OPINIÓN

Rafael García del Poyo, Socio Director del Departamento IT/IP de Osborne Clarke España

Novedades de la Ley Orgánica de Protección de Datos y derechos digitales

El inicio de la aplicación del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el RGPD), el 25 de mayo de 2018 marca un giro radical en el régimen jurídico del tratamiento de datos personales en la Unión Europea.

Aunque el RGPD es un reglamento de la Unión Europea y su vocación es "uniformar" este nuevo régimen jurídico en todo su territorio, deja sin embargo determinadas cuestiones abiertas al desarrollo normativo por parte de los Estados Miembros.

Por este motivo, España ha adoptado la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (la LOPDGDD), la cual se vale de la habilitación establecida en el RGPD en favor de los Estados Miembros para regular determinadas cuestiones relativas al tratamiento de datos personales que serán únicamente –en principio– aplicables en España. Por ello, en el presente artículo nos planteamos como objetivo destacar algunas de las principales cuestiones introducidas por la LOPDGDD, y en especial aquellas que resultan novedosas en relación con la normativa anteriormente vigente en nuestro país.

Resulta particularmente novedoso el régimen del tratamiento de datos de los fallecidos, mediante el cual se habilita a las personas vinculadas por razones familiares, de hecho o que sean herederos para que puedan ejercer determinados derechos (acceso, rectificación, supresión) sobre los datos del finado, salvo voluntad expresada en contrario por parte del mismo, o que quedase prohibido expresamente por ley.

Deber de información

Ya centrado en los principios básicos del tratamiento, y más en concreto respecto al deber de información, la LOPDGDD incluye el denominado "Principio de Información por Capas", el cual viene a posibilitar el cumplimento del deber de información en dos "etapas" sucesivas: siempre que un responsable desee obtener los datos de un interesado podrá proporcionarle en un primer momento información acerca de la empresa que va a tratar el dato, la finalidad del tratamiento y la posibilidad de ejercer sus derechos; en un segundo paso (o capa), le podrá facilitar mediante el medio que le indique (por ejemplo, una dirección electrónica) el resto de la información que resulte necesaria para el interesado.

Por otro lado, la LOPDGDD también introduce una presunción de validez iuris tantum (esto es, por ley, salvo prueba en contrario) para determinadas bases jurídicas que sirven como legitimación para llevar a cabo algunos tratamientos de datos personales. A modo de ejemplo, se ha considerado que el "interés legítimo" constituye una base jurídica adecuada para el tratamiento de datos personales de profesionales, así como para el tratamiento de datos relativos al incumplimiento de obligaciones dinerarias, o para su inclusión en sistemas de información crediticia. Así mismo, en la LOPDGDD se contempla el "interés público" como base jurídica para el tratamiento de datos con fines estadísticos o de archivo y de datos de infracciones y sanciones administrativas.

La nueva ley orgánica también se refiere a una figura novedosa introducida por el RGPD para dar concreción sobre aquellas empresas que tienen la obligación de nombrar un delegado de protección de datos (DPD), debido a que su actividad principal puede revestir un especial riesgo para los datos de los interesados que son objeto de su tratamiento. De este modo, están obligadas a nombrar un DPD las entidades que explotan redes y prestan servicios de comunicaciones electrónicas, los establecimientos financieros de crédito, las compañías aseguradoras, los centros sanitarios obligados al mantenimiento de historiales clínicos o los establecimientos financieros de crédito, entre otros.

Sin embargo, en lo que se refiere a medidas de seguridad destinadas a evitar la pérdida, alteración o acceso no autorizado a los datos personales, la LOPDGDD (a diferencia del anterior real decreto de desarrollo de la LOPD) no establece un catálogo de medidas específicas que las entidades deban implantar, sino que –únicamente para el ámbito del sector público– se limita a recoger los objetivos o principios que en todo caso deben verse eficazmente cumplidos según lo dispuesto en el Esquema Nacional de Seguridad.

A este respecto, quizá la adhesión a "códigos de conducta sectoriales" elaborados por la industria junto con la puesta en marcha de procesos de certificación empresarial en materia de estándares técnicos de seguridad informática mediante el cumplimiento de normas ISO, UNE, etc., puede llegar a convertirse en un aliado eficaz de las compañías a los efectos de dar cumplimiento al requisito exigido en el RGPD de "garantizar un nivel de seguridad adecuado al riesgo" en aquellos entornos en los que se procesan y almacenan datos de carácter personal.

Pinche aquí para acceder al contenido completo

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual