Llei 3/2018. Novetats i desenvolupament de LOPDGDD respecte al RGPD

Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals 3/2018

Tota nova normativa implica canvis en la gestió de les organitzacions per poder dur a terme el compliment dels nous requisits

En aquest apartat, volem oferir una visió general dels principals canvis, novetats i aclariments del propi Reglamento Europeo 2016/679 i la introducció de la LOPD GDD 3/2018

CANVIS, NOVETATS I ACLARIMENTS DEL PROPI REGLAMENT EUROPEU 2016/679 I LA INTRODUCCIÓ DE LA LOPDGDD 3/2018

  • PERSONES DIFUNTES: el art. 3 de la LOPDGDD indica que les persones vinculades al difunt per raons familiars o de fet, així com els seus hereus, podrà dirigir-se al responsable o encarrega del tractament al objecte de sol·licitar l’accés a les dades personals d’aquella i, en el seu cas, la seva rectificació o supressió, excepte aquelles persones que el difunt ho hagués prohibit expressament o així ho estableixi alguna llei.

Aquesta prohibició no afectarà al dret dels hereus a accedir a les dades de caràcter patrimonial del causant.

En cas de defunció de menors o discapacitats, aquestes facultats podran exercitar-se també pels seus representants legals.

  • CONSENTIMENT DELS MENORS D’EDAT: el art. 7 de la LOPDGDD, indica que el tractament de les dades personals d’un menor d’edat, únicament podrà fonamentar-se en el seu consentiment, quan sigui major de catorze anys.

S’exceptuen els supòsits en què la llei exigeixi l’assistència dels titulars de la pàtria potestat o tutela per a la celebració de l’acte o negoci jurídic, que en el seu context es recava el consentiment per al tractament.

El tractament de les dades dels menors de catorze anys, fonamentat en el consentiment, només serà lícit si consta el del titular de la pàtria potestat o tutela, amb l’abast que determinin els titulars de la pàtria potestat o tutela.

  • PRINCIPIS DE PROTECCIÓ DE DADES, TRANSPARÈNCIA I EXACTITUD DE LES DADES: el art. 5 de la LOPDGDD, indica que només es pot imputar al responsable del tractament la inexactitud de les dades quan el responsable hagi adoptat sense dilació les mesures raonables per a la seva supressió o rectificació.

A més, sempre que les dades haguessin sigut obtingudes pel responsable de l’afectat directament o d’un registre públic o bé a través d’un intermediari, en aquest cas, aquest últim assumirà la responsabilitat o bé, si haguessin sigut tractats pel responsable després d’haver-los rebut d’un altre responsable, en virtut de l’exercici de portabilitat.

  • EL TRACTAMENT DE LES DADES AMB EL CONSENTIMENT DE L’AFECTAT: la LOPDGDD indica en diversos dels seus articles que, el fet de l’existència d’una relació contractual, no dona dret al tractament de los dades de caràcter personal, més enllà de les finalitats relacionades amb aquest contracte.

El consentiment sempre ha de prestar-se a través d’una declaració o una clara acció afirmativa i quan siguin diverses les finalitats del tractament, ha d’atorgar-se el consentiment per a cada una d’elles.

Per a la recollida de dades, serà necessari, com a mínim, facilitar la següent informació:

  • INFORMACIÓ PER CAPES

L’interessat tindrà dret a conèixer el tractament que es pretén realitzar de les seves dades amb anterioritat a la seva cessió.

Per això, el responsable ha d’informar de manera transparent, la informació bàsica, en primera instància i ha d’indicar una direcció electrònica o un altre mitjà que permeti accedir de forma senzilla i immediata a la resta de la informació.

  • EXERCICI DE DRETS:

La LOPDGDD concreta alguns aspectes relacionats amb l’exercici de drets, com per exemple:

La sol·licitud de drets, són independents entre elles, es a dir: que l’exercici de cap d’ells és requisit previ per a l’exercici d’un altre.

S’ha de concedir a l’interessat, un mitjà senzill i gratuït per a dur a terme l’exercici de drets.

Quan les sol·licituds siguin manifestament infundades o excessives, especialment degut al seu caràcter repetitiu, el responsable del tractament podrà:

  • a) cobrar un cànon raonable en funció dels costos administratius
  • b) negar-se a actuar al respecte de la sol·licitud.

El responsable del tractament haurà de demostrar el caràcter manifestament infundat o excessiu de la sol·licitud.

Aquests drets podran ser exercits:

  • Bé per l’interessat, acreditant la seva identitat
  • Bé pel representant acreditant la representació:
  • el representant legal en els supòsits de menors d’edat o incapacitats.
  • o el representant voluntari en qualsevol cas.

Termini de resposta:

  • El responsable del tractament facilitarà al interessat informació relativa a les seves actuacions sobre la base d’una sol·licitud en el termini d’un mes a partir de la recepció de la sol·licitud.
  • Aquest termini podrà prorrogar-se uns altres dos mesos en cas necessari, tenint en compte la complexitat i el número de sol·licituds.
  • El responsable informarà a l’interessat de qualsevol d’aquestes pròrrogues en el termini d’un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació.
  • Quan l’interessat presenti la sol·licitud per mitjans electrònics, la informació es facilitarà per mitjans electrònics quan sigui possible, a menys que l’interessat sol·liciti que es facilití d’una altre manera.
  • RESPONSABLE I ENCARREGAT DEL TRACTAMENT: responsabilitat activa i avaluació d’impacte

El RGPD indicava l’obligació de realitzar una avaluació d’impacte en 3 supòsits:

  • Quan es realitzi un tractament automatitzat, com l’elaboració de perfils, i sobre la base es preguin decisions que produeixin efectes jurídics per a les persones físiques o que les afectin significativament d’una manera similar.
  • Quan es realitzi un tractament a gran escala de les categories especials de dades, o de les dades personals relatives a condemnes i infraccions penals.
  • En el cas d’una observació sistemàtica a gran escala d’una zona d’accés públic.

La LOPDGDD, concreta aquestes situacions i aclareix alguns dels conceptes. Així doncs, indica que s’hauran de realitzar l’avaluació d’impacte en els següents supòsits:

  1. Quan el tractament pugui generar situacions de discriminació, usurpació de identitat o frau, pèrdues financeres, danys per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic, moral o social significativa pels afectats.
  2. Quan el tractament pogués privar als afectats dels seus drets i llibertats o pogués impedir-los l’exercici del control sobre les seves dades personals.
  3. Quan es produeixi el tractament no merament incidental de les categories especials de dades o de les dades relacionades amb condemnes o infraccions penals.
  4. Quan el tractament tingui per finalitat crear o utilitzar perfils personals referits al seu rendiment en el treball, la seva situació econòmica, la seva salut, les seves preferències o interessos personals, la seva fiabilitat o comportament, la seva solvència financera, la seva localització o els seus moviments.
  5. Quan s’executi el tractament de dades de grups d’afectats en situacions d’especial vulnerabilitat i, en particular, de menors d’edat i persones amb discapacitat per a les que s’haguessin establert mesures d’ajuda.
  6. Quan es produeixi un tractament massiu que afecti a un gran número de persones o impliqui la recollida d’una gran quantitat de dades personals.
  7. Quan les dades personals siguin objecte d’una transferència, amb caràcter habitual, a tercers Estats i organitzacions internacionals respecte dels que no s’hagin declarat un nivell adequat de protecció.
  8. Qualsevol altres que a judici del responsable o de l’encarregat poguessin tenir algun tipus de rellevància i en particular aquells previstos en codis de conducta i estàndards definits per esquemes de certificació.
  • GRAN ESCALA???

Que s’enten per gran escala….

