Nota informativa – Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Por medio de la presente nota informativa, analizamos los aspectos más significativos introducidos en la recién aprobada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”) cuyo objeto es adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (en adelante, “RGPD”).
- Datos de personas fallecidas
Se otorga el derecho de las personas familiares o vinculadas de hecho, así como a los herederos de la persona fallecida a ejercer los derechos de acceso, rectificación y supresión de los datos de ésta última ante el responsable o encargado del tratamiento, siempre que no lo haya prohibido en su momento la persona fallecida o lo establezca una ley.
- Exactitud de los datos
De conformidad con el RGPD, los datos deberán ser exactos y, en caso aplicable, actualizados, pero el responsable de los datos no será imputable del cumplimiento de este principio en caso de que los datos hayan sido obtenidos del propio interesado, a través de un mediador o intermediario, por otro responsable debido al derecho de portabilidad u obtenidos de un registro público.
- Consentimiento del menor
Únicamente será válido el consentimiento cuando el menor sea mayor de 14 años. En caso de ser menor a 14 años, deberá constar el consentimiento del titular de la patria potestad o tutela.
- Transparencia e información al interesado
Se otorga la posibilidad al responsable del tratamiento de facilitar la información por capas: una primera capa con la identidad del responsable del tratamiento (y el representante, la finalidad del tratamiento y los derechos otorgados al afectado.
En caso de que los datos no hayan sido obtenidos se deberá incluir dentro de la primera capa información sobre las categorías de datos tratadas, así como el origen de los datos.
- Tratamiento de datos de contacto, empresarios individuales y profesionales liberales
Se entenderá que es interés legítimo del responsable del tratamiento el tratamiento de datos de contacto de las personas físicas que trabajen para una persona jurídica siempre que se traten los datos para su localización profesional y únicamente para mantener una relación de cualquier tipo con la persona jurídica en la que el afectado presta servicios. De la misma manera se entenderá para los autónomos cuando se refieran a ellos en dicha condición y no como personas físicas.
- Sistemas de información crediticia
Se entenderá lícito el tratamiento de datos con respecto al incumplimiento de obligaciones dinerarias, financieras y de crédito siempre y cuando los datos hayan sido facilitados por el acreedor, que los datos se refieran a deudas ciertas, vencidas y exigibles y que el acreedor haya informado al afectado en el contrato o en el momento del requerimiento de pago de la posibilidad de su inclusión en dichos sistemas.
- Tratamientos con fines de videovigilancia
Se otorga la posibilidad al responsable de informar a través de un dispositivo informativo un código de conexión o dirección de internet a la información incluida en dicho dispositivo (existencia del tratamiento, identidad del responsable, posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del RGPD.
- Sistemas de exclusión publicitaria
Se establece como obligación a los responsables del tratamiento que pretendan realizar comunicaciones comerciales la consulta de los sistemas de exclusión publicitaria para excluir a todos aquellos afectados que no deseen recibir comunicaciones comerciales, salvo que el afectado haya prestado su consentimiento al responsable para recibir comunicaciones comerciales.
- Bloqueo de los datos
Se establece como obligación para el responsable del tratamiento el bloqueo de los datos, suponiendo este bloqueo la identificación y reserva de los mismos adoptando medidas técnicas y organizativas para impedir su tratamiento y su visualización excepto que se requiera la puesta a disposición por las administraciones públicas competentes.
- Régimen sancionador
Sujetos responsables: responsable del tratamiento, encargado del tratamiento, representantes de los responsables o encargados del tratamiento, entidades de certificación y/o entidades acreditadas de supervisión de los códigos de conducta.
Infracciones: realiza una categorización de aquellas infracciones que se consideran muy graves (ej. incumplimiento del deber de información, transferencias internacionales sin garantías, el incumplimiento del bloqueo de los datos conforme a la LOPDGDD, etc.), graves (ej. impedimento u obstaculización o la no atención reiterada los derechos otorgados a los afectados; la contratación por un encargado del tratamiento de otros encargados sin contar con el consentimiento del responsable, etc.) y leves (notificaciones incompletas de violaciones de seguridad a la Agencia Española de Protección de Datos, no publicar los datos de contacto del DPO, etc.).
- Prescripción de las infracciones:
Muy graves: 3 años; graves: 2 años; leves: 1 año
- Prescripción de las sanciones:
- Sanciones por importe igual o inferior a 40.000 euros: 1 año
- Sanciones entre 40.001 y 300.000 euros: 2 años
- Sanciones por importe superior a 300.000 euros: 3 años.
El plazo de prescripción comienza el día siguiente a aquel en que sea ejecutable la resolución.
- Derechos digitales:
Derecho a la neutralidad de internet: Se refiere al derecho a una oferta transparente de servicios, sin discriminación por motivos técnicos o económicos, por parte de los proveedores de servicios de Internet.
Derecho de acceso universal a Internet: Se refiere al derecho a acceder a un servicio de Internet universal, asequible, de calidad y no discriminatorio para toda la población.
Derecho de la seguridad digital: Se refiere al derecho de los usuarios a la seguridad de las comunicaciones realizadas a través de Internet.
Derecho a la educación digital: El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje en el uso de los medios digitales seguro y respetuoso con los valores constitucionales, los derechos y libertades fundamentales, la intimidad personal y familiar. En este sentido, las AAPP deberán incluir como asignatura de libre configuración la competencia digital, con especial atención a las situaciones de riesgo derivadas del inadecuado uso digital.
