El nuevo entorno regulatorio de protección de datos y garantía de los derechos digitales
La ley aprobada incluye normas específicas que sirven para aportar mayor claridad y algunos aciertos, como la regulación del derecho de información
En un entorno global y absolutamente digital, en el que los hábitos de vida se han desplazado hacia el ciberespacio, hasta el punto de que prácticamente todo lo hacemos a través de la red, la necesidad de una adecuada protección de los datos de carácter personal alcanza una nueva dimensión. Es, desde esta perspectiva, desde la que debemos analizar el nuevo entorno regulatorio en esta materia.
A este respecto, supongo que nadie pondrá en duda que podríamos calificar 2018 como el año de la protección de datos de carácter personal. En primer lugar, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el “RGPD”) es de plena aplicación desde el pasado 25 de mayo, y ha exigido a todo tipo de entidades la adopción de medidas técnicas y organizativas de distinta naturaleza para su adecuado cumplimiento. Además, esta norma comunitaria de aplicación directa, ha sido complementada en la legislación nacional a través de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD), publicada en el Boletín Oficial del Estado muy recientemente, concretamente el día 6 de diciembre pasado.
La LOPD adapta el ordenamiento jurídico español al RGPD, dando con ello cumplimiento a lo que exige el Reglamento comunitario, aunque también incluye normas específicas que sirven para aportar mayor claridad y ayudar a la interpretación de aquel.
El espacio de este artículo es limitado como para poder hacer un comentario pormenorizado del contenido de la recién estrenada LOPD, pero sí podemos referirnos a algunos de sus aciertos, como es el caso, por ejemplo, de la regulación del derecho de información. El RGPD impone el deber de facilitar abundante información al afectado. Una cantidad de información tal que puede llegar a resultar abrumadora para quien la recibe. Hay que considerar un acierto que la LOPD haya recogido la posibilidad de que la información se facilite por capas, ofreciendo al afectado determinada información básica e indicándole una dirección electrónica u otro medio que le permita acceder de forma sencilla e inmediata a la restante información.
Otro de los asuntos regulados por la LOPD es el consentimiento como una de las bases legitimadoras del tratamiento de datos. La Ley insiste en la necesidad de que se trate de una manifestación de voluntad que consista en una declaración o en una clara acción afirmativa, excluyéndose así el consentimiento tácito del que tanto se abusó en el pasado. Pocas dudas dejaba el RGPD al respecto, pero para aquellos que quisieron todavía ver resquicios para seguir aplicando mecanismos de opt out como fórmula para obtener el consentimiento, la LOPD es absolutamente contundente.
Además, incluye un Título X denominado “Garantía de los derechos digitales”, a los que dota de tanta relevancia que incluso se han incorporado al título de la norma. Aquí se regulan cuestiones muy novedosas, como los derechos a la seguridad y a la educación digital, la protección de los menores en internet, el derecho de rectificación y al olvido en búsquedas en la red, el derecho a la actualización de informaciones en medios de comunicación digitales o el derecho al testamento digital. En el ámbito laboral regula materias como el derecho a la intimidad y uso de dispositivos digitales, la desconexión digital, el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo y el derecho a la intimidad ante la utilización de sistemas de geolocalización.
Especialmente controvertida ha sido la inclusión del posible uso por los partidos políticos de información disponible en internet para la realización de actividades políticas durante el periodo electoral o la exclusión del envío de propaganda electoral de la regulación del spam. No obstante, la AEPD publicó su criterio sobre estas cuestiones en el sentido de entender que no se permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, ni el envío de información personalizada basada en perfiles ideológicos, sino tan solo la recopilación de datos relativos a opiniones políticas que permita a los partidos conocer las inquietudes de los ciudadanos para contemplarlas en sus programas electorales. Veamos cuál es la interpretación que finalmente le dan los partidos políticos a la norma.
En todo este entorno, me gustaría destacar la regulación de la certificación como mecanismo para acreditar el cumplimiento de las obligaciones legales en esta materia que recoge el RGPD. Sin duda, esta será una herramienta muy útil y cuya utilización debemos promover para entidades de todo tipo, que tan solo deberán someterse a revisiones periódicas con el fin de demostrar su situación de cumplimiento conforme a los criterios establecidos, facilitando con ello, entre otras cosas, los mecanismos de contratación con terceros.
Ahora toca ver qué nos depara el 2019 en cuanto a la evolución en la aplicación práctica de toda esta nueva normativa y cómo se solucionan cuestiones como el efecto del Brexit en las transferencias de datos.
Dulce Miranda. Socia de Deloitte Legal
Pincha aquí para conocer todas las novedades de la nueva LOPD.