Lo que viene en protección de datos personales
Entre otros cambios novedosos, destacan los relativos a sistemas de información crediticia o el tratamiento de datos de naturaleza penal
El pasado 7 de diciembre entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD 3/2018). El objetivo de esta nueva Ley por parte del legislador es adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos (RGPD 2016/679) de aplicación desde el pasado mes de mayo, así como completar alguna de sus disposiciones en la medida en que el Reglamento dejaba en manos de los Estados el desarrollo de determinados aspectos de esta materia. Se trata, pues, de una norma interna complementaria al RGPD, que deroga, excepto los casos expresamente detallados en la misma, la anterior Ley Orgánica de Protección de Datos y las normas que la desarrollaban.
Con la publicación de esta nueva normativa, sin embargo, siguen pendientes de clarificar algunas cuestiones relevantes sobre el tratamiento de datos personales, como es, entre otras, la definición de interés legítimo como habilitante de tratamiento de datos personales sin el consentimiento expreso del afectado. En este sentido, llama la atención que, entre las bases legítimas del tratamiento, curiosamente sí que se encuentra el interés público de los partidos políticos o agrupaciones electorales para recopilar datos personales relativos a opiniones políticas de las personas.
En cualquier caso, esta nueva normativa sí que introduce la regulación de aspectos novedosos, entre los que destacan la edad en la que los menores pueden dar su consentimiento, que en el caso español se ha establecido en 14 años en lugar de los 16 que fija el RGPD, los cambios en los sistemas de información crediticia, de forma que solo pueda acceder a la información sobre el deudor quien justifique una relación contractual de financiación con éste, las entidades que deben designar un Delegado de Protección de Datos de forma obligatoria o el tratamiento de los datos de naturaleza penal, que únicamente podrán llevarse a cabo por abogados y procuradores cuando tengan por objeto recoger información facilitada por sus clientes para el ejercicio de sus funciones.
Es de agradecer la regulación del sistema de información de denuncias internas y la aceptación expresa de las denuncias anónimas, hace años rechazadas por la Agencia Española de Protección de Datos.
Por último, un aspecto también novedoso y a destacar de esta reciente normativa es la que hace referencia a la garantía de los derechos digitales, en el que se regula el derecho a la desconexión digital en el ámbito laboral que protege la intimidad personal y familiar de los trabajadores fuera del tiempo de trabajo legalmente establecido, como vacaciones, permisos, etc. Además, también incluye el derecho a la intimidad frente a dispositivos de videovigilancia, grabación de sonido o geolocalización y el derecho al testamento digital, en el que se reconoce a familiares, herederos o personas designadas por las personas fallecidas, el derecho de acceso, rectificación o supresión de los datos personales.
Estos nuevos derechos son especialmente relevantes y deben tenerse en cuenta al gestionar los riesgos y establecer políticas de seguridad y normas de usos de sistemas de las empresas. De esta forma, se impone una mayor labor de comunicación y concienciación de los trabajadores en el conocimiento y cumplimiento de dichas normativas.
En definitiva, con la entrada en vigor de esta nueva ley han sido complementados algunos aspectos relevantes que el RGPD había dejado sin regular, pero siguen existiendo conceptos jurídicos indeterminados que quedarán supeditados a las interpretaciones de la Agencia Española de Protección de Datos y las resoluciones de los Tribunales, lo que pone una vez más de manifiesto la complejidad de esta materia.
Jordi Sot es socio responsable de Compliance de Toda & Nel-lo
Pincha aquí para conocer todas las novedades de la nueva LOPD.