La nueva ley orgánica de protección de datos y de garantía de los derechos digitales
El RGPD dejó abiertos ciertos aspectos para los legisladores nacionales
Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de este año comenzó a "tomar cuerpo" un nuevo marco jurídico dirigido a la protección de los derechos de todos los ciudadanos europeos en relación con sus datos de carácter personal. Al tratarse de un "reglamento" europeo, devino aplicable de manera directa, sin necesidad de que se adoptase ninguna normativa en los Estados miembros al objeto de que se desplegase su fuerza jurídica obligatoria con plenitud.
No obstante, de forma novedosa, el propio Reglamento dejó abiertos ciertos aspectos que los legisladores nacionales podían adaptar con el fin de que el marco jurídico creado por el RGPD cobrase una eficacia más completa en el territorio del Estado miembro que así lo decidiese. En este contexto, España publicó el pasado 6 de diciembre la Ley Orgánica 3/2018 de protección de datos y de garantía de los derechos digitales (LOPDGDD), que persigue tal objetivo y ya se encuentra en vigor en nuestro país.
La LOPDGDD llega meses más tarde de lo previsto debido –entre otras razones- a la incorporación del Título X, totalmente pionero en España (incluso nos atreveríamos a decir en Europa), relativo a la garantía de los derechos digitales. Dado que, a pesar de los esfuerzos parlamentarios, la Ley Orgánica no lograba ver la luz, en julio de este año se aprobó un Real Decreto de medidas urgentes cuya finalidad era la de regular determinados aspectos procedimentales referidos al ejercicio de la potestad sancionadora consagrada en el RGPD. Dado que no afectaba directamente al derecho fundamental a la intimidad, se consideró posible acometer su desarrollo mediante el mencionado real decreto. Sin embargo, conviene aquí aclarar que éste ha sido finalmente derogado con la entrada en vigor de la LOPDGDD.
En términos generales, se debe poner en valor el acierto del legislador nacional en cuanto al trato de los distintos aspectos –algunos de gran complejidad–, lo cual resulta reseñable dado el reto que supone legislar "en complemento" a una norma europea que, por el principio de primacía normativa, debe prevalecer frente a la norma nacional, muy especialmente, cuando nos encontramos en presencia de un reglamento europeo.
Entre las principales novedades referentes al consentimiento como base jurídica del tratamiento de los datos personales, el texto establece que todas las finalidades sean consentidas por el interesado de manera específica e inequívoca. En el plano de su aplicación práctica, esta exigencia resulta especialmente compleja en aquellos casos en los que se requiera recabar consentimiento –con estas características- para una pluralidad de finalidades, por lo que resultaría muy bienvenida cualquier recomendación emitida al respecto por parte de alguna autoridad europea con competencia en la materia.
Asimismo, el consentimiento expreso ya no será suficiente como base jurídica del tratamiento de los datos personales cuando estos se enmarquen en determinadas categorías especiales de datos (ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico), ya que la nueva Ley Orgánica exige la concurrencia de alguna otra base jurídica para su tratamiento.
Por otro lado, cuando el tratamiento de datos personales se fundamente en un interés legítimo del responsable, el legislador español establece una serie de supuestos en que se presumirá –presunción iuris tantum, que admite prueba en contrario– que existe dicho interés. En particular, cabe destacar como uno de los tratamientos amparados por el interés legítimo (y así queda recogido en la LOPDGDD) el tratamiento de los datos de contacto del trabajador que presta servicios en una persona jurídica, así como aquellos datos de empresarios individuales y profesionales liberales, cuando los mismos se refieran únicamente a los necesarios para su localización profesional y la finalidad sea únicamente la de mantener algún tipo de relación con la persona jurídica o con el empresario individual o profesional liberal, respectivamente.
Además de adaptar el ordenamiento jurídico español al Reglamento Europeo, la nueva LOPDGDD regula por primera vez el reconocimiento de determinados derechos de los ciudadanos en la sociedad digital. Estos comprenden el derecho a la neutralidad de Internet, el derecho de acceso universal a la misma; el derecho a la seguridad y a la educación digital, con especial atención a los derechos de los menores; el derecho al olvido, con especial atención cuando los datos se encuentran en redes sociales y herramientas de búsqueda en Internet; y la libertad de expresión en la red y el derecho a rectificar la información que se publique.
Adicionalmente, se reconocen ciertos derechos que tendrán impacto en el ámbito laboral, como el derecho a la desconexión digital y el derecho del empresario al control de la localización geográfica del trabajador bajo determinadas circunstancias. Sin embargo, a pesar de que la LOPDGDD tiene el carácter de ley orgánica, algunos de los mencionados derechos digitales en su Título X sólo reciben la protección que el derecho confiere a las leyes ordinarias.
Rafael García del Poyo es socio director del departamento de derecho IT/IP en Osborne Clarke.
Pincha aquí para conocer todas las novedades de la nueva LOPD.