Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales nació en Congreso.
18 de octubre de 2018 (Congreso)
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) es una ley orgánica aprobada por las Cortes Generales de España que tiene por objeto adaptar el Derecho interno español al Reglamento General de Protección de Datos. Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (aunque se mantiene vigente para la regulación de ciertas actividades).
Esta ley entró en vigor el 7 de diciembre de 2018.
La Ley consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.
Es el relativo a las disposiciones generales de la Ley.
Según su artículo primero, el propósito de la ley orgánica es dual: en primer lugar, adaptar el derecho español a lo dispuesto en el Reglamento General de Protección de Datos y, como novedad conexa, «garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución».
Es el relativo a los principios en la protección de los datos personales: exactitud, confidencialidad, consentimiento y tratamiento de datos de naturaleza especial como los penales y los relativos a menores de edad (se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento).
El Título III enuncia los derechos de las personas en relación la protección y tratamiento de sus datos personales y que son, de conformidad con el Reglamento europeo, los siguientes: acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Son una novedad, con respecto a la regulación anterior, los derechos de limitación del tratamiento y a la portabilidad de los datos.
En el Título IV se recogen las disposiciones aplicables a tratamientos concretos. Son normas a observar cuando por parte de un responsable se pretenda proceder al tratamiento de una serie de datos concretos.
Cabe destacar en este título la regulación relativa a la inclusión y tratamiento de datos por parte de entidades de información crediticia, conocidos popularmente como «listas de morosos».
Reconociendo la licitud del tratamiento de datos con fines de información crediticia, este se somete a determinadas cautelas. Así el artículo 20 señala que solo podrán incorporarse datos de «deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes».
Del mismo modo el acreedor, necesariamente y a la hora de celebrar el contrato, tiene que informar a la contraparte de la existencia de la posibilidad de ceder sus datos a dichas entidades en caso de incumplimiento, indicando además cuáles usa.
Las entidades podrán tratar y mantener esos datos mientras subsista el incumplimiento, pero estableciéndose un plazo máximo de cinco años al cabo de los cuales, subsista o no el incumplimiento, deberán ser suprimidos.
La Disposición Adicional sexta de la Ley prohíbe la inclusión de los datos en esos ficheros cuando se trate de deudas cuyo importe principal (es decir, sin intereses ni penalizaciones) sea inferior a 50 Euros, aunque se habilita al Gobierno para actualizar esa cantidad mediante Real Decreto.
El Título V se refiere al responsable y al encargado del tratamiento de los datos. En contraposición al anterior modelo de basado en el control del cumplimiento, el actual establecido por la Ley y el Reglamento es el de responsabilidad activa, debiendo los responsables evaluar a priori los datos que desean tratar para a continuación adoptar las medidas de seguridad necesarias para el tratamiento a efectuar. Se recogen también disposiciones relativas a la figura del Delegado de Protección de Datos (DPD o, en inglés, DPO).
El Título VI regula las transferencias internacionales de datos.
El Título VII se ocupa del estatuto jurídico de la Agencia Española de Protección de Datos como autoridad estatal de control. Su Capítulo II regula las competencias de las autoridades de protección de datos que pudiesen existir en las comunidades autónomas (en la actualidad solo existen en Andalucía, Cataluña y País Vasco), cuyas competencias quedarán en todo caso circunscritas a los tratamientos de datos personales efectuados por el sector público autonómico; y la obligación de las autoridades de control de cooperar entre ellas.
El Título VIII regula los procedimientos en caso de posible vulneración de la normativa de protección de datos.
El Título IX regula el régimen sancionador por las infracciones a la Ley, determinando a los sujetos responsables y estableciendo un catálogo de infracciones clasificadas en muy graves, graves y leves. La Ley remite al Reglamento General de Protección de Datos por lo que respecta a la cuantía y graduación de la responsabilidad de las sanciones. Se regulan igualmente los plazos de prescripción de las infracciones.
Como excepción, el artículo 77, párrafo segundo de la Ley dispone que cuando los responsables infractores sean organismos con relevancia constitucional o administraciones públicas la Ley dispone que solo podrán ser sancionados con un apercibimiento, descartando así la posibilidad de sancionar económicamente a estos entes, tal y como sucedía con la anterior Ley Orgánica 15/1999, de 13 de diciembre.
El Título X de la Ley reconoce y garantiza una serie de derechos que la ley denomina como "digitales" tales como la neutralidad de la Red y su acceso universal, el derecho a la seguridad y a la educación digital, el derecho al olvido, el derecho a la portabilidad de los datos digitales y el testamento digital; siendo igualmente regulado el derecho a la desconexión digital en el marco de las relaciones laborales.
La disposición final tercera de la Ley añadió un nuevo artículo cincuenta y ocho bis a la Ley Orgánica del Régimen Electoral General, que permitía a los partidos políticos, por considerarlo «amparado por el interés público», recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales siempre y cuando dichas actividades se realicen con «garantías adecuadas». Del mismo modo permitía a los partidos políticos «utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral» tales como el envío de propaganda electoral por medios electrónicos o a través de las redes sociales.
Este artículo parecía encontrar amparo en el Considerando 56 del Reglamento General de Protección de Datos, que dispone que «si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas»
Esta disposición causó honda preocupación en el sector jurídico pues las actividades anteriores no necesitaban de consentimiento previo y aparentemente hubiese permitido crear bases de datos de ciudadanos en base a sus opiniones políticas, así como crear perfiles de los mismos. Según algunos sectores, con esta práctica se hubiese legalizando el caso Cambridge Analytica en España.
La Agencia Española de Protección de Datos ha indicado que su criterio es que la Ley no permite la creación de bases de datos ideológicas ni el envío de información personalizada basada en perfiles ideológicos o políticos.
El partido político Unidos Podemos en su día anunció que presentaría un recurso de inconstitucionalidad contra dicho artículo por entender que resultaba contrario a los artículos 16 y 18 de la Constitución española, aunque finalmente no lo hizo.
Quien sí presentó un recurso de inconstitucionalidad contra esa disposición fue el Defensor del Pueblo de España. Dicho recurso fue admitido a trámite el 12 de marzo de 2019. El 22 de mayo de 2019 y por unanimidad de sus doce miembros, el pleno del Tribunal Constitucional estimó dicho recurso, declarando el precepto inconstitucional y nulo.
Escribe un comentario o lo que quieras sobre Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)