  • REGISTRE D’ACTIVITATS: los art. 31 y 77.1 de la LOPDGDD, indiquen que, els següents subjectes, hauran de fer públic un inventari de les activitats de tractament accessible per mitjans electrònics
    1. Els òrgans constitucionals o amb rellevància constitucional i les institucions de les comunitats autònomes anàlogues als mateixos.
    2. Els òrgans jurisdiccionals.
    3. L’Administració General de l’Estat, les Administracions de les comunitats autònomes i les entitats que integren l’Administració Local.
    4. Els organismes públics i entitats de Drets públic vinculades o dependents de les Administracions Públicas.
    5. Les autoritats administratives independents.
    6. El Banc d’España.
    7. Les corporacions de Drets públic quan les finalitats del tractament es relacionen amb l’exercici de potestats de dret públic.
    8. Les fundacions del sector públic.
    9. Les Universitats Públiques.
    10. Els consorcis.
    11. Els grups parlamentaris de les Corts Generals i les Assemblees Legislatives autonòmiques, així com els grups polítics de les Corporacions Locals.
  • DELEGAT DE PROTECCIÓ DE DADES (DPD-DPO):

La figura del delegat de protecció de dades rep una importància destacada en el Reglamento (UE) 2016/679 i així ho recull la Llei orgànica 3/2018.

El art. 34 de la LOPDGDD, indica que els responsables i encarregats del tractament hauran de designar un delegat de protecció de dades quan:

  • El tractament el dugui a terme una autoritat o organisme públic, excepte els tribunals que actuïn en exercici de la seva funció judicial.
  • Les activitats principals, consisteixin en operacions de tractament que requereixin una observació habitual i sistemàtica d’interessats a gran escala.
  • Les activitats principals, consisteixin en el tractament a gran escala de categories especials de dades personals i de dades relatives a condemnes i infraccions penals.
  • També caldrà designar-lo quan així ho estableixi el dret de la Unió o dels Estats Membres.

A més a més, especifica les entitats les quals també seran objecte d’aquesta obligació:

  1. Els col·legis professionals i els seus consells generals.
  2. Els centres docents que ofereixin ensenyances en qualsevol dels nivells establerts en la legislació reguladora del dret a l’educació, així como les Universitats Públicas i privades.
  3. Les entitats que exploten xarxes i presten serveis de comunicacions electròniques conforme al que disposa la seva legislació específica, quan tracten habitual i sistemàticament dades personals a gran escala.
  4. Els prestadors de serveis de la societat de la informació quan elaboren a gran escala perfils dels usuaris del serveis.
  5. Les entitats incloses en l’article 1 de la Llei 10/2014, de 26 de juny, de ordenació, supervisió i solvència d’entitats de crèdit.
  6. Els establiments financers de crèdit.
  7. Les entitats asseguradores i reasseguradores.
  8. Les empreses de serveis d’inversió, regulades per la legislació del Mercat de Valors.
  9. Les distribuïdores i comercialitzadores d’energia elèctrica i els distribuïdors i comercialitzadores de gas natural.
  10. Les entitats responsables de fitxers comuns per a l’avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per la legislació de prevenció del blanqueig de capitals i de la finançament del terrorisme.
  11. Les entitats que desenvolupen activitats de publicitat i prospecció comercial, incloent les d’investigació comercial i de mercats, quan duguin a terme, tractaments basats en les preferències dels afectats o realitzin activitats que impliquen l’elaboració de perfiles dels mateixos.
  12. Els centres sanitaris legalment obligats al manteniment de les histories clíniques dels pacients.

S’exceptuen els professionals de la salut que, hagin estat legalment obligats al manteniment de les histories clíniques dels pacients, exerceixin la seva activitat a títol individual.

  1. Les entitats que tinguin com un dels seus objectes l’emissió d’informes comercials que puguin referir-se a persones físiques.
  2. Els operadors que desenvolupin l’activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, d’acord amb la normativa de regulació del joc.
  3. Les empreses de seguretat privada.
  4. Les federacions esportives quan tractin dades de menors d’edat.

Nomenament basat en Qualitats professionals:

  • El delegat de protecció de dades serà designat atenent les seves qualitats professionals i, en particular, als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades i la seva capacitat per exercir les funcions. Podrà demostrar aquestes qualitats, entre d’altres, a través de mecanismes voluntaris de certificació.
  • El delegat de protecció de dades podrà formar part de la plantilla del responsable o de l’encarregat del tractament o exercir les seves funcions en el marc d’un contracte de serveis.

