que ley sustituye a la 15 1999

La nueva Ley de protección de datos cambios clave de la 151999

La jornada del 6 de Diciembre de 2018 fue testigo de la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, dedicada a la Protección de Datos Personales y la salvaguarda de los derechos digitales.

Divergencias fundamentales entre la normativa actual y la propuesta

El Reglamento General de Protección de Datos (GDPR) y la lopd 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) presentan similitudes con la normativa anterior. No obstante, estas nuevas legislaciones incluyen elementos que conllevan nuevas responsabilidades para las empresas y organizaciones en la Unión Europea y España.

Es fundamental tener en cuenta que las sanciones relacionadas con la protección de datos personales ahora pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual mundial, siendo esta última la opción más elevada.

Asimismo, todas las empresas deben llevar a cabo una identificación y un análisis exhaustivo de todas las áreas de riesgo, además de documentar el tratamiento de los datos personales. Esto significa que deben crear un Registro de Actividades del tratamiento que incluya todas las operaciones llevadas a cabo por la empresa. En este contexto, es esencial que cada organización adopte un enfoque proactivo, analizando sus procesos, identificando los riesgos y determinando las medidas necesarias para minimizarlos.

Es importante destacar que el GDPR y la LOPDGDD ponen énfasis en la responsabilidad y la transparencia en el tratamiento de los datos personales. Por lo tanto, es vital que las empresas y organizaciones comprendan y cumplan con las nuevas obligaciones impuestas por estas legislaciones. De lo contrario, podrían enfrentar sanciones económicas significativas y perjudicar su reputación y relaciones con sus clientes y usuarios.

Qué pasa con aquellos que han fallecido

El derecho de las personas fallecidas a la protección de sus datos

En línea con el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018 determina en su artículo 3 que las personas fallecidas no están sujetas a este reglamento y que son los Estados miembros quienes tienen la facultad de establecer normativas sobre el tratamiento de sus datos personales.

Facultades de los familiares y herederos ante los datos de un fallecido

El artículo 3, en su primer apartado, recoge la posibilidad de que los familiares y herederos de una persona fallecida puedan solicitar el acceso, rectificación o supresión de sus datos personales. Sin embargo, también se contempla la situación en la que el fallecido haya expresado su voluntad de limitar el ejercicio de estas facultades a terceros, mediante lo que se conoce como "últimas voluntades digitales".

El testamento digital como derecho de las personas fallecidas

Incluido dentro de la carta de derechos digitales, el artículo 96 se refiere específicamente al "testamento digital". Sin embargo, su contenido no añade mucho a lo estipulado en el artículo anterior. Queda por ver cómo los responsables del tratamiento (principalmente las redes sociales y proveedores de correo electrónico) facilitarán la expresión de últimas voluntades con respecto a los datos personales del fallecido.

Qué innovaciones se incorporan en el ámbito de la vigilancia por video

No se han producido cambios significativos en la instrucción 1/2006 ni en los informes jurídicos de la AEPD anteriores al Reglamento General de Protección de Datos. Es importante mencionar que nuestra autoridad de control había emitido una guía completa sobre vigilancia con cámaras de seguridad antes de que se aprobara la Ley Orgánica 3/2018. Puede acceder a las principales publicaciones de la AEPD sobre este tema en el siguiente link.

Según el artículo 22 de la Ley Orgánica 3/2018, se podrá grabar imágenes con el fin de garantizar la seguridad de bienes, personas e instalaciones. En general, está prohibido que las entidades privadas graben imágenes en espacios públicos, pero se permite cuando sea estrictamente necesario para cumplir el objetivo de seguridad deseado.

El plazo máximo de conservación de las imágenes es de un mes desde su grabación (a menos que sean necesarias para demostrar un delito o una infracción de seguridad), y no se aplica la obligación de bloqueo establecida en el artículo 32 de la Ley Orgánica 3/2018.

Persistirán las agencias autonómicas de privacidad

Las autoridades autonómicas de protección de datos personales tienen la facultad de ejercer las funciones y potestades indicadas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la legislación autonómica, en relación a:
  • Tratamientos de los que sean responsables las entidades integrantes del sector público de la respectiva Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial, así como aquellos que presten servicios mediante cualquier forma de gestión directa o indirecta.
  • Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias de competencia de la Administración Autonómica o Local correspondiente.

El reglamento establece los procedimientos para las denuncias internas

El artículo 24 de la reciente normativa se enfoca en los tratamientos derivados de la implementación de estos sistemas, cada vez más utilizados en las empresas. Como novedad destacada respecto al régimen anterior, la sección inicial de este precepto permite explícitamente que las denuncias sean presentadas de manera anónima.

En ese sentido, el artículo 24 establece como regla general que los datos deberán ser eliminados del sistema después de tres meses desde su ingreso, a menos que sea necesario conservar la información como evidencia del correcto funcionamiento del modelo de prevención de delitos. Las denuncias que no hayan sido tramitadas deberán ser almacenadas de manera anonimizada.

Es importante destacar también que aquellos sistemas de denuncias implantados antes de la entrada en vigor del RGPD deben ser revisados para adecuar su funcionamiento a las nuevas disposiciones (por ejemplo, en cuanto a la información y transparencia, causa de legitimación del tratamiento, medidas de seguridad aplicadas, etc.).

Explorando las pautas cubiertas por la nueva legislación

La Ley Orgánica 3/2018 fue aprobada y publicada en el Boletín Oficial del Estado el día 6 de diciembre de 2018, siendo vigente a partir del día siguiente, el 7 de diciembre del mismo año. En su Título II, titulado "Principios de protección de datos", no se incluyen cambios significativos en comparación con lo establecido en el Reglamento General de Protección de Datos. Sin embargo, cabe destacar que se establece la edad de 14 años como límite para que un menor pueda otorgar su consentimiento para el tratamiento de sus datos personales sin necesidad de la asistencia de sus padres o tutores, en lugar de los 13 años propuestos en versiones anteriores de la normativa. En cuanto al Título III, que regula los derechos de los afectados, tampoco se incluyen aspectos adicionales relevantes en comparación con el RGPD.

Las disposiciones más relevantes en materia de privacidad se encuentran en el Título IV. En él se recogen disposiciones específicas sobre el tratamiento de datos en situaciones concretas, como la videovigilancia, los llamados "ficheros de morosos", los sistemas de informes internos y las listas de exclusión o "listas Robinson". Por otro lado, el Título V se centra en las obligaciones del responsable y el encargado del tratamiento de datos. En este sentido, se establece, por ejemplo, la figura del delegado de protección de datos, que no está contemplada en el RGPD, así como la obligación de bloquear determinados datos, entre otras disposiciones que deben ser cumplidas por ciertas entidades.

Ha sido anulada la Ley de Protección de Datos

La nueva Ley Orgánica 3/2018 sustituye formalmente a la conocida LOPD (Ley Orgánica 15/1999) y al Real Decreto-ley 5/2018, aprobado de manera urgente meses atrás. Además, deroga cualquier normativa de igual o inferior rango que se oponga o sea incompatible con el Reglamento General de Protección de Datos. Sin embargo, es importante destacar que los artículos 23 y 24 de la LOPD siguen en vigor, a menos que sean explícitamente modificados, sustituidos o derogados. Estos artículos incluyen ciertas limitaciones y excepciones (totalmente lógicas, por cierto) en cuanto al ejercicio de los derechos relacionados con la protección de datos.

A diferencia de lo establecido en el anterior RLOPD (Real Decreto 1720/2007), el nuevo Reglamento General de Protección de Datos no excluye ciertas categorías de datos personales de su ámbito de aplicación. Por lo tanto, la Ley Orgánica 3/2018 no puede establecer una disposición en contra, pero sí establece una presunción que indica que el tratamiento de dichos datos se lleva a cabo en base al interés legítimo, siempre y cuando se cumplan los requisitos del artículo 19 de la misma.

De esta manera, se limita el tratamiento de datos de contacto necesarios para localizar a una persona en su ámbito profesional (es decir, excluyendo aquellos datos que no sean de carácter profesional) como parte de esta presunción.

Artículos relacionados