La nueva LOPD, ha llegó a nuestras vidas, por fin.  El pasado 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado, la nueva LOPD, la Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En este artículo que pretende ser muy práctico y corto – para la materia de la que hablamos- esperamos aclarar varias dudas e inquietudes generales y hacer un micro resumen de los puntos que podrían afectar un proyecto de cumplimiento de RGPD/LOPD.

El resumen más amplió podrá encontrarlo en este otro post «Nueva LOPD 3/2018. Principales cambios y novedades» que publicaremos más adelante.

¿Entonces qué hay que cumplir, el RGPD o la nueva LOPD?

Así en plan directo, de ahora en adelante hay que cumplir con el RGPD y la nueva LOPD.

El marco normativo de protección de datos seguirá encabezado por el Reglamento General de Protección de Datos, RGPD UE 679/2016, que entró en aplicación el pasado 25 de mayo de 2018, motivo por el que se ha tenido que cambiar nuestra archiconocida LOPD 15/1999 por esta nueva Ley nacional.

Con la publicación de la nueva LOPD se cierra el primer paso del proceso legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE 679/2016.

Es posible que a futuro haya más regulaciones nacionales en materia de protección de datos. La propia ley prevé un desarrollo reglamentario posterior.

Si ya teníamos desde mayo el RGPD ¿Por qué ahora nos cambian la LOPD?

El RGPD es el marco, la base, el límite, es el que pone las reglas. Fue aprobado por unanimidad de los Estados miembros de la UE, pero como esa unanimidad no fue absoluta, se dejaron algunos puntos para que cada Estado los regulase con ciertos límites.

Cada Estado de la Unión ha tenido que actualizar su normativa de protección de datos. En nuestro caso dejamos atrás nuestra LOPD 15/1999 por la nueva LOPD 3/2018, o LOPDgdd 3/2018 como se le quiera llamar (Lo de las garantías digitales está en minúscula, cosa que ayuda a seguir usando la nomenclatura ya conocida, LOPD)

Este tema lo explicamos mucho mejor en nuestro post relacionado con el primer borrador del anteproyecto de LOPD.

Micro resumen de novedades que le pueden afectar a su proyecto de protección de datos.

A modo de mención estas son algunas de las novedades más importantes, y que podrían generar modificaciones en un plan de cumplimiento de protección de datos. Ojo, todo está a modo de mención, tiene excepciones y habrá que ver caso a caso:

1. Acceso a datos de fallecidos – Art. 3.

Se amplía la lista de sujetos que pued

e acceder a los datos de los fallecidos. No obstante habrá que evaluar caso a caso.

2. Edad para el consentimiento de menores – Art 7.

Se establece la edad de 14 años, para que los menores puedan consentir el tratamiento de sus datos. Siendo menores, es un consentimiento con limitaciones. Por debajo de esa edad se debe contar con el consentimiento del titular de la patria potestad o tutela.

3. Reducción de información en la primera capa informativa – Art. 11.

El artículo 11 prevé una disminución de puntos obligatorios a facilitar en la primera capa informativa. Ahora en una primera capa informativa, de datos recogidos directamente del afectado solo hay que informar:

  1. Responsable.
  2. Finalidad.
  3. Derechos.
  4. Enlace a la segunda capa informativa (toda la info)
4. Tratamiento de datos de personas de contacto y empresarios individuales – Art. 19.

Salvo prueba en contrario, se entenderá que el tratamiento de estos datos se realiza con la base del interés legítimo. Siempre que los datos se utilicen para fines estrictamente relacionados con el puesto o actividad profesional.

5. Sistemas de información crediticia – Art. 20.

Aumentan las obligaciones en caso de querer incluir a un cliente en sistemas de información crediticia. Si su empresa o negocio vende deuda, o incluye a sus pagadores morosos en listas de solvencia patrimonial (Asnef, por ejemplo). Lea el art. correspondiente de forma atenta.

6. Videovigilancia – Art. 22.

Se establece que la videovigilancia con fines de preservar la seguridad de las personas y bienes, así como de las instalaciones, se realiza con la base jurídica del interés público. También se fija el plazo máximo de almacenamiento de los datos, que es de un mes, y la información mínima que debe contener los carteles informativos.

7. Exclusión publicitaria – Art. 23.

Será obligatorio consultar las listas de exclusión publicitaria antes de iniciar una campaña de marketing online, salvo que se cuente con el consentimiento del interesado.

Luego claro, también regula varios puntos que deben tener en cuenta los gestores de dichas bases.

8. Denuncias internas – Art. 24.

Se define la forma, plazo y garantías para el tratamiento de datos dentro de los sistemas de información de denuncias internas de una empresa. Más conocido como sistema de Whistleblowing.

9. Tratamiento de datos relativos a infracciones y sanciones – Art. 27.

Se aclara que los abogados y procuradores podrán tratar estos datos siempre que sea en el ejercicio de sus funciones.

10. Corresponsabilidad – Art. 29.

La determinación de responsabilidades se debe atender y definir en función de las actividades que efectivamente desarrolle cada uno de los corresponsables. Debe existir un acuerdo de corresponsabilidad, que no se olvide.

11. Registro de actividades de tratamiento – Art. 31.

Se debe comunicar al Delegado de Protección de Datos cualquier adición modificación o exclusión de los RATs. También se incluye obligación de publicación para la AAPP y otros entes y órganos de derecho público.

12. Bloqueo de los datos – Art. 32.

En algunos casos en los que subsista una obligación legal, en lugar se suprimir los datos, estos serán bloqueados durante el tiempo que el responsable o encargado este obligado a mantenerlos.

13. Encargo de tratamiento – Art. 33.

Se considerará responsable al encargado que use los datos para sus propios fines, con sus correspondientes consecuencias. Con excepciones.

Nunca se considerara responsable del tratamiento a un encargado de tratamiento, de datos de los que sea titular una administración publica.

14. Delegado de protección de datos- Art. 34

Se define la lista de sujetos obligados a nombrar un DPO. Entre ellos, a modo de muestra:

a. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

b. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Hay excepciones para los profesionales independientes que tratan datos en su consulta particular.

c. Las empresas de seguridad privada.

d. Las federaciones deportivas cuando traten datos de menores de edad.

e. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

15. Garantía de los derechos digitales – Título X.

Aunque son bastantes, debido a que nos centramos en contenidos que podrían afectar directamente el proyecto de cumplimiento de la normativa de protección de datos de una empresa, profesional o AAPP, hacemos referencia solo a los que afectan el ámbito Laboral:

a. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
b. Derecho a la dexconexión digital en el ámbito laboral.
c. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
d. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Todos ellos tienen en común la limitación del uso/ abuso por parte de las empresas y empresarios de acciones de control laboral que vayan en contra de los derechos de los trabajadores. También requieren la definición de una política interna al respecto.

16. Medidas de seguridad en el sector público. Disposición adicional primera.

Las medidas de seguridad que deben aplicar las AAPP, sus órganos, y demás entes de derecho público o a los que le sea aplicable, deben estar alineadas con el cumplimiento del Esquema Nacional de Seguridad.

17. Transparencia y acceso a la información pública. Disposición adicional segunda.

Se definen los datos que se pueden usar/publicar para cumplir con el principio de publicidad y transparencia, sin faltar al derecho de la protección de datos.

18. Prácticas agresivas (comerciales) en materia de protección de datos. Disposición adicional decimosexta.

Se lista una serie de prácticas que se considerarán competencia desleal. Entre ellas la intimidación, usurpación de identidad de la AEPD, u oferta de servicios con cargo a los fondos de Fundae (antes Fundación tripartita).

Así que ojo antes de aceptar una oferta de esas de «coste 0», o «50 euros más formación por Fundae». Son un timo, una práctica desleal y pueden llevarle a cometer un fraude a la SS y a hacienda.

Conclusiones

El marco normativo de protección de datos ahora está compuesto por la nueva LOPD, la LOPDgdd 3/2018, y  el Reglamento Europeo de Proteción de Datos. Esta claro que habrá que tener en cuenta los cambios que la nueva LOPD ha introducido en distintas normas, y luego los futuros desarrollos legislativos que se prevén.

Es necesario revisar el cumplimiento actual de la normativa aplicable de su empresa, negocio, ong, federación, asociación, etc. Todo lo que se haya hecho para cumplir la LOPD 15/1999 ya no vale, y lo que se haya hecho para cumplir RGPD, puede que necesite algún ajuste conforme la nueva LOPD. Como dice el principio del RPGD, hay que tener responsabilidad proactiva.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *