Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals

Benvolguts,

El CETAFC us informa que el passat divendres dia 7 de desembre de 2018 va entrar en vigor la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

Des del CETAFC us volem fer algunes consideracions al respecte:

Per l’adaptació de la vostra empresa:

1. L’Agència Espanyola de Protecció de Dades, https://www.aepd.es/, posa a disposició de les empreses una eina anomenada “Facilita”, destinada a aquelles empreses que realitzen tractaments de dades personals que, a priori, implicarien escàs nivell de riscos, com per exemple: tractaments de dades de contacte i facturació dels clients o proveïdors d'una petita empresa, o el tractament de les dades dels seus empleats amb la finalitat del manteniment d'una relació laboral.

El programa fa preguntes relacionades amb el tractament de dades personals de l’empresa. Una vegada s’hagin respost totes les preguntes, es generarà un document amb informació a revisar, indicant el contingut mínim i indispensable dels documents, que hauria de tenir l’empresa, pel compliment del Reglament General de Protecció de Dades. Per accedir a l’ampliació heu de clicar al següent enllaