Legal

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)

Delegado de Protección de Datos Delegado de Protección de Datos

El Delegado de Protección de datos de Sage informa y asesora sobre las obligaciones del RPGD y demás normativa aplicable en protección de datos.

¿A qué afecta?

A cualquier tratamiento total o parcialmente automatizado de datos personales y a los tratamientos no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

¿A quién afecta?

A todas las personas físicas y jurídicas establecidas o no en territorio de la U.E. que traten datos personales de personas físicas que se encuentren en la U.E.

¿Cómo afecta?

Novedades incorporadas en LOPDGDD respecto al RGPD:

TÍTULO 1 – Testamento digital

  • Se autoriza el derecho de acceso, rectificación y supresión de los datos de personas fallecidas a familiares y herederos, personas o instituciones designadas por el fallecido.
  • En caso de menores y personas con discapacidad se amplían estas facultades a los representantes legales, Ministerio Fiscal y personas designadas para funciones de apoyo.
  • Mediante real decreto se establecerán los requisitos y condiciones que acrediten la validez y vigencia de estos derechos e instrucciones de la persona fallecida sobre el ejercicio de estos derechos.

TÍTULO 2 – Menores de edad

  • En relación a los menores de edad se fija en 14 años la edad en la que las personas otorgan su consentimiento.

TÍTULO 3 – Tratamiento de datos de naturaleza penal

  • Fuera de los supuestos del RGPD, estos tratamientos de datos solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger información facilitada por sus clientes para el ejercicio de sus funciones.

TÍTULO 4 – Licitud de determinados tratamientos

4.1. DATOS DE CONTACTO, DE FUNCIÓN O PUESTO

    • El tratamiento de los datos de contacto y los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica y los datos de empresarios individuales y profesionales liberales, son lícitos en base al interés legítimo del responsable del tratamiento o de un tercero cuando el tratamiento se refiera a datos necesarios para su localización profesional o la finalidad sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que la persona presta sus servicios.
    • Los tratamientos anteriores son también legítimos en base a una obligación legal del responsable o encargado de tratamiento cuando éstos son un órgano constitucional o con relevancia constitucional, institución de las comunidades autónomas análogas a los mismos, órganos jurisdiccionales, AGE, ACCAA y entidades que integran la Administración Local, organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas, autoridades administrativas independientes, Banco de España, corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público, fundaciones del sector público, Universidades Públicas, consorcios, grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

4.2. SISTEMAS DE INFORMACIÓN CREDITICIA

  • Se reducen a 5 años el período máximo de inclusión de las deudas
  • Se excluye los importes inferiores a 50 euros sin embargo este importe puede actualizarse mediante real decreto.
  • Solo quienes mantengan una relación contractual con el deudor o éste hubiera solicitado la celebración de un contrato que implique financiación, pago aplazado o facturación periódica podrán consultar los datos del deudor.

4.3. OPERACIÓN DE MODIFICACIÓN ESTRUCTURAL DE SOCIEDADES O APORTACIÓN O TRANSMISIÓN DE NEGOCIO O RAMA DE ACTIVIDAD

  • Son lícitos los tratamientos de datos que se deriven de cualquier operación de modificación estructural de sociedades o aportación o transmisión de negocio o rama de actividad empresarial cuando los tratamientos sean necesarios para el buen fin de la operación y garanticen cuando sea el caso, la continuidad en la prestación de servicios.
  • La entidad cesionaria ha de suprimir los datos con carácter inmediato sin aplicar la obligación de bloqueo cuando la operación no llegue a concluirse.

4.4. CAPTACIÓN DE IMÁGENES

  • Se permite la captación de imágenes de la vía pública a través de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas, bienes e instalaciones cuando resulte imprescindible para esta finalidad.
  • Esta captación puede ampliarse a una extensión superior con el límite de las imágenes del interior de un domicilio privado cuando fuese necesario para garantizar la seguridad de los bienes o instalaciones estratégicos o infraestructuras vinculadas al transporte.
  • Estos datos han de ser suprimidos sin obligación de bloqueo en el plazo de un mes desde su captación excepto que estos datos hayan de ser conservados para acreditar la comisión de actos que atenten contra la integridad de las personas, bienes o instalaciones.
  • En caso de obligación de conservación de los datos, en el plazo máximo de 72 horas desde que se tenga conocimiento de la existencia de la grabación, han de ponerse a disposición de la autoridad competente.

4.5. SISTEMAS DE INFORMACIÓN GENERALES O SECTORIALES

  • Podrán crearse sistemas de información generales o sectoriales que incluyan solo datos imprescindibles de personas físicas que hayan manifestado su negativa u oposición a recibir comunicaciones comerciales.
  • Obligaciones para los responsables:
    • Informar a estas personas de los sistemas de exclusión publicitaria que existan.
    • Consultar previamente los sistemas de exclusión publicitaria que puedan afectar a su actuación cuando pretendan realizar comunicaciones de mercadotecnia directa excepto cuando el interesado hubiera prestado su consentimiento.

4.6. REGULACIÓN DE UN MECANISMO DE DENUNCIAS INTERNAS ANÓNIMAS O NO

  • Regulación de un mecanismo de denuncias internas anónimas o no que permite a las empresas poner en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa.
  • El acceso a estos datos solo podrá realizarse por quienes realicen funciones de control interno y de cumplimiento sin embargo cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de procedimientos judiciales también es lícito el acceso por parte de otras personas o incluso su comunicación a terceros.
  • Es obligación de los responsables:
    • Adoptar las medidas necesarias para preservar la identidad y confidencialidad de los datos de las personas afectadas y especialmente de la persona denunciante.
    • Conservar los datos durante el tiempo imprescindible para la toma de decisiones.
    • Suprimir los datos del sistema de denuncias a los tres meses desde la introducción de los datos excepto en caso que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención.
    • Registrar de forma anónima las denuncias que no se hayan dado curso.
    • Suprimir los datos del sistema de denuncias sin obligación de bloqueo cuando dichas denuncias no hayan sido cursadas.

TÍTULO 5 – Registro de actividades de tratamiento

Obligación del responsable o encargado:

  • Comunicar al D.P.D. (Delegado de Protección de Datos) cualquier adición, modificación o eliminación en el contenido del registro.
  • Los sujetos enumerados en el artículo 77.1 han de hacer público un inventario de sus actividades de tratamiento. Dicho registro ha de ser accesible por medios electrónicos.

TÍTULO 6 – Bloqueo de datos

Obligaciones del responsable:

  • Bloquear los datos cuando éstos vayan a ser rectificados o suprimidos.
  • Copiado seguro de los datos, la fecha de bloqueo y estar en disposición de acreditar la no manipulación de los datos durante el período de bloqueo cuando la configuración de los sistemas no lo permita o se requiera una adaptación que implique un esfuerzo desproporcionado.

La AEPD y las autoridades autonómicas de protección de datos podrán fijar excepciones a la obligación de bloqueo en determinados supuestos.

TÍTULO 7 – Delegado de Protección de Datos (D.P.D.)

  • Obligación de responsables y encargados de tratamiento:
    • Designar obligatoriamente un DPD en los supuestos del artículo 37.1 del PD y en todo caso cuando se trate de las entidades relacionadas en el artículo 34.1 de esta ley orgánica. En el resto de supuestos la designación es voluntaria.
    • Comunicar las designaciones, nombramientos y ceses de DPD en el plazo de 10 días a la AEPD o autoridades autonómicas.
  • No podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave en su ejercicio.
  • Tendrá acceso, en el ejercicio de sus funciones, a datos personales y procesos de tratamientos.
  • Documentará y comunicará inmediatamente a los órganos de la administración y dirección del responsable o encargado cualquier vulneración relevante en materia de protección.

TÍTULO 8 – Códigos de conducta

Su contenido, registro y especialidades de procedimiento de aprobación de códigos de conducta se establecerá mediante real decreto.

TÍTULO 9 – Régimen sancionador

En cuanto al régimen sancionador, la norma incorpora:

  • Sujetos responsables además de los responsables y encargados de tratamientos, representantes de éstos no establecidos en territorio de la U.E.:
    • Las entidades de certificación.
    • Las entidades acreditadas de supervisión de códigos de conducta.

Excluye al D.P.D. de la aplicación del régimen sancionador sino siempre los anteriores sujetos.

  • Infracciones:
    • Definición y ejemplos de sanciones.
    • Clasificación:
      • Muy graves. Prescriben a los 3 años.
      • Graves. Prescriben a los 2 años.
      • Leves. Prescriben al año.

TÍTULO 10 – Garantía de derechos digitales

Un nuevo título, X, que recoge los derechos aplicables a Internet, o derechos digitales:

  • Derecho a la neutralidad de Internet.
  • Derecho de acceso universal a Internet.
  • Derecho a la seguridad digital.
  • Derecho a la educación digital.
  • Protección de los menores en Internet y protección de datos de los menores en internet. En el plazo de un año desde el 7/12/18, se prevé un proyecto de ley dirigido a garantizar los derechos de los menores ante el impacto de Internet.
  • Derecho de rectificación.
  • Derecho a la actualización de informaciones en medio de comunicación digitales.
  • En el ámbito laboral:
    • Derecho a la intimidad y uso de dispositivos digitales.
      • Limita al empleador el acceso a los contenidos por parte de los empleados en dos supuestos:
        • Para controlar el cumplimiento de las obligaciones laborales.
        • Para garantizar la integridad de los dispositivos que le facilita.
      • Es obligación del empleador establecer criterios de uso de dispositivos digitales y obliga a los representantes los trabajadores a participar en su elaboración.
    • Derecho a la desconexión digital.
      • Derecho de los trabajadores a la desconexión digital para garantizar su tiempo de descanso, su intimidad personal y familiar teniendo en cuenta la naturaleza y objeto de la relación laboral y lo establecido en la negociación colectiva o el acuerdo entre la empresa y los representantes de los trabajadores.
      • Es un derecho sin precedente en la normativa española que obliga a la empresa:
        • A definir las modalidades de ejercicio de este derecho
        • Realizar acciones de formación y sensibilización del personal sobre el uso de herramientas tecnológicas.
        • Preservar este derecho en supuestos de teletrabajo total o parcial y en el domicilio del empleado.
    • Derecho a intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos y utilización de sistemas de geolocalización.
      • Los empleadores, con el fin de ejercer funciones de control de los trabajadores pueden tratar imágenes obtenidas a través de cámaras y videocámaras con los límites inherentes al marco legal siempre que con carácter previo cumplan con el deber de informar a los trabajadores acerca de esta medida.
      • El deber de informar se exceptúa cuando se haya captado la comisión flagrante de un acto ilícito y existe al menos un dispositivo informativo.
      • El uso de sistemas similares para la grabación de sonidos en el lugar de trabajo solo se admitirán cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas.
    • Derechos digitales en la negociación colectiva.
      • Se establece la conveniencia de establecer garantías adicionales de derechos y libertades relacionados con el tratamiento de datos personales de los trabajadores y la salvaguarda de derechos digitales por parte de los convenios colectivos.
  • Derecho al olvido y portabilidad.
  • Derecho al testamento digital.
  • Cómputo de plazos:
    • Cuando los plazos se señalen por días, éstos son hábiles (se excluyen, sábados, domingos y festivos).
    • Si el plazo se fija en semanas, años o meses, concluirá el mismo día de la semana, año o mes que produjo el hecho. Si en el mes de vencimiento no hubiera día equivalente se entenderá que el plazo expira el último día del mes.
    • Cuando el último día del plazo sea inhábil, el plazo es el primer día hábil siguiente.

¿Cuándo afecta?

Desde el 7 de diciembre de 2018.

CONTENIDO AL COMPLETO: https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf