NOVEDADES DE LOPDGDD 3/2018

Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales 3/2018

DATOS PERSONALES: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Toda nueva normativa implica cambios en la gestión de las organizaciones para poder llevar a cabo el cumplimiento de los nuevos requisitos.

En este apartado, queremos dar una visión general de los principales cambios, novedades y aclaraciones del propio Reglamento Europeo 2016/679 y la introducción de la LOPD DGG 3/2018

CAMBIOS, NOVEDADES Y ACLARACIONES DEL PROPIO REGLAMENTO EUROPEO 2016/679 Y LA INTRODUCCIÓN DE LA LOPDDGG 3/2018

  • PERSONAS FALLECIDAS: el art. 3 de la LOPDGDD indica que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, excepto aquellas personas que el fallecido lo hubiese prohibido expresamente o así lo establezca una ley.

Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

En caso de fallecimiento de menores o discapacitados, estas facultades podrán ejercerse también por sus representantes legales.

  • CONSENTIMIENTO DE LOS MENORES DE EDAD: el art. 7 de la LOPDGDD, indica que el tratamiento de los datos personales de un menor de edad, únicamente podrá fundarse en su consentimiento, cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico, en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.

  • PRINCIPIOS DE PROTECCIÓN DE DATOS, TRANSPARENCIA Y EXACTITUD DE LOS DATOS: el art. 5 de la LOPDGDD, indica que solo se puede imputar al responsable del tratamiento la inexactitud de los datos cuando el responsable haya adoptado sin dilación las medidas razonables para su supresión o rectificación.

Además, siempre que los datos hubieran sido obtenidos por el responsable directamente del afectado o de un registro público o bien a través de un mediador o intermediario, en cuyo caso éste último asumirá la responsabilidad o bien, hubieran sido tratados por el responsable tras haberlos recibido de otro responsable, en virtud del ejercicio de portabilidad.

  • EL TRATAMIENTO DE LOS DATOS CON EL CONSENTIMIENTO DEL AFECTADO: la LOPDGDD indica en varios de sus artículos que, el mero hecho de la existencia de una relación contractual, no da derecho al tratamiento de los datos de carácter personal, más allá de las finalidades relacionadas con dicho contrato.

El consentimiento siempre debe prestarse a través de una declaración o una clara acción afirmativa y cuando sean varias las finalidades del tratamiento, debe otorgarse el consentimiento para cada una de ellas.

Para la recogida de datos, será necesario, como mínimo, facilitar la siguiente información:

  • INFORMACIÓN POR CAPAS

El interesado tendrá derecho a conocer el tratamiento que se pretende realizar de sus datos con anterioridad a su cesión.

Por ello, el responsable deberá informar de manera transparente, la información básica, en primera instancia y deberá indicar una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

  • EJERCICIO DE DERECHOS:

La LOPDGDD concreta algunos aspectos relacionados con el ejercicio de derechos, como por ejemplo:

La solicitud de derechos, son independientes entre ellos, es decir: que el ejercicio de ninguno de ellos ese requisito previo para el ejercicio de otro.

Se deberá conceder al interesado, un medio sencillo y gratuito para el ejercicio de los derechos.

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

  • a) cobrar un canon razonable en función de los costes administrativos
  • b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportara la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

Tales derechos podrán ser ejercidos por:

  • Bien por el interesado, acreditando su identidad
  • Bien por el representante acreditando la representación:
  • el representante legal en los supuestos de menores de edad o incapacitados.
  • o el representante voluntario en cualquier caso

Plazo de respuesta:

  • El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud en el plazo de un mes a partir de la recepción de la solicitud.
  • Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
  • El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
  • Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
  • RESPONSABLE Y ENCARGADO DEL TRATAMIENTO: responsabilidad activa y evaluación de impacto

El RGPD indicaba la obligación de realizar una evaluación de impacto en 3 supuestos:

  • Cuando se realice un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar
  • Cuando se realice un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales
  • En el caso de una observación sistemática a gran escala de una zona de acceso público.

La LOPDGDD, concreta estas situaciones y aclara algunos de los conceptos. Así pues, indica que se deberá realizar la evaluación de impacto en los siguientes supuestos:

  1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
  2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales
  3. Cuando se produjese el tratamiento no meramente incidental de las categorías especiales de datos o de los datos relacionados con condenas o infracciones penales.
  4. Cuando el tratamiento tenga por finalidad crear o utilizar perfiles personales referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
  5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
  6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.
  7. Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
  8. Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
  • ¿¿¿GRAN ESCALA???

Que se entiende por gran escala…

  • REGISTRO DE ACTIVIDADES: los art. 31 y 77.1 de la LOPDGDD, indica que deberán hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos, los siguientes sujetos:
    1. Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
    2. Los órganos jurisdiccionales.
    3. La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
    4. Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
    5. Las autoridades administrativas independientes.
    6. El Banco de España.
    7. Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
    8. Las fundaciones del sector público.
    9. Las Universidades Públicas.
    10. Los consorcios.

Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

  • DELEGADO DE PROTECCIÓN DE DATOS (DPD-DPO):

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica.

El art. 34 de la LOPDGDD, indica que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
  • Las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
  • Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
  • También habrán de designarlo cuando así lo establezca el derecho de la Unión o de los Estados Miembro

Además, especifica las entidades las cuales también serán objeto de dicha obligación:

  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo, tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

  1. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  2. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  3. Las empresas de seguridad privada.
  4. Las federaciones deportivas cuando traten datos de menores de edad.

Nombramiento basado en Cualidades profesionales:

  • El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones. Podrá demostrar dichas cualidades, entre otros, a través de mecanismos voluntarios de certificación
  • El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
  • El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
  • Podrá se compatible con otras funciones, si no hay conflicto de intereses

Funciones del DPD

  • Actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
  • El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias
  • Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento, proponiéndoles las medidas necesarias para evitar la persistencia en esa conducta
  • Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos
  • Supervisar el cumplimiento de la normativa de protección de datos, incluidas
    • asignación de responsabilidades
    • concienciación y formación del personal
    • las auditorías correspondientes
  • Ofrecer asesoramiento sobre EIPD
  • Cooperar con la APD y actuar como punto de contacto para cuestiones relativas al tratamiento
  • No podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones
  • No podrá ser destituido ni sancionado por desempeñar sus funciones
  • Rendirá cuentas directamente al más alto nivel jerárquico
  • Podrá ser contactado por interesados y APD
  • TRANSFERENCIAS INTERNACIONALES DE DATOS:

Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado.

Dicha transferencia no requerirá ninguna autorización específica.

A falta de decisión por parte de la Comisión, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

La Agencia Española de Protección de Datos podrá aprobar cláusulas contractuales tipo y normas corporativas vinculantes que se someterán previamente al dictamen del Comité Europeo de Protección de Datos

Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión, habrán de ser previamente autorizadas por la Agencia Española de Protección Datos o autoridades autonómicas. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos con carácter previo a la realización de la transferencia.

  • VENTANILLA ÚNICA:

Este sistema permite que los ciudadanos y también los responsables establecidos en diferentes estados miembros o que hagan tratamientos que afectan a diferentes estados miembros tengan una única autoridad de protección de datos como interlocutora

La Agencia Española de Protección de Datos se establece como Autoridad de Control principal en España.

Existencia de las autoridades autonómicas de protección de datos: País Vasco y Catalunya

Sistema novedoso y complejo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas

La autoridad de control principal cooperará con las demás autoridades de control interesadas, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.

Cada autoridad de control adoptará todas las medidas oportunas requeridas para responder a una solicitud de otra autoridad de control sin dilación indebida y a más tardar en el plazo de un mes a partir de la solicitud

  • SANCIONES:

Se mantiene la distinción entre infracciones muy graves, graves y leves tal como indicaba la anterior LOPD

