LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

 

La protección de datos es una de las nuevas preocupaciones sociales. Aunque tradicionalmente ya existía una normativa de protección de datos, el rápido desarrollo de las nuevas tecnologías y escándalos como el de Cambridge Analytica pusieron de manifiesto la necesidad de reforzar la protección y de actualizar la legislación.

 

A tal fin, se publicó y aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (popularmente conocido como “RGPD” o “GDPR” en sus siglas en inglés). Una norma que ha sido pionera en esta materia y que ha servido a países ajenos a la Unión Europea para desarrollar una norma similar.

 

¿QUÉ ES GDPR?

 

El RGPD o GDPR es una norma europea, directamente aplicable en España. Por lo tanto, cualquier ciudadano que considere que sus derechos han sido infringidos, puede invocar directamente el RGPD.

 

Su elaboración obedeció a dos motivos: (1) crear un marco de protección para los ciudadanos europeos; y (2) establecer las pautas necesarias para poder desplegar un mercado de datos en la UE (“libre circulación de datos”). Si bien en el presente artículo nos centraremos sólo en el primer punto.

 

 ¿Qué empresas están obligadas a cumplir con el RGPD?

 

En resumen, todas las empresas que presten servicios o desarrollen su actividad en la Unión Europea. En este sentido, no es necesario que la empresa se encuentre en la Unión Europea si sus servicios se ofrecen a residentes en la UE.

 

¿Qué derechos tengo bajo el RPGD?

 

El RGPD ha ampliado los derechos de las personas físicas. Esta nueva gama de derechos se conocen por sus siglas (“ARSLOP”) y son los siguientes:

  • Acceso: el titular de los datos (la persona física a la que hace referencia) tiene derecho en todo momento a solicitar el acceso a los datos que la empresa u organización posea sobre él. No obstante, de solicitarse más de un acceso en el plazo de 1 mes, puede considerarse un “uso abusivo” (Salvo causa justificada) y la empresa no está obligada a tramitar el segundo.
  • Rectificación: de datos cuando sean incorrectos o incompletos.
  • Supresión: que los datos sean borrados si no existe ningún motivo para que deban continuar almacenados. Sobre este punto, debe avisarse de que en ocasiones no será posible su ejercicio (por ejemplo, porque existe una relación contractual o laboral: el responsable no podrá borrar los datos necesarios para su ejecución hasta que finalice la relación).
  • Limitación del tratamiento. Este derecho tiene dos vertientes. Puede configurarse como una suspensión del tratamiento (cuando se impugna la exactitud de los datos y durante un plazo que permita al responsable verificarlos, o cuando se realiza una oposición a tratamientos basados en interés legítimo o público, mientras se verifica si los derechos del interesado prevalecen sobre su interés) o como conservación (en tratamientos ilícitos en los que el interesado no desea que sus datos sean suprimidos, pero sí limitar su uso y cuando el interesado desea que se conserven sus datos para reclamaciones o el ejercicio de sus derechos).
  • Oposición: es posible oponerse en cualquier momento a un tratamiento por motivos relacionados con una situación particular. Esto supone que el responsable deberá de dejar de tratar los datos, salvo que acredite un interés legítimo en su continuidad y que prevalezca sobre los derechos y libertades del interesado. En ningún caso podrá alegarse esta circunstancia cuando la oposición sea sobre marketing o publicidad.
  • Portabilidad: Es posible solicitar los datos que incumban al solicitante o aportados por él en un formato estructurado de uso común, lectura mecánica e interoperable. La portabilidad puede solicitarse de empresa a interesado o, directamente, para que se aporten a otra empresa. Sólo puede solicitarse en los casos en los que el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y se efectúe por medios automatizados.

Además es posible solicitar limitación de las decisiones individuales automatizadas. Esto es, es el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. El derecho cuenta con serias excepciones (que la decisión sea necesaria para celebrar o ejecutar un contrato, que esté autorizada por el derecho de la UE o que se base en el consentimiento explícito del interesado).

 

¿Qué importancia tiene mi consentimiento en el RPGD?

 

Tradicionalmente, el consentimiento era el pilar para el uso de datos personales. El RGPD ha modificado esta realidad. Por lo tanto, no en todos los casos el consentimiento es la base del tratamiento. Por el contrario, en ocasiones es posible que existan otras causas (por ejemplo, la ejecución de un contrato). Esto se traduce en que no siempre el responsable del tratamiento necesitará contar con el consentimiento para obtener o usar los datos. Igualmente, sucede que en los casos en los que no sea el consentimiento la base del tratamiento, algunos derechos pueden quedar limitados.

