La nueva ley de protección de datos personales está ya en vigor
La nueva ley de protección de datos personales está ya en vigor
El jueves 6 de diciembre de 2018 se publicó en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales, que ha entrado en vigor el 7 de diciembre de este año y por tanto es de obligado cumplimiento.
Esta ley adapta el RGPD (UE) 2016/679, de 27 de abril, a la legislación nacional, deroga el Real Decreto-ley de medidas urgentes, de 27 de julio y completa las disposiciones del RGPD en aquellos artículos que debían legislar los estados miembros.
La norma incluye como novedad la protección de los derechos digitales emanados del artículo 18.4 de la Constitución española y se compone de 97 artículos, disposiciones adicionales, transitorias, una derogatoria y otras finales.
Recoge el deber de confidencialidad para con los datos de los interesados y el consentimiento expreso, que debe proceder de una declaración o de una clara acción positiva del afectado, excluyendo el consentimiento tácito.
Destaca «la información por capas», con la que se facilita el acceso a la información básica en una primera capa y, un enlace, dirección electrónica o cualquier otro medio que permita acceder al resto de información. Y reconoce los derechos de acceso, rectificación, supresión, oposición, limitación al tratamiento y la portabilidad de los datos.
Establece los supuestos que pueden considerarse tratamientos lícitos en materia de protección de datos por parte de los Responsables y los Encargados del tratamiento. La novedad que presenta la ley y que proviene del RGPD es la evolución del modelo de contrato de prestación de servicios con acceso a datos que teníamos y que ahora debe fundamentarse en el control del cumplimiento, la diligencia del Responsable, bajo el principio de responsabilidad activa que exige una previa valoración de los riesgos de los tratamientos para parte del responsable o del encargado del tratamiento.
La ley pretende aclarar y profundizar en las novedades, regulando las medidas de responsabilidad activa, la figura del encargado del tratamiento, la figura del delegado de protección de datos, los procedimientos de respuesta al ejercicio de derechos en el plazo de un mes, las reclamaciones de los interesados por infracción de derechos y libertades, los procedimientos de comunicación de brechas de seguridad y los códigos de conducta y certificación.
En cuanto a las transferencias internacionales de datos, adapta las previsiones del RGPD.
En cuanto al procedimiento sancionador, la ley recoge los factores agravantes y/o atenuantes que ya conocíamos de la antigua Ley 15/1999, de 13 de diciembre.
En cuanto a la garantía de los derechos digitales, se regulan entre otros, los derechos a la seguridad y educación digital, así como los derechos al olvido, la portabilidad y el testamento digital.
Queremos destacar también el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Se establece la garantía de la libertad de expresión y el derecho a la aclaración de informaciones publicaciones en medios de comunicación digitales.
Entre las sanciones muy graves, quisiéramos enumerar, los siguientes incumplimientos que pueden motivar multas de 20 M de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior: falta de Licitud del tratamiento, no cumplir con las condiciones para el consentimiento (art. 7 RGPD y art. 72.1.c y d LOPDDD), la falta de transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art. 12 RGPD y art. 72.1.h y 72.1.i LOPD), la toma de decisiones individuales automatizadas, incluida la elaboración de perfiles sin consentimiento (art. 22 RGPD), entre otras.