Sala de Prensa

27 diciembre, 2018

«Nueva normativa de protección de datos personales», tribuna de María González, abogada de ECIJA, para La Razón.

El pasado 6 de diciembre, con la celebración del 40 aniversario de nuestra Constitución, se producía la publicación en el Boletín Oficial del Estado de la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales. A través de esta norma se regulan y especifican aspectos en materia de protección de datos que el RGPD había dejado abiertos para la regulación nacional, y se incorpora, además, un capítulo décimo, que regula cuestiones adicionales, como son las garantías de los derechos digitales.

Si por algo se ha caracterizado este 2018 en materia de protección de la privacidad y el tratamiento de datos personales, es por la “revolución” que normas como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (más conocido como RGPD o GDPR), de aplicación desde el pasado 25 de mayo, han supuesto, tanto para los ciudadanos en cuanto a la defensa de sus derechos e intereses, como para las entidades, en cuanto a la necesidad de adecuación a este nuevo marco normativo.

Para terminar el año, y coincidiendo con el cuarenta aniversario de la Constitución Española, se producía la aprobación y publicación de la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales, con su publicación en el BOE el pasado 6 de diciembre, teniendo su entrada en vigor al día siguiente.

A través de esta norma se regulan y especifican aspectos en materia de protección de datos que el RGPD había dejado abiertos para la regulación nacional, entre otros: la simplificación de la información a facilitar a los usuarios en una primera capa, la habilitación para el tratamiento de datos de contacto y de empresarios individuales, la regulación del tratamiento de datos en los canales de denuncias internos, la concreción de las normas habilitadoras para el tratamiento de datos de salud y especialmente sensibles, las condiciones para la incorporación de datos en ficheros de solvencia e información crediticia, las condiciones y habilitación para el tratamiento con fines de videovigilancia, las condiciones en relación con los sistemas de exclusión publicitaria, concreción de casuísticas que requieren la realización de evaluaciones de impacto, la legalidad de los tratamientos relacionados con fusiones y adquisiciones de empresas o negocios , etc.

Además, la norma incorpora un capítulo (el décimo), que regula las garantías de los derechos digitales, y cuyo contenido recoge aspectos tales como: neutralidad en la red, acceso universal a internet, seguridad digital, educación digital, protección de menores, uso de dispositivos digitales en el ámbito laboral, condiciones para la videovigilancia con finalidades laborales, la desconexión digital, educación digital, testamento digital, etc.

 

Novedades y especificaciones de la nueva norma con respecto al RGPD.

 

– Información y transparencia: En cuanto al cumplimiento de esta obligación, contábamos con la Guía de la AEPD al respecto, que incorporaba la información en doble capa, definiendo el contenido que tenía que incorporarse en cada una de ellas. Ahora, el art. 11 establece ya normativamente el contenido de esa primera capa, que se ve simplificado con respecto al contenido de la guía y que ahora exige exclusivamente la identificación del responsable, las finalidades y los derechos, y el enlace al contenido de la segunda capa en donde se especificará el resto de contenido exigido en cuanto al tratamiento de datos personales de los usuarios.

Datos de contacto: Se habilita el tratamiento de datos de contacto en base al interés legitimo de las compañías, siempre y cuando se trate de datos necesarios para la “localización profesional” y la finalidad sea el mantenimiento de relaciones de cualquier índole con la persona jurídica.

Habilitación tratamiento de datos de salud: En el art.9 y en la disposición adicional 17ª de la norma, se incorporan causas de habilitación y normas legales que legitimarían el tratamiento de datos de salud, incorporando, entre otras, la habilitación del tratamiento de datos de salud para la ejecución de un contrato de seguro del que el afectado sea parte, así como otras normas que habilitarían el tratamiento de este tipo de datos.

Canales de denuncia: Se recoge expresamente la habilitación para el tratamiento de datos personales en los canales de denuncia, ya sean estos anonimizados o identificados, estableciendo condiciones concretas que deben cumplir los citados canales en cuanto a plazos de mantenimiento, información a los afectados (denunciantes y denunciados), etc.

Tratamientos relacionados con fusiones y adquisiciones de empresas o negocios: reconoce esta tipología de tratamientos habilitados en interés legitimo de las entidades, e incluye, no sólo el tratamiento de datos de forma posterior a la operación mercantil, sino también los tratamientos previos y aquellos posteriores que resulten necesarios y garanticen, cuando proceda, la continuidad en la prestación de los servicios. Si la operación no llega a concluirse deberá procederse a la supresión inmediata de los datos.

Garantías de los Derechos Digitales

Como comentábamos, se incorpora a la norma un Capitulo X, que recoge, de forma muy general y a modo de identificación de principios y derechos, algunos conceptos clave en un entorno cada vez más tecnológico como en el que nos encontramos, comenzando con su art. 79 que establece; Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en Internet.

Junto a esto incorpora referencias a otros derechos como la neutralidad en la red, acceso universal a internet, seguridad digital, educación digital, protección de menores, uso de dispositivos digitales en el ámbito laboral, condiciones para la videovigilancia con finalidades laborales, la desconexión digital, educación digital, testamento digital, etc.

Así las cosas, 2019 seguirá siendo un año en el que de la mano de los procesos de digitalización y transformación de las compañías, la protección de datos personales y la adecuación a los requisitos, condiciones y obligaciones recogidos en la normativa de aplicación continuará teniendo un gran peso, suponiendo para las entidades nuevos retos y oportunidades.