Claves de la nueva ley de protección de datos: del spam político al DPO

Entre las nuevas disposiciones, se incorporan derechos como la desconexión digital, la geolocalización o el testamento digital, entre otros

Usuarios en el Mobile World Congress 2018.
Usuarios en el Mobile World Congress 2018.

El pasado 6 de diciembre fue publicada en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) que incluye novedades que exceden las propias previsiones del Reglamento General de Protección de Datos (“RGPD”).

Entre las nuevas disposiciones, incorpora los derechos digitales al introducir un título ex novo dedicado exclusivamente a la regulación y garantía de los derechos digitales que amparan a los titulares de datos personales, tales como, la desconexión digital en el ámbito laboral, la geolocalización o el testamento digital, entre otros.

También recoge el tratamiento de datos personales de empresarios y profesionales liberales, con los que resuelve todas las dudas planteadas tras la entrada en vigor del RGPD sobre el tratamiento de este tipo de datos, manteniendo que los mismos podrán ser tratados por interés legítimo sin que sea necesario recabar el consentimiento.

Modifica la regulación de los sistemas de información crediticia, la norma reduce el plazo anteriormente establecido en seis a cinco años para el mantenimiento de los datos personales de acreedores incluidos en ficheros de solvencia patrimonial e información crediticia como pueden ser los ficheros de morosidad ASNEF. Además, se establece que no se incorporarán a estos ficheros deudas que tengan por cantidad principal menos de 50 euros.

Asimismo, regula la creación de un canal de denuncias internas en el seno de la empresa y confirma que las denuncias podrán ser realizadas tanto por un sujeto identificado como de forma anónima, una cuestión que ha sido ampliamente debatida hasta ahora jurisprudencialmente. Establece, en este punto, un plazo de conservación de tres meses para los datos recabados, a no ser que los mismos estén siendo objeto de un procedimiento de investigación.

En cuanto al Delegado de Protección de Datos (DPD), el artículo 34.1 tasa unos sectores concretos en los que será obligatorio el nombramiento de un DPD.

Prevé un procedimiento sancionador compatible con el RGPD, que ya había sido adaptado a la normativa nacional mediante el Real Decreto-ley 5/2018 que queda ahora derogado.

Respecto a las prácticas agresivas en materia de protección de datos, la LOPDGDD modifica el artículo 8 de la Ley de Competencia Desleal para tipificar como desleal determinadas conductas relacionadas con el tratamiento de datos personales, tales como, suplantar la identidad de la Agencia Española de Protección de Datos o llevar a cabo prácticas comerciales en las que se coarte el poder de decisión de los usuarios.

Para los tratamientos de datos de salud, incorpora una regulación detallada sobre el tratamiento de datos en investigaciones médicas, los usos y finalidades permitidos, así como su posterior proceso de pseudonimización, finalizado el ensayo clínico.

La nueva norma también modifica de la Ley Orgánica 5/1985 del Régimen Electoral General incluyendo un artículo 58 bis: Sin duda alguna, el punto más polémico que no ha dejado indiferente a usuarios, medios de comunicación e incluso a la propia Agencia Española de Protección de Datos, que desde la publicación del texto definitivo de la LOPDGDD ha tenido que manifestarse mediante nota de prensa en dos ocasiones.

El mencionado artículo permite a los partidos políticos recabar datos personales de fuentes accesibles al público para la realización de actividades políticas durante el periodo electoral, no considerando las comunicaciones de propaganda electoral como actividad o comunicación comercial.

Tras esta redacción, la polémica estaba servida y los medios de comunicación no esperaron para hacerse eco de la nueva disposición que permite que los usuarios seamos spameados por los partidos políticos sin nuestro consentimiento. Ante semejante revuelo, la Agencia Española de Protección de Datos no tuvo más remedio que salir a aclarar el asunto en los siguientes términos: “no se permitirá a los partidos políticos perfilar datos ideológicos, sexuales, de religión o de cualquier otro tipo que se puedan obtener de los ciudadanos en las redes sociales u otros servicios de internet” y “tampoco se permitirá a los partidos el envío de publicidad o propaganda electoral basada en un perfil ideológico a partir de información obtenida en los citados servicios”.

Esta interpretación de la Agencia para muchos resulta poco convincente y contraria a lo establecido literalmente en la nueva LOPDGDD, pero solo podremos comprobar su aplicación y extensión en la próxima campaña electoral.

Entre tanto, la Plataforma en Defensa de la Libertad de Información, la Asociación de Internautas y expertos juristas del sector han preparado un formulario para impedir que los partidos puedan crear bases de datos con las opiniones políticas de los ciudadanos.

En conclusión, estas nuevas disposiciones serán de aplicación para todos los operadores que traten datos de carácter personal en España, y dado el margen de discrecionalidad que permite el propio RGPD, constituye una norma complementaria al Derecho de la Unión Europea, que puede conllevar discordancia con las normas internas que hayan aprobado otros Estados Miembros.

Isabel Martínez Moriel es asociada Senior Andersen Tax & Legal y directora del área de Privacy, IT & Digital Business de la firma en las oficinas de Madrid, Valencia y Sevilla.

María García Zarzalejos es abogada área de Privacy, IT & Digital Business Andersen Tax & Legal.

Pincha aquí para conocer todas las novedades de la nueva LOPD.

Normas