  • Infracciones muy graves: Incumplimiento de la normativa en lo que refiere a:
    • Principios relativos al tratamiento: (licitud, lealtad, transparencia, adecuados, pertinentes, exactos…)
    • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
    • El tratamiento de datos personales de las categorías especiales
    • El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad fuera de los supuestos permitidos
    • La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal
    • La vulneración del deber de confidencialidad
    • La exigencia del pago de un canon por atender las solicitudes de ejercicio de derechos
    • El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos
    • La transferencia internacional de datos de carácter personal a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en la normativa
    • El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente
    • El incumplimiento de la obligación de bloqueo de los datos cuando sea exigible.
    • No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación
    • La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
  • Infracciones graves: Incumplimiento de la normativa en lo que refiere a:
    • El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela
    • No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de trece años o por el titular de su patria potestad o tutela sobre el mismo
    • El impedimento o la obstaculización o la no atención reiterada de los derechos
    • La falta de adopción de medidas técnicas y organizativas desde el diseño y por defecto e integrar las garantías necesarias en el tratamiento y para cada uno de los fines específicos
    • El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea
    • La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
    • La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes
    • Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por la normativa
    • La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable o sin haberle informado sobre los cambios producidos en la subcontratación
    • La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica
    • No disponer del registro de actividades de tratamiento establecido en la normativa
    • No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento
    • No cooperar con las autoridades de control en el desempeño de sus funciones
    • El tratamiento de datos de carácter personal sin llevar a cabo una previa valoración de los riesgos
    • El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento
    • El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales
    • El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos
    • El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
    • El tratamiento de datos de carácter personal sin haber consultado previamente a la autoridad de protección de datos cuando la ley establezca la obligación de llevar a cabo esa consulta.
    • El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento
    • No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
    • La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
    • Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos
    • El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificación, sin haber sido debidamente acreditado
    • El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido
    • El desempeño de funciones reservados a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.
  • Infracciones leves: Incumplimiento de la normativa en lo que refiere a:
    • El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por la normativa
    • La exigencia del pago de un canon por atender las solicitudes de ejercicio de derechos si su cuantía excediese el importe de los costes afrontados
    • No atender las solicitudes de ejercicio de los derechos
    • El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
    • El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
    • El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible
    • La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.
    • No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento
    • La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de posibles infracciones
    • El incumplimiento por encargado o subencargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento
    • Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida
    • La notificación incompleta o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad
    • El incumplimiento de la obligación de documentación de cualquier violación de seguridad
    • El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados
    • Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarla una consulta previa
    • No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible
    • El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación
    • El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código
  • En el momento de imponer una sanción, se tendrán en cuenta los siguientes aspectos:
    • El carácter continuado de la infracción.
    • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
    • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
    • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
    • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
  • El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.
  • La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
  • Apercibimiento

Cuando los responsables o encargados de entidades mayoritariamente públicas, cometiesen alguna infracción, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento con el fin que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

  • VIDEOVIGILANCIA
  • El art. 22 de la LOPDGDD indica que las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
  • Referente a la vía pública, indica que solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad de seguridad de las personas y bienes, así como de sus instalaciones.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

  • Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
  • Se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

  • El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, donde se indique al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos

GARANTÍA DE LOS DERECHOS DIGITALES EN LA LOPDGDD

Una de las grandes novedades de la Ley Orgánica de Protección de Datos (LOPDGDD) es la introducción del TITULO X dentro del propio texto. En concreto, sobre la Garantía de los Derechos Digitales, pasándose a llamar  Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Estos derechos digitales, no previstos ni en el Reglamento General Europeo ni las anteriores versiones del Anteproyecto y del Proyecto, tienen la misión de garantizar los derechos digitales de la ciudadanía en tanto que internet, se ha convertido en un medio imprescindible, tanto para la actividad profesional como individual dentro de nuestra sociedad.

Además, se introducen aspectos relevantes dentro del Derecho Digital en el Ámbito Laboral

Este Título X, se desarrolla en 18 artículos:

  • Derecho a la neutralidad de Internet: Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores de servicios de Internet proporcionarán una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.
  • Derecho de acceso universal a Internet: Todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica. El acceso universal a Internet deberá ser asequible, de calidad y no discriminatorio para la población.
  • Derecho a la seguridad digital: Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet.
  • Derecho a la educación digital: El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso.

El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos anteriormente

  • Protección de los menores en Internet: Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales
  • Derecho de rectificación en Internet: Los responsables de redes sociales y servicios equivalentes, adoptarán protocolos efectivos para garantizar ese derecho ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar y en caso necesario deberán publicar una nota aclaratoria de los datos rectificados
  • Derecho a la actualización de informaciones en medios de comunicación digitales: Toda persona tiene derecho a solicitar la inclusión de un aviso suficientemente visible de la actualización de la información cuando la noticia original no refleje su situación actual, en especial, cuando se refiera a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado.

DERECHOS DIGITALES EN EL ÁMBITO LABORAL

  • Derecho a la intimidad y uso de dispositivos digitales: Los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.

El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.

Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad

Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado

  • Derecho a la desconexión digital: Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.

Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.

El empleador elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión con el fin de evitar el riesgo de fatiga informática

  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo: La utilización de sistemas de videovigilancia y grabación en el lugar de trabajo se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad y el de intervención mínima

Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores

Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o a sus representantes, acerca de esta medida.

En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores, se entenderá cumplido el deber de informar cuando existiese el cartel informativo.

En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.

  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores

Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos.

Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

  • Derechos digitales en la negociación colectiva: Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral