Ley Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales y Reglamento Europeo de Protección de Datos de Carácter Personal

¿Qué es?

La entrada en vigor, el pasado día 7 de diciembre de 2018, de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de los derechos digitales (LOPD GDD) deroga la anterior Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD).

La nueva LOPD GDD concreta, desarrolla y complementa las directrices y principios del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (RGPD) que ya tenía aplicación directa y obligatoria desde el 25 de mayo de 2018.

La protección de datos personales, como derecho fundamental recogido en la Constitución y avalado por diferentes sentencias del Tribunal Constitucional, “garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención”.

Los datos personales son el recurso fundamental de la sociedad de la información, en la que la evolución tecnológica, la globalización y el aumento de los flujos transfronterizos hacen que estos sean más accesibles y fáciles de tratar de lo que resulta más difícil el control de su destino y su uso.

Tanto el RGPD como la nueva LOPD GDD, más allá de una mera actualización normativa, suponen una revisión de las bases legales del modelo de protección de datos que introduce la responsabilidad proa activa de las entidades públicas y privadas en la protección de los derechos y garantías de los ciudadanos en esta materia, así como la garantía de los derechos digitales.

¿A quién se aplica?

A todas las organizaciones, públicas o privadas, en el “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.

¿Para qué sirve?

Para garantizar el derecho fundamental de las personas físicas a la protección de datos personales, así como los derechos digitales de la ciudadanía, amparados por el artículo 18.4 de la Constitución.

¿Qué aspectos son importantes a destacar?

  • Registro de las actividades de tratamiento

Se obliga a las organizaciones a elaborar y mantener un registro interno de todos los tratamientos de datos personales siempre que se tengan más de doscientos cincuenta empleados o bien “que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades”

  • Notificación de violaciones de seguridad

En el caso de que concurran violaciones de seguridad, estas deben de ser comunicadas en un plazo máximo de 72 horas a la autoridad de control competente.

  • Responsabilidad proactiva y Análisis de riesgos

Esta responsabilidad, se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos de carácter personal. Por lo que las personas jurídicas deben adoptar medidas que garanticen, de manera suficiente, que se encuentran en condiciones de cumplir con los requisitos, derechos y garantías establecidos. En consecuencia, todas las organizaciones deben de realizar un análisis de riesgo con el fin de establecer medidas a aplicar y la manera de llevarlo a cabo.

  • Evaluación de impacto

Es la principal medida de responsabilidad proactiva, y se realizará, antes del tratamiento, cuando se aprecie como “probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Delegado de Protección de Datos

Es una nueva figura establecida por el RGPD; se instaura dentro de la entidad con el fin de encargarse de la planificación de las medidas de seguridad, además de servir como nexo de comunicación entre su organización y la autoridad de control competente.

Dicho cargo será voluntario y solo será obligatorio en determinados casos, como los organismos públicos y para aquellas organizaciones cuya actividad principal requieran una observación habitual y sistemática de interesados a gran escala o aquellas que consistan en el tratamiento a gran escala de categorías especiales de datos personales.

El nombramiento de un DPD, será obligatorio en los supuestos recogidos por el apartado primero del  Artículo 34 de la LOPD GDD.

La función del DPD puede ejercerse desde dentro de la organización del responsable o del encargado del tratamiento o en el marco de un contrato de servicios suscrito con una persona física o con una organización ajena.

Garantía de los Derechos Digitales

Una de las principales novedades de la LOPD GDD, es la introducción de la Garantía de los Derechos Digitales que implica importantes obligaciones para las organizaciones para, entre otras cosas, favorecer y proteger el acceso digital por parte de los usuarios.

¿En que afecta a los ciudadanos?

Entre los efectos del cambio normativo podemos destacar entre otros:

  • El arbitrio de fórmulas para facilitar al interesado el ejercicio de sus derechos
  • Garantizar un tratamiento leal y transparente respecto del interesado
  • Refuerzo del control sobre sus propios datos

A los llamados derechos ´´ARCO``: Acceso, Rectificación, Cancelación y Oposición se añaden los de:

Portabilidad, que implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de forma digitalizada, podrá requerir recobrar esos datos en un formato que le permita su traslado a otro responsable.

Supresión o llamado derecho al olvido, el cual el responsable del tratamiento se encuentra obligado a suprimir sin dilación los datos personales cuando concurran ciertas circunstancias.

Limitación por el cual el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se den ciertas condiciones.

Ventajas de su aplicación

Para los ciudadanos: 

Mejora de la capacidad de decisión y control de los ciudadanos sobre sus datos personales que confían a terceros.

Seguridad jurídica, en aras de la armonización y unidad de criterio en aplicación y garantía de los derechos de los ciudadanos, en privacidad y protección de datos, además de los derechos digitales.

Para las empresas:

Cómo método de prevención, evitando sanciones por infracción de medidas no llevadas a cabo en aplicación del principio de responsabilidad activa.

Es una práctica que no lleva grandes esfuerzos por parte de las organizaciones  y de la cual se obtiene grandes ventajas; combatir la imposición de sanciones cuantiosas por parte de la Agencia Española de Protección de Datos.