin de enviar comunicaciones políticas personalizadas a los usuarios. Esta cuestión está levantando ampollas y la Plataforma en Defensa de la Libertad de Información (PDLI), la Asociación de Internautas y diversos juristas expertos en protección de datos están tratando de impedir que los partidos políticos puedan crear este tipo de bases de datos.

Régimen sancionador

En cuanto al régimen sancionador, se establece una clasificación de muy grave, grave o leve en función del grado de afectación en cuanto al tratamiento de los datos personales. El régimen sancionador es especialmente duro.

Derecho a la intimidad en dispositivos digitales

Según datos de la Agencia Española de Protección de Datos, se regula el derecho a la intimidad en relación al uso de dispositivos digitales puestos a disposición de los trabajadores en el ámbito laboral, y actualiza las garantías del derecho a la intimidad frente a dispositivos de grabaciones en el trabajo.

Derecho a la desconexión digital

En esta dirección también se incluye el tan comentado derecho a la desconexión digital para garantizar el tiempo de descanso de los trabajadores, que no podrán ser comunicados a través de sus dispositivos móviles profesionales fuera de su jornada laboral.

Por último, como otras medidas destacadas, se amplía el derecho al olvido que a afecta a redes sociales y a buscadores y supera el enfoque de la RGPD. Los usuarios amplían así su derecho a eliminar su huella digital. También podemos destacar el derecho a la rectificación que obliga a los medios de comunicación a publicar un aviso aclaratorio si la situación actual del individuo objeto de la noticia no se corresponde con lo publicado.

En cuanto a la video-vigilancia, cada vez más implantada en la sociedad de la información, la LOPDGDD limita que sólo puedan ser captadas imágenes de los usuarios en la vía pública; las imágenes deberán ser destruidas en un plazo máximo de un mes a contar desde el momento en el que hayan sido captadas, y sólo pueden ser empleados estos sistemas con la finalidad de salvaguardar la seguridad de personas, bienes y/o instalaciones.

Recuerda que te recomendamos consultar con un experto en protección de datos para aplicar las medidas necesarias en tu empresa. A través de este enlace podrás acceder al texto completo de la ley orgánica aprobada por el Senado. 

Desde el Centro de Apoyo Tecnológico de Castilla-La Mancha “Bilib”, ponemos a tu disposición el Directorio de Empresas TIC. En este directorio encontrarás la categoría “Seguridad Informática y Protección de Datos” a través de la que podrás acceder a empresas que podrán orientarte en estos temas.

En cuanto a formación, te recomendamos dos de nuestros webinars gratuitos que te permitirán ampliar tu conocimiento sobre las normativas de protección de datos que afectan a tu empresa: Aplicación práctica a la nueva normativa RGPD para autónomos y pymes y La figura del Data Protection Officer (DPO).