Con efectos desde el 7 de diciembre de 2018, se ha publicado en el BOE la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que entre otras novedades regula los nuevos derechos digitales en el ámbito laboral (derecho a la intimidad de los trabajadores en el uso de dispositivos digitales, derecho a la desconexión, el uso de videovigilancia, la grabación de sonidos o la geolocalización), así como los sistemas de información de denuncias internas, los sistemas de exclusión publicitaria, los derechos de los interesados (acceso, rectificación, supresión o derecho al olvido, limitación, oposición y portabilidad), incluyendo también el derecho al olvido en búsquedas de internet y redes sociales y el derecho a la portabilidad en redes sociales, y añadiendo un catálogo de nuevos derechos denominados conjuntamente derechos digitales (como el derecho al testamento digital, derecho a la actualización de informaciones en medios de comunicación digitales, etc.).
Con efectos desde el 7 de diciembre de 2018, se ha publicado en el BOE la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que adapta el derecho español al modelo establecido por Reglamento General de Protección de Datos de la Unión Europea (RGPD) -que recordemos es de aplicación directa- y que dejó en manos de los Estados miembros. No obstante, el legislador español ha aprovechado la norma para incluir también los denominados derechos digitales, aquellos derechos relacionados con el uso de la tecnología en la vida privada y el trabajo.
La adaptación al Reglamento general de protección de datos, que es aplicable desde el 25 de mayo de 2018, requería la aprobación de una nueva Ley Orgánica que sustituya a la hasta ahora vigente.
Ahora, esta nueva Ley deroga a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y deroga también al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que se dictó con carácter de urgencia para que se pudiera aplicar en España el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, dado que no se había aprobado todavía la nueva Ley.
La nueva Ley afecta a todas las personas físicas y jurídicas establecidas o no en territorio de la U.E. que traten datos personales de personas físicas que se encuentren en la U.E, respecto a cualquier tratamiento total o parcialmente automatizado de datos personales y a los tratamientos no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
¿Qué principales novedades introduce la nueva Ley con respecto al RGPD y los derechos digitales?:
Testamento digital
- Uno de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
- En caso de menores y personas con discapacidad se amplían estas facultades a los representantes legales, Ministerio Fiscal y personas designadas para funciones de apoyo.
- Mediante Real Decreto se establecerán los requisitos y condiciones que acrediten la validez y vigencia de estos derechos e instrucciones de la persona fallecida sobre el ejercicio de estos derechos.
Menores de edad
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
Tratamiento de datos de naturaleza penal
Fuera de los supuestos del RGPD, estos tratamientos de datos solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger información facilitada por sus clientes para el ejercicio de sus funciones.
Sistemas de información crediticia (los conocidos como ficheros de morosos)
Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros (cuyo importe puede actualizarse mediante Real Decreto) para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
Solo quienes mantengan una relación contractual con el deudor o éste hubiera solicitado la celebración de un contrato que implique financiación, pago aplazado o facturación periódica podrán consultar los datos del deudor.
Operación de modificación estructural de sociedades o aportación o transmisión de negocio o rama de actividad
Se establece que son lícitos los tratamientos de datos que se deriven de cualquier operación de modificación estructural de sociedades o aportación o transmisión de negocio o rama de actividad empresarial cuando los tratamientos sean necesarios para el buen fin de la operación y garanticen cuando sea el caso, la continuidad en la prestación de servicios.
La entidad cesionaria ha de suprimir los datos con carácter inmediato sin aplicar la obligación de bloqueo cuando la operación no llegue a concluirse.
Captación de imágenes
- Se permite la captación de imágenes de la vía pública a través de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas, bienes e instalaciones cuando resulte imprescindible para esta finalidad.
- Esta captación puede ampliarse a una extensión superior con el límite de las imágenes del interior de un domicilio privado cuando fuese necesario para garantizar la seguridad de los bienes o instalaciones estratégicos o infraestructuras vinculadas al transporte.
- Estos datos han de ser suprimidos sin obligación de bloqueo en el plazo de un mes desde su captación excepto que estos datos hayan de ser conservados para acreditar la comisión de actos que atenten contra la integridad de las personas, bienes o instalaciones.
- En caso de obligación de conservación de los datos, en el plazo máximo de 72 horas desde que se tenga conocimiento de la existencia de la grabación, han de ponerse a disposición de la autoridad competente.
Sistemas de denuncias internas
- Regulación de un mecanismo de denuncias internas anónimas o no que permite a las empresas poner en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa.
- El acceso a estos datos solo podrá realizarse por quienes realicen funciones de control interno y de cumplimiento sin embargo cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de procedimientos judiciales también es lícito el acceso por parte de otras personas o incluso su comunicación a terceros.
- Es obligación de los responsables:
- Adoptar las medidas necesarias para preservar la identidad y confidencialidad de los datos de las personas afectadas y especialmente de la persona denunciante.
- Conservar los datos durante el tiempo imprescindible para la toma de decisiones.
- Suprimir los datos del sistema de denuncias a los tres meses desde la introducción de los datos excepto en caso que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención.
- Registrar de forma anónima las denuncias que no se hayan dado curso.
- Suprimir los datos del sistema de denuncias sin obligación de bloqueo cuando dichas denuncias no hayan sido cursadas.