 

En cualquier caso, se debe advertir de que, sea cual sea la legitimación del tratamiento, el responsable está obligado a informar al interesado sobre el tratamiento y sus condiciones. La omisión de este deber de transparencia, constituye una infracción del RGPD.

 

 Si soy una empresa u organización, ¿qué debo saber?

 

Además de las importantes sanciones que puede ocasionar la infracción de la normativa de protección de datos y los daños reputacionales que puede generar, es importante conocer un principio fundamental del RGPD: la “responsabilidad proactiva”.

 

La responsabilidad proactiva implica que las empresas u organizaciones deben garantizar el cumplimiento de la normativa de protección de datos y, al mismo tiempo, ser capaces de demostrar este cumplimiento (incluyendo la implementación de medidas técnicas y organizativas adecuadas para la protección de los datos personales). El incumplimiento de este principio supone una infracción muy grave del RGPD.

 

Por lo tanto, las empresas y organizaciones deben asumir procesos de adecuación al RPGD en el que se examinen todos los tratamientos de datos. Es un proceso complejo que no sólo incluye la adaptación de sus políticas de privacidad, sino también aspectos como la inclusión de medidas de seguridad en los datos.

 

NUEVA LOPD

 

La publicación del RGPD ha obligado al legislador a adoptar la nueva ley de protección de datos (conocida como “LOPDPgdd”, BOE de 6 de diciembre de 2018). Esto se debe a que muchas de las disposiciones de la anterior ley han quedado obsoletas con la entrada en vigor de la norma europea. Algunas de sus novedades son las siguientes:

 

  • Deber de información por capas. Se permite que se ofrezca una “primera capa” de información resumida sobre la política de protección de datos y que derive al interesado a una “segunda capa” de información detallada. Esta primera capa debe cumplir ciertos requisitos de información obligatoria y, a su vez, que el medio de remisión a la “segunda capa” sea de fácil acceso.
  • Delegado de Protección de Datos: es una figura creada en el RGPD, pero la ley española le otorga la posibilidad de mediar con carácter previo a la reclamación ante la AEPD o autoridad correspondiente.
  • Reconocimiento de una nueva serie de “derechos digitales” (no previsto en el RGPD): entre los que destaca el “derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral”).
  • La necesidad de adecuar los contratos entre el responsable y el encargado del tratamiento a la nueva normativa.
  • Nuevas reglas en la publicación de actos administrativos y notificaciones por comparecencia. Las primeras identificarán al interesado mediante nombre y apellidos y cuatro letras aleatorias de su documento de identidad; las segundas, sólo por el número completo del documento de identidad.
  • Impacto de la normativa de protección de datos en la Ley de transparencia: la AEPD ha sugerido, igualmente, la ocultación de datos personales en las consultas públicas en materia de transparencia.

 

SANCIONES LEY PROTECCIÓN DE DATOS

 

Uno de los aspectos más comentados sobre la nueva normativa de protección de datos es su régimen sancionador. En efecto, el RGPD ha incrementado las sanciones notablemente hasta cifras de 20 millones de euros. Esta severidad del RGPD hace altamente aconsejable acudir a expertos en la materia. Igualmente, los problemas de infringir la normativa de protección de datos no son sólo económicos, sino que también se pueden materializar en daños reputacionales (así, por ejemplo, las infracciones cometidas por empresas y superiores al millón de euros se publican en el BOE).

 

No obstante, las previsiones del RGPD son muy genéricas, por lo que debe atenderse a la nueva ley de protección de datos para poder concretar las infracciones y sanciones.

 

  • Las infracciones muy graves prescriben a los tres años y se sancionan con multas equivalentes al 4% de la facturación global y de hasta 20 millones de euros.
  • Las infracciones graves prescriben a los dos años y se sancionan con multas equivalentes al 2% de la facturación global y de hasta 10 millones de euros.
  • Las infracciones muy graves prescriben al año.

 

En cualquier caso, la cuantía siempre será modulada en función de las circunstancias concretas del caso (gravedad de la conducta, intención, medidas adoptadas, etc.).

 

María Varela Suarez