“El pasado 7 de diciembre entró en vigor la nueva Ley Orgánica 3/2018 de Protección de Datos y de Garantía de los Derechos Digitales, de 5 de diciembre, una vez transcurridos seis meses desde que comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo.

Siguiendo los artículos de la propia ley, debemos destacar las siguientes novedades relevantes:

1.- Regula de forma específica y separada el tratamiento de datos de las personas fallecidas. Las personas vinculadas al fallecido por razones familiares o, de hecho, así como los herederos, pueden solicitar el acceso, rectificación o supresión, salvo que el fallecido lo hubiese prohibido expresamente o así lo establezca una ley.

2.- Refuerza los requisitos del consentimiento por lo que cuando se requiera para una pluralidad de finalidades deberá constar de manera específica e inequívoca que el consentimiento se otorga para todas ellas. Se elimina el concepto de consentimiento tácito y se refuerza convirtiéndose en una acción más positiva y expresa. La nueva LOPD quiere asegurar que el consentimiento de las personas para el tratamiento de los datos derive de una declaración o acción clara.

3.- Sitúa la edad mínima para el consentimiento de los menores de edad en los 14 años. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

4.- Limita el consentimiento en el tratamiento de categorías especiales de datos, de forma que no será suficiente para el tratamiento de ciertas categorías de datos personales (ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico) sino que se exigen otras condiciones para su tratamiento.

5.- Solo podrá llevarse a cabo un tratamiento de datos de naturaleza penal para fines distintos a los de prevención, investigación, detección o enjuiciamiento de infracciones/sanciones penales cuando se ampare por una norma de la UE o normas con rango de ley.

6.- Reconoce el mecanismo de doble capa y el contenido mínimo de la información básica que debe darse a los interesados para cumplir con el deber de información, en especial, por internet, que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

7.- Desarrolla la regulación aplicable al ejercicio de derechos de los interesados, añadiendo en el artículo 32 el llamado “bloqueo de los datos”, cuando se proceda a la rectificación o supresión de los datos personales.

8.- Regula específicamente ciertos tratamientos de datos personales que, salvo prueba en contrario, entiende legitimados con base en el interés legítimo o en el interés público (tratamiento de datos de contacto; sistemas de información crediticia; operaciones mercantiles; videovigilancia; sistemas de exclusión publicitaria; sistemas de información de denuncias internas).

9.- Añade un catálogo de situaciones que deberán tenerse en cuenta a la hora de determinar la aplicación de las medidas técnicas y organizativas en supuestos en los que el tratamiento pueda dar lugar a mayores riesgos (discriminación, fraude, menores, discapacitados, perfiles personales, etc.)

10.- Aclara la distinción entre la posición de responsable y encargado de tratamiento, así como las obligaciones que deben cumplir cada uno.

11.- Establece un sistema de denuncia interna anónima, para poner en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal.

12.- Incluye un catálogo completo de entidades, que deberán nombrar, obligatoriamente, un delegado de protección de datos y notificarlo a la Agencia Española de Protección de Datos. Entre otros:

• Colegios profesionales
• Centros sanitarios con obligación de conservar historias clínicas
• Centros docentes de formación reglada
• Prestadores de servicios de la información
• Empresas de seguridad privada
• Federaciones deportivas que traten datos de menores
• Publicidad y prospección comercial basada en perfiles

13.- Especifica la forma de iniciar el procedimiento sancionador y su duración, diferenciando los supuestos de (i) falta de atención de una solicitud de ejercicio de derechos; (ii) determinación de la existencia de una posible infracción; y (iii) tramitación del procedimiento como consecuencia de la comunicación de la reclamación presentada ante otra autoridad nacional de control. Asimismo, incluye un catálogo abierto de infracciones, divididas en tres categorías (leves, graves y muy graves).

14.- Reconoce y garantiza un nuevo catálogo de derechos digitales, entre los que incluye la neutralidad de internet, el acceso universal a internet, la seguridad digital, la educación digital, la protección de los menores en internet, la rectificación o actualización de la información en internet, el derecho al olvido en los buscadores y en redes sociales, o la regulación del derecho al testamento digital.

15.- Refuerza la privacidad del empleado y su derecho a la desconexión digital y a la intimidad frente al uso de dispositivos digitales, la videovigilancia y la geolocalización en el ámbito laboral, y permitiendo que los convenios colectivos garanticen una mayor protección.

16.- Extiende la vigencia de los contratos de encargado del tratamiento suscritos con anterioridad a la aplicación del RGPD hasta su fecha de vencimiento o, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.”