Protección de los menores en Internet: Los padres, curadores, tutores o representantes legales procurarán que los menores hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información. Asimismo, determina la intervención del Ministerio Fiscal en los casos de intromisión ilegítima, mediante la utilización o difusión de imágenes o información personal de menores de edad, en las redes sociales y los servicios de la sociedad de la información.
Derecho de rectificación en Internet: Se establece el derecho a la libre expresión en internet, y se establece que los responsables de redes sociales, plataformas digitales y servicios de la sociedad de la información adoptarán protocolos para ejercitar el derecho de rectificación en Internet, esto es, el derecho a rectificar contenido en Internet que atente el derecho al honor, la intimidad personal y familiar y el derecho a comunicar o recibir información veraz de las personas. En este sentido, los medios de comunicación digitales que atiendan dichas solicitudes deberán publicar en sus archivos digitales un aviso en lugar visible, en el que se señale que la noticia original no refleja la situación actual del individuo.
Derecho a la actualización de informaciones en medios de comunicación digitales: Se refiere al derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización, lo suficientemente visible, que indique que la noticia original no refleja la situación actual del individuo como consecuencia de sucesos posteriores. Lo mismo ocurrirá, cuando estemos ante actuaciones policiales o judiciales, que más tarde se vean afectadas por posteriores decisiones judiciales que beneficien al interesado.
Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: Se reconoce el derecho a la intimidad en relación con los dispositivos digitales que se ponen a disposición de los empleados.
Asimismo, se recuerda el derecho del empleador a acceder al contenido de los dispositivos digitales puestos a disposición del empleado con el objeto de controlar el cumplimiento de la relación laboral, y a los efectos de garantizar la integridad de los dispositivos. En este sentido, el empleador deberá implantar una política de uso de los dispositivos digitales, respetando en todo caso los estándares mínimos de intimidad, y en su elaboración deberán participar los representantes de los trabajadores.
Derecho a la desconexión digital en el ámbito laboral: Derecho al respeto del tiempo de descanso, incluyendo permisos y vacaciones, así como a la intimidad personal y familiar.
En este sentido, el empleador deberá elaborar una política interna en la que se establezcan las formas de ejercer este derecho, así como las acciones de formación de cara a la sensibilización del personal en el uso de las herramientas tecnológicas. Esta política se realizará previa audiencia de los representantes de los trabajadores.
Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo: En relación con este derecho, se deriva lo siguiente:
- el empleador podrá utilizar un sistema de videovigilancia para el control laboral de conformidad con el artículo 20.4 del Estatuto de los Trabajadores. Para la realización de lo anterior, el empleador deberá informar con carácter previo a los trabajadores, así como, en su caso, a los representantes de los trabajadores. Se entenderá válidamente cumplido el deber informativo mediante la utilización del distintivo de la Agencia Española de Protección de Datos en los casos de comisión flagrante de un acto ilícito por parte de los trabajadores.
- No se podrán utilizar sistemas de videovigilancia o de grabación de sonidos en zonas de descanso o de esparcimiento de los trabajadores (vestuarios, aseos, comedores, etc.).
- Únicamente se podrán utilizar sistemas de grabación de sonidos cuando resulten relevantes para la seguridad de las instalaciones, bienes y personas, teniendo en cuenta, en todo caso, el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los derechos anteriores.
Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: En este sentido, los empleadores podrán utilizar sistemas de geolocalización para el control laboral, siempre y cuando con carácter previo y de forma clara y expresa los empleados sean informados de ello, así como del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
Derechos digitales en la negociación colectiva: Los convenios colectivos podrán establecer garantías adicionales con respecto al tratamiento de datos de los trabajadores y los derechos digitales en el ámbito laboral.
Protección de datos de los menores en Internet: Se refiere a la obligación de los centros educativos, así como de cualesquiera otras personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad, de garantizar la protección del interés superior del menor, en particular de sus datos de carácter personal.
Derecho al olvido en búsquedas de Internet: Se refiere al derecho de toda persona a que los motores de búsqueda de Internet eliminen de las listas de resultados datos inadecuados, inexactos, no pertinentes, no actualizados o excesivos referidos a las personas.
Derecho al olvido en servicios de redes sociales y servicios equivalentes: Se refiere al derecho de toda persona a solicitar la supresión de todos los datos personales facilitados y publicados en los servicios de redes sociales o en cualquier otro servicio de la sociedad de la información.
Derecho de portabilidad en servicios de redes sociales y servicios equivalentes: Se refiere al derecho de portabilidad al que se refiere el RGPD, pero aplicado de forma específica a las redes sociales.
Derecho al testamento digital: El acceso a contenidos digitales sobre personas fallecidas se regirá de la siguiente forma:
- Las personas vinculadas al fallecido (familiares o de hecho) podrán acceder al contenido digital del fallecido e impartir instrucciones en relación con el mismo (utilización, destino o supresión). Dicha posibilidad se encontrará vetada, en el caso de que el fallecido haya indicado lo contrario expresamente.
- En caso de existir testamento, podrá realizar lo anterior el albacea testamentario o la persona que haya designado el fallecido.
- Cuando la persona fallecida sea menor de edad o persona con discapacidad, las facultades podrán ser ejercidas por sus representantes legales o por el Ministerio Fiscal.