El inicio de la aplicación del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el RGPD), el 25 de mayo de 2018 marca un giro radical en el régimen jurídico del tratamiento de datos personales en la Unión Europea. Aunque el RGPD es un reglamento de la Unión Europea y su vocación es «uniformar» este nuevo régimen jurídico en todo su territorio, deja sin embargo determinadas cuestiones abiertas al desarrollo normativo por parte de los Estados Miembros.
Por este motivo, España ha adoptado la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (la LOPDGDD), la cual se vale de la habilitación establecida en el RGPD en favor de los Estados Miembros para regular determinadas cuestiones relativas al tratamiento de datos personales que serán únicamente –en principio– aplicables en España. Por ello, en el presente artículo nos planteamos como objetivo destacar algunas de las principales cuestiones introducidas por la LOPDGDD, y en especial aquellas que resultan novedosas en relación con la normativa anteriormente vigente en nuestro país.
Resulta particularmente novedoso el régimen del tratamiento de datos de los fallecidos, mediante el cual se habilita a las personas vinculadas por razones familiares, de hecho o que sean herederos para que puedan ejercer determinados derechos (acceso, rectificación, supresión) sobre los datos del finado, salvo voluntad expresada en contrario por parte del mismo, o que quedase prohibido expresamente por ley.
Deber de información
Ya centrado en los principios básicos del tratamiento, y más en concreto respecto al deber de información, la LOPDGDD incluye el denominado «Principio de Información por Capas», el cual viene a posibilitar el cumplimento del deber de información en dos «etapas» sucesivas: siempre que un responsable desee obtener los datos de un interesado podrá proporcionarle en un primer momento información acerca de la empresa que va a tratar el dato, la finalidad del tratamiento y la posibilidad de ejercer sus derechos; en un segundo paso (o capa), le podrá facilitar mediante el medio que le indique (por ejemplo, una dirección electrónica) el resto de la información que resulte necesaria para el interesado.
Por otro lado, la LOPDGDD también introduce una presunción de validez iuris tantum (esto es, por ley, salvo prueba en contrario) para determinadas bases jurídicas que sirven como legitimación para llevar a cabo algunos tratamientos de datos personales. A modo de ejemplo, se ha considerado que el «interés legítimo» constituye una base jurídica adecuada para el tratamiento de datos personales de profesionales, así como para el tratamiento de datos relativos al incumplimiento de obligaciones dinerarias, o para su inclusión en sistemas de información crediticia. Así mismo, en la LOPDGDD se contempla el «interés público» como base jurídica para el tratamiento de datos con fines estadísticos o de archivo y de datos de infracciones y sanciones administrativas.
La nueva ley orgánica también se refiere a una figura novedosa introducida por el RGPD para dar concreción sobre aquellas empresas que tienen la obligación de nombrar un delegado de protección de datos (DPD), debido a que su actividad principal puede revestir un especial riesgo para los datos de los interesados que son objeto de su tratamiento. De este modo, están obligadas a nombrar un DPD las entidades que explotan redes y prestan servicios de comunicaciones electrónicas, los establecimientos financieros de crédito, las compañías aseguradoras, los centros sanitarios obligados al mantenimiento de historiales clínicos o los establecimientos financieros de crédito, entre otros.
El aspecto más destacado de la LOPDGDD es que recoge un abundante catálogo de «derechos digitales» que reconocen y garantizan derechos conforme a la Constitución.
Sin embargo, en lo que se refiere a medidas de seguridad destinadas a evitar la pérdida, alteración o acceso no autorizado a los datos personales, la LOPDGDD (a diferencia del anterior real decreto de desarrollo de la LOPD) no establece un catálogo de medidas específicas que las entidades deban implantar, sino que –únicamente para el ámbito del sector público– se limita a recoger los objetivos o principios que en todo caso deben verse eficazmente cumplidos según lo dispuesto en el Esquema Nacional de Seguridad.
A este respecto, quizá la adhesión a «códigos de conducta sectoriales» elaborados por la industria junto con la puesta en marcha de procesos de certificación empresarial en materia de estándares técnicos de seguridad informática mediante el cumplimiento de normas ISO, UNE, etc., puede llegar a convertirse en un aliado eficaz de las compañías a los efectos de dar cumplimiento al requisito exigido en el RGPD de «garantizar un nivel de seguridad adecuado al riesgo» en aquellos entornos en los que se procesan y almacenan datos de carácter personal.
Derechos digitales
Pero, definitivamente, el aspecto más destacado de la LOPDGDD es que en su texto se recoge un abundante catálogo de «derechos digitales» cuyo objetivo es reconocer y garantizar derechos a los ciudadanos conforme al mandato establecido en la Constitución. En particular, son objeto de regulación derechos y libertades propios del entorno de Internet como el de la neutralidad de la Red, el acceso universal a Internet, los derechos a la seguridad y la educación digital de los ciudadanos o el derecho al testamento digital. Sin embargo, paradójicamente, los artículos que contemplan estos derechos, que se recogen en el Título X de la LOPDGDD, no alcanzan el carácter de ley orgánica sino de mera ley ordinaria.
De hecho, la nueva ley contempla algunos derechos que pueden considerarse como versiones «ampliadas» de los ya recogidos en el articulado del RGPD, como son los derechos al olvido y a la portabilidad en redes sociales y servicios equivalentes. En estos casos, la LOPDGDD persigue simplificar los procedimientos establecidos para corregir datos inadecuados, inexactos, no pertinentes, no actualizados o excesivos en este tipo de servicios. Del mismo modo, el derecho de rectificación en medios de comunicación digitales se ve matizado por la LOPDGDD en el sentido de que cuando un interesado se vea perjudicado por un contenido determinado e indique que no refleja su situación actual, la empresa responsable deberá incluir un aviso informativo en dicho contenido, que refleje que se esté realizando la revisión de su procedencia y veracidad.
Por último, se consagran en la LOPDGDD ciertos derechos digitales para los trabajadores, con el objeto de proteger su intimidad en el ámbito laboral, en el marco del uso de dispositivos digitales, o de los sistemas de videovigilancia, grabación de sonidos o geolocalización, en tanto que resultan ser medidas legítimas a través de las cuales se ejerce el control empresarial, también contemplado por el Estatuto de los Trabajadores. Como el más destacado, se reconoce el derecho de los empleados a la desconexión digital, de cara a garantizar el respeto de los tiempos de descanso, permisos y vacaciones, así como la conciliación e intimidad personal y familiar.
La implementación de estos derechos de los trabajadores tiene, sin embargo, un largo camino por delante, puesto que deberán elaborarse y establecerse (por parte de las empresas y en consulta con los representantes de los trabajadores) aquellas políticas, procedimientos y sistemas que permitan conciliarlos con las necesidades específicas de cada negocio, y con el uso y legítimo control que puede llegar a ejercer el empleador sobre el personal y los bienes de la compañía.
En conclusión, el nuevo régimen jurídico de protección de datos personales ya vigente en España, surgido como consecuencia del RGPD, y adaptado a través de la LOPDGDD, trae consigo numerosos retos que las empresas deberán enfrentar en su actividad diaria, llevando a cabo un ejercicio continuado de responsabilidad proactiva, que conllevará la revisión constante del cumplimiento de sus obligaciones en esta materia. En paralelo, también los Estados Miembros de la Unión Europea deberán coordinar progresivamente sus actividades de manera que entre todos podamos lograr que los flujos de datos de carácter personal en Europa sean seguros, ágiles y nos permitan aprovechar todas las ventajas competitivas que comporta la llamada economía digital.