–       El responsable o l’encarregat del tractament publicaran les dades de contacte del delegat de protecció de dades i els comunicaran a l’autoritat de control. –       Podrà ser compatible amb altres funcions, si no hi ha conflicte d’interessos.

Funcions del DPD

  • Actuarà com a interlocutor del responsable o encarregat del tractament davant l’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades.
  • El delegat podrà inspeccionar els procediments relacionats amb l’objecte d’aquesta llei orgànica i emetre recomanacions en l’àmbit de les seves competències.
  • Quan el delegat de protecció de dades apreciï l’existència d’una vulneració rellevant en matèria de protecció de dades ho comunicarà immediatament als òrgans d’administració i direcció del responsable o l’encarregat del tractament, proposant-los les mesures necessàries per evitar la persistència en aquesta conducta.
  • Informar i assessorar sobre obligacions imposades per normativa de protecció de dades.
  • Supervisar el compliment de la normativa de protecció de dades, incloses
    • assignacions de responsabilitats
    • conscienciació i formació del personal
    • les auditories corresponents
  • Oferir assessorament sobre EIPD
  • Cooperar amb l’APD i actuar com a punt de contacte per a qüestions relatives al tractament.
  • No podrà rebre cap instrucció pel que fa a l’acompliment de les seves funcions
  • No podrà ser destituït ni sancionat per exercir les seves funcions
  • Rendirà comptes directament al més alt nivell jeràrquic
  • Podrà ser contactat per interessats i APD
  • TRANSFERÈNCIES INTERNACIONALS DE DADES:

Podrà realitzar-se una transferència de dades personals a un tercer país o organització internacional quan la Comissió hagi decidit que el tercer país, un territori o un o diversos sectors específics d’aquest tercer país, o l’organització internacional que es tracti garanteixen un nivell de protecció adequat.

Aquesta transferència no requereix cap autorització específica.

A falta de decisió per part de la Comissió, el responsable o l’encarregat del tractament només podrà transmetre dades personals a un tercer país o organització internacional si hagués ofert garanties adequades i amb la condició que els interessats compten amb drets exigibles i accions legals efectives.

L’Agència Espanyola de Protecció de Dades pot aprovar clàusules contractuals tipus i normes corporatives vinculants que se sotmetran prèviament al dictamen del Comitè Europeu de Protecció de Dades.

Les transferències internacionals de dades a països o organitzacions internacionals que no comptin amb decisió d’adequació aprovada per la Comissió, hauran de ser prèviament autoritzades per l’Agència Espanyola de Protecció Dades o autoritats autonòmiques. Així mateix, informaran els afectats de la transferència i dels interessos legítims amb caràcter previ a la realització de la transferència.

  • FINESTRETA ÚNICA:

Aquest sistema permet que els ciutadans i també els responsables establerts en diferents estats membres o que facin tractaments que afecten a diferents estats membres tinguin una única autoritat de protecció de dades com a interlocutora

L’Agència Espanyola de Protecció de Dades s’estableix com a Autoritat de Control principal a Espanya.

Existència de les autoritats autonòmiques de protecció de dades: País Basc i Catalunya.

Sistema innovador i complex de “finestreta única” en què hi ha una autoritat de control principal i altres autoritats interessades.

L’autoritat de control principal de cooperarà amb les altres autoritats de control interessades, esforçant-se per arribar a un consens. L’autoritat de control principal i les autoritats de control interessades s’hauran d’intercanviar tota informació pertinent.

Cada autoritat de control adoptarà totes les mesures oportunes requerides per respondre a una sol·licitud d’una altra autoritat de control sense dilació indeguda i com a molt tard en el termini d’un mes a partir de la sol·licitud

  • SANCIONS:

Es manté la distinció entre infraccions molt greus, greus i lleus tal com indicava l’anterior LOPD.

  • Infraccions molt greus: Incompliment de la normativa pel que fa referència a:
    • Principis relatius al tractament: (licitud, lleialtat, transparència, adequades, pertinents, exactes…)
    • La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual es van recollir, sense comptar amb el consentiment de l’afectat o amb una base legal per a això.
    • El tractament de dades personals de les categories especials.
    • El tractament de dades personals relatives a condemnes i infraccions penals o mesures de seguretat fora dels supòsits permesos.
    • L’omissió del deure d’informar l’afectat sobre el tractament de les seves dades de caràcter personal.
    • La vulneració del deure de confidencialitat.
    • L’exigència del pagament d’un cànon per atendre les sol·licituds d’exercici de drets.
    • L’impediment o l’obstaculització a la no atenció reiterada de l’exercici dels drets
    • La transferència internacional de dades de caràcter personal a un destinatari que es trobi en un tercer país o a una organització internacional, quan no concorrin les garanties, requisits o excepcions que estableix la normativa
    • L’incompliment de les resolucions dictades per l’autoritat de protecció de dades competent
    • L’incompliment de l’obligació de bloqueig de les dades quan sigui exigible.
    • No facilitar l’accés del personal de l’autoritat de protecció de dades competent a les dades personals, informació, locals, equips i mitjans de tractament que siguin requerits per l’autoritat de protecció de dades per a l’exercici dels seus poders d’investigació
    • La resistència o obstrucció de l’exercici de la funció inspectora per l’autoritat de protecció de dades competent.
  • Infraccions greus: Incompliment de la normativa en el que fa referència a:
    • El tractament de dades de caràcter personal d’un menor de tretze anys sense demanar el seu consentiment, quan tingui capacitat per a això, o el del titular de la seva pàtria potestat o tutela.
    • No acreditar la realització d’esforços raonables per a verificar la validesa del consentiment prestat per un menor de tretze anys o pel titular de la seva pàtria potestat o tutela sobre el mateix.
    • L’impediment o l’obstaculització o la no atenció reiterada dels drets.
    • La manca d’adopció de mesures tècniques i organitzatives des del disseny i per defecte i integrar les garanties necessàries en el tractament i per a cada un dels fins específics.
    • L’incompliment de l’obligació de designar un representant del responsable o encarregat del tractament no establert en el territori de la Unió Europea.
    • La manca d’atenció pel representant a la Unió del responsable o de l’encarregat del tractament de les sol·licituds efectuades per l’autoritat de protecció de dades o pels afectats.
    • La contractació pel responsable del tractament d’un encarregat de tractament que no ofereixi les garanties suficients.
    • Encarregar el tractament de dades a un tercer sense la prèvia formalització d’un contracte o un altre acte jurídic escrit amb el contingut exigit per la normativa.
    • La contractació per un encarregat del tractament d’altres encarregats sense comptar amb l’autorització prèvia del responsable o sense haver-li informat sobre els canvis produïts en la subcontractació.
    • La infracció per un encarregat del tractament del que disposa el Reglament (UE) 2016/679 i aquesta llei orgànica.
    • No disposar del registre d’activitats de tractament que estableix la normativa.
    • No posar a disposició de l’autoritat de protecció de dades que l’hagi sol·licitat, el registre d’activitats de tractament.
    • No cooperar amb les autoritats de control en l’exercici de les seves funcions.
    • El tractament de dades de caràcter personal sense dur a terme una prèvia valoració dels riscos.
    • L’incompliment del deure de l’encarregat del tractament de notificar al responsable del tractament les violacions de seguretat de les que tingués coneixement.
    • L’incompliment del deure de notificació a l’autoritat de protecció de dades d’una violació de seguretat de les dades personals.
    • L’incompliment del deure de comunicació a l’afectat d’una violació de la seguretat de les dades.
    • El tractament de dades de caràcter personal sense haver dut a terme l’avaluació d’impacte de les operacions de tractament en la protecció de dades personals en els supòsits en què la mateixa sigui exigible.
    • El tractament de dades de caràcter personal sense haver consultat prèviament a l’autoritat de protecció de dades quan la llei estableixi l’obligació de dur a terme aquesta consulta.
    • L’incompliment de l’obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament.
    • No possibilitar l’efectiva participació del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no recolzar-lo o interferir en l’exercici de les seves funcions.
    • La utilització d’un segell o certificació en matèria de protecció de dades que no hagi estat atorgat per una entitat de certificació degudament acreditada o en cas que la vigència del mateix hagués expirat.
    • Obtenir l’acreditació com a organisme de certificació presentant informació inexacta sobre el compliment dels requisits exigits.
    • L’acompliment de funcions que el Reglament (UE) 2016/679 reserva als organismes de certificació, sense haver estat degudament acreditat.
    • L’incompliment per part d’un organisme de certificació dels principis i deures a què està sotmès.
    • L’acompliment de funcions reservats als organismes de supervisió de codis de conducta sense haver estat prèviament acreditat per l’autoritat de protecció de dades competent.
  • Infraccions lleus: Incompliment de la normativa pel que fa referència a:
    • L’incompliment del principi de transparència de la informació o el dret d’informació de l’afectat per no facilitar tota la informació exigida per la normativa.
    • L’exigència del pagament d’un cànon per atendre les sol·licituds d’exercici de drets si la seva quantia excedeix l’import dels costos afrontats.
    • No atendre les sol·licituds d’exercici dels drets.
    • L’incompliment de l’obligació de notificació relativa a la rectificació o supressió de dades personals o la limitació del tractament.
    • L’incompliment de l’obligació d’informar a l’afectat, quan així ho hagi sol·licitat, dels destinataris als quals s’hagin comunicat les dades personals rectificades, suprimits o respecte dels quals s’ha limitat el tractament.
    • L’incompliment de l’obligació de suprimir les dades referides a una persona morta quan això fos exigible.
    • La manca de formalització pels corresponsables del tractament de l’acord que determini les obligacions, funcions i responsabilitats i les seves relacions amb els afectats o la inexactitud en la determinació de les mateixes.
    • No posar a disposició dels afectats els aspectes essencials de l’acord formalitzat entre els corresponsables del tractament.
    • La manca del compliment de l’obligació de l’encarregat del tractament d’informar al responsable del tractament sobre possibles infraccions.
    • L’incompliment per encarregat o sub encarregat de les estipulacions imposades en el contracte o acte jurídic que regula el tractament o les instruccions del responsable del tractament.
    • Disposar d’un Registre d’activitats de tractament que no incorpori tota la informació exigida.
    • La notificació incompleta o defectuosa a l’autoritat de protecció de dades de la informació relacionada amb una violació de seguretat.
    • L’incompliment de l’obligació de documentació de qualsevol violació de seguretat.
    • L’incompliment del deure de comunicació a l’afectat d’una violació de la seguretat de les dades que comporti un alt risc per als drets i llibertats dels afectats.
    • Facilitar informació inexacta a l’Autoritat de protecció de dades, en els supòsits en què el responsable del tractament hagi d’elevar una consulta prèvia.
    • No publicar les dades de contacte del delegat de protecció de dades, o no comunicar a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible.
    • L’incompliment pels organismes de certificació de l’obligació d’informar a l’autoritat de protecció de dades de l’expedició, renovació o retirada d’una certificació.
    • L’incompliment per part dels organismes acreditats de supervisió d’un codi de conducta de l’obligació d’informar a les autoritats de protecció de dades sobre les mesures que resultin oportunes en cas d’infracció del codi.
  • En el moment d’imposar una sanció, s’han de tenir en compte els següents aspectes:
    • El caràcter continuat de la infracció.
    • La vinculació de l’activitat de l’infractor amb la realització de tractaments de dades de caràcter personal.
    • Els beneficis obtinguts com a conseqüència de la comissió de la infracció.
    • La possibilitat que la conducta de l’afectat hagués pogut induir a la comissió de la infracció.
    • L’existència d’un procés de fusió per absorció posterior a la comissió de la infracció, que no pot imputar-se a l’entitat absorbent.
  • El termini de prescripció de les sancions començarà a comptar des de l’endemà del dia en què adquireixi fermesa la resolució per la qual s’imposa la sanció.
  • La prescripció s’interromp per la iniciació, amb coneixement de l’interessat, del procediment d’execució, tornant a transcórrer el termini si el procediment està paralitzat durant més de sis mesos per causa no imputable a l’infractor.
  • Amonestació

Quan els responsables o encarregats d’entitats majoritàriament públiques, cometessin alguna infracció, l’autoritat de protecció de dades que resulti competent dictarà resolució sancionant a les mateixes amb advertència per tal que cessi la conducta o es corregeixin els efectes de la infracció que s’hagués comès.

  • VIDEOVIGILÀNCIA
  • L’art. 22 de la LOPDGDD indica que les persones físiques o jurídiques, públiques o privades, podran dur a terme el tractament d’imatges a través de sistemes de càmeres o videocàmeres amb la finalitat de preservar la seguretat de les persones i béns, així com de les seves instal·lacions.
  • Referent a la via pública, indica que només podran captar imatges de la via pública en la mesura en què resulti imprescindible per a la finalitat de seguretat de les persones i béns, així com de les seves instal·lacions.

No obstant, serà possible la captació de la via pública en una extensió superior quan fos necessari per garantir la seguretat de béns o instal·lacions estratègics o d’infraestructures vinculades al transport, sense que en cap cas pugui suposar la captació d’imatges de l’interior d’un domicili privat.

  • Les dades seran suprimides en el termini màxim d’un mes des de la captació, excepte quan hagin de ser conservats per acreditar la comissió d’actes que atemptin contra la integritat de persones, béns o instal·lacions. En aquest cas, les imatges han de ser posades a disposició de l’autoritat competent en un termini màxim de setanta-dues hores des que es tingui coneixement de l’existència de l’enregistrament.
  • Es considera exclòs del seu àmbit d’aplicació el tractament per una persona física d’imatges que només captin l’interior del seu propi domicili.

Aquesta exclusió no abasta el tractament realitzat per una entitat de seguretat privada que hagués estat contractada per a la vigilància d’un domicili i tingués accés a les imatges.

  • El deure d’informació previst a l’article 12 del Reglament (UE) 2016/679, s’entén complert mitjançant la col·locació d’un dispositiu informatiu en lloc prou visible identificant, on hi consti almenys, l’existència del tractament, la identitat del responsable i la possibilitat de exercitar els drets

GARANTIA DELS DRETS DIGITALS A LA LOPDGDD

Una de les grans novetats de la Llei Orgànica de Protecció de Dades (LOPDGDD) és la introducció del TÍTOL X dins del propi text. En concret, sobre la Garantia dels Drets Digitals, passant-se a dir Llei Orgànica de Protecció de Dades Personals i Garantia dels Drets Digitals.

Aquests drets digitals, no previstos ni en el Reglament General Europeu ni les anteriors versions de l’Avantprojecte i del Projecte, tenen la missió de garantir els drets digitals de la ciutadania en tant que internet, s’ha convertit en un mitjà imprescindible, tant per a l’activitat professional com individual dins la nostra societat.

A més, s’introdueixen aspectes rellevants dins del Dret Digital en l’Àmbit Laboral.

Aquest títol X, es desenvolupa en 18 articles:

  • Dret a la neutralitat d’Internet: Els usuaris tenen dret a la neutralitat d’Internet. Els proveïdors de serveis d’Internet proporcionaran una oferta transparent de serveis sense discriminació per motius tècnics o econòmics.
  • Dret d’accés universal a Internet: Tothom té dret a accedir a Internet independentment de la seva condició personal, social, econòmica o geogràfica. L’accés universal a Internet ha de ser assequible, de qualitat i no discriminatori per a la població. Dret a la seguretat digital: Els usuaris tenen dret a la seguretat de les comunicacions que transmetin i rebin a través d’Internet.

Dret a l’educació digital: El sistema educatiu ha de garantir la plena inserció de l’alumnat en la societat digital i l’aprenentatge d’un ús dels mitjans digitals que sigui segur i respectuós.

El professorat rebrà les competències digitals i la formació necessària per a l’ensenyament i transmissió dels valors i drets referits anteriorment.

  • Protecció dels menors a Internet: Els pares, mares, tutors, curadors o representants legals han de procurar que els menors d’edat facin un ús equilibrat i responsable dels dispositius digitals
  • Dret de rectificació a Internet: Els responsables de xarxes socials i serveis equivalents, adoptaran protocols efectius per garantir aquest dret davant els usuaris que difonguin continguts que atemptin contra el dret a l’honor, la intimitat personal i familiar i en cas necessari han de publicar una nota aclaridora de les dades rectificades.
  • Dret a l’actualització d’informacions en mitjans de comunicació digitals: Tota persona té dret a sol·licitar la inclusió d’un avís prou visible de l’actualització de la informació quan la notícia original no reflecteixi la seva situació actual, especialment, quan es refereixi a actuacions policials o judicials que s’hagin vist afectades en benefici de l’interessat.

DRETS DIGITALS EN L’ÀMBIT LABORAL

  • Dret a la intimitat i ús de dispositius digitals: Els treballadors tindran dret a la protecció de la seva intimitat en l’ús dels dispositius digitals posats a la seva disposició pel seu ocupador.

L’ ocupador podrà accedir als continguts derivats de l’ús de mitjans digitals facilitats als treballadors només als efectes de controlar el compliment de les obligacions laborals o estatutàries i de garantir la integritat d’aquests dispositius.

Els ocupadors hauran d’establir criteris d’utilització dels dispositius digitals respectant en tot cas els estàndards mínims de protecció de la seva intimitat.

Els treballadors han de ser informats dels criteris d’utilització a què es refereix aquest apartat.

  • Dret a la desconnexió digital: Els treballadors tindran dret a la desconnexió digital per tal de garantir, fora del temps de treball legal o convencionalment establert, el respecte del seu temps de descans, permisos i vacances, així com de la seva intimitat personal i familiar.

Les modalitats d’exercici d’aquest dret atendran la naturalesa i objecte de la relació laboral, potenciaran el dret a la conciliació de l’activitat laboral i la vida personal i familiar i estaran subjectes al que estableix la negociació col·lectiva o, si no, a l’acordat entre l’empresa i els representants dels treballadors.

L’ ocupador ha d’elaborar una política interna adreçada als treballadors, inclosos els que ocupin llocs directius, en la qual definiran les modalitats d’exercici del dret a la desconnexió per tal d’evitar el risc de fatiga informàtica.

  • Dret a la intimitat enfront de l’ús de dispositius de videovigilància i de gravació de so en el lloc de treball: La utilització de sistemes de videovigilància i gravació en el lloc de treball s’admetrà únicament, quan resultin rellevants els riscos per a la seguretat de les instal·lacions, béns i persones derivats de l’activitat que es desenvolupi en el centre de treball i sempre respectant el principi de proporcionalitat i el d’intervenció mínima.

Els ocupadors podran tractar les imatges obtingudes a través de sistemes de càmeres o videocàmeres per a l’exercici de les funcions de control dels treballadors que preveu l’article 20.3 de l’Estatut dels Treballadors.

Els ocupadors hauran d’informar amb caràcter previ, i de forma expressa, clara i concisa, als treballadors o als seus representants, sobre aquesta mesura.

En el cas que s’hagi captat la comissió flagrant d’un acte il·lícit pels treballadors, s’entendrà complert el deure d’informar quan existís el cartell informatiu.

En cap cas s’admetrà la instal·lació de sistemes d’enregistrament de sons ni de videovigilància en llocs destinats al descans o esbarjo dels treballadors o els empleats públics, com ara vestuaris, lavabos, menjadors i anàlegs.

  • Dret a la intimitat davant la utilització de sistemes de geolocalització en l’àmbit laboral: Els ocupadors podran tractar les dades obtingudes a través de sistemes de geolocalització per a l’exercici de les funcions de control dels treballadors que preveu l’article 20.3 de l’Estatut dels treballador

Amb caràcter previ, els empresaris hauran d’informar de forma expressa, clara i inequívoca als treballadors o els empleats públics i, si s’escau, als seus representants, sobre l’existència i característiques d’aquests dispositius.

Igualment hauran d’informar sobre el possible exercici dels drets d’accés, rectificació, limitació del tractament i supressió.

  • Drets digitals en la negociació col·lectiva: Els convenis col·lectius podran establir garanties addicionals dels drets i llibertats relacionats amb el tractament de les dades personals dels treballadors i la salvaguarda de drets digitals en l’àmbit laboral.