Derechos laborales digitales
La Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
Así, la norma regula el derecho a la intimidad de los trabajadores en el uso de dispositivos digitales puestos a su disposición por el empleador:
- Se autoriza a la empresa a acceder al contenido de los dispositivos a los solos efectos de controlar el cumplimiento de las obligaciones laborales y de garantizar la integridad de dichos dispositivos. Las empresas deberán establecer criterios de utilización de los dispositivos digitales con respeto a los estándares mínimos de protección de la intimidad, con la participación de los representantes de los trabajadores.
- El acceso a los dispositivos respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad (como la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados).
- Los trabajadores deberán ser informados de estos criterios de utilización.
Se reconoce también el derecho a la desconexión digital de los trabajadores, a fin de garantizar, fuera del tiempo de trabajo, el respeto al tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar:
- Este derecho se sujetará a lo establecido en la negociación colectiva o, en su defecto, por acuerdo entre la empresa y los representantes de los trabajadores y atenderá a la naturaleza y objeto de la relación laboral.
- El derecho a la desconexión digital se concretará en una política interna elaborada previa audiencia de los representantes de los trabajadores, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización sobre un uso razonable de las herramientas tecnológicas. En particular, se preservará el derecho a la desconexión digital de los teletrabajadores.
Igualmente se regula el derecho a la intimidad del trabajador frente al uso de dispositivos de videovigilancia y de grabación del sonido en el lugar de trabajo:
- Respecto a la videovigilancia, se permite a las empresas tratar las imágenes obtenidas para vigilar y controlar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, dentro de los límites legales, y con la obligación de informar previamente a los representantes de los trabajadores y a los propios trabajadores.
- Cuando se haya captado la comisión flagrante de un acto ilícito por los trabajadores se entenderá cumplido el deber de informar sobre la videovigilancia cuando existiese al menos un dispositivo informativo en lugar suficientemente visible.
- La grabación de sonidos en el ámbito laboral queda limitada a supuestos muy concretos y excepcionales (como el riesgo para la seguridad de las instalaciones, bienes y personas).
- Se prohíbe instalar dispositivos de grabación de sonido o videovigilancia en los lugares destinados al descanso o esparcimiento de los trabajadores.
Otra de las cuestiones que se regula en nuestra legislación por primera vez es el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, permitiéndose el uso de estos sistemas para el ejercicio de las funciones de control de los trabajadores, dentro de los límites legalmente previstos, debiéndose informar previamente a los representantes de los trabajadores y a los propios trabajadores acerca de la existencia y características de estos dispositivos.
Por último, se establece la conveniencia de establecer garantías adicionales de derechos y libertades relacionados con el tratamiento de datos personales de los trabajadores y la salvaguarda de derechos digitales por parte de los convenios colectivos.
Garantía de derechos digitales
En lo que respecta a los derechos de los interesados, la Ley por un lado, replica el catálogo de los ya previstos en el RGPD (acceso, rectificación, supresión o derecho al olvido, limitación, oposición y portabilidad), si bien los amplía añadiendo un especial derecho al olvido en búsquedas de internet y redes sociales y el derecho a la portabilidad en redes sociales.
Por otro lado, la norma introduce un catálogo de nuevos derechos denominados conjuntamente derechos digitales, a saber:
- derecho de acceso universal a internet;
- derecho a la neutralidad digital o de internet;
- derecho a la educación digital;
- derecho a la desconexión digital y derecho a la intimidad en relación con el uso de dispositivos digitales y sistemas de geolocalización, todos los anteriores en el ámbito laboral que afectan a las relaciones laborales y a la negociación colectiva;
- derecho de rectificación en internet;
- derecho a la actualización de informaciones en medios de comunicación digitales; y
- derecho al testamento digital (posibilidad de que una persona establezca en vida el destino que quiere dar a la información que ha subido a redes sociales o que figura en internet para cuando fallezca, vinculando tanto a sus herederos y derechohabientes, como a las empresas que disponen de esa información o explotan redes sociales).
- Cómputo de plazos: Cuando los plazos se señalen por días, éstos son hábiles (se excluyen, sábados, domingos y festivos); Si el plazo se fija en semanas, años o meses, concluirá el mismo día de la semana, año o mes que produjo el hecho. Si en el mes de vencimiento no hubiera día equivalente se entenderá que el plazo expira el último día del mes; Cuando el último día del plazo sea inhábil, el plazo es el primer día hábil siguiente.
Régimen sancionador
Se regula en la nueva Ley el régimen sancionador. La regulación estatal en esta cuestión es de especial importancia ya que el Reglamento General de Protección de Datos de la Unión Europea (RGPD) establece un sistema de sanciones o actuaciones correctivas que permite un amplio margen de apreciación.
La nueva Ley mantiene la clasificación de las infracciones en muy grave, grave y leve, según el grado de afectación de los datos.
La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.
- Muy graves. Prescriben a los 3 años.
- Graves. Prescriben a los 2 años.
- Leves. Prescriben al año.
La ley orgánica regula los supuestos de interrupción de la prescripción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del Reglamento general de protección de datos.
El RGPD establece amplios márgenes para la determinación de la cuantía de las sanciones. La ley orgánica, respecto a los factores agravantes o atenuantes, aclara que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en la antigua Ley Orgánica 15/1999, entre otros, el carácter continuado de la infracción, el volumen de negocio o actividad del infractor, los beneficios obtenidos como consecuencia de la comisión de la infracción, el grado de intencionalidad, la reincidencia por comisión de infracciones de la misma naturaleza, la regularización de la situación irregular de forma diligente, que la conducta del afectado haya podido inducir a la comisión de la infracción, que el infractor haya reconocido espontáneamente su culpabilidad…
Competencia desleal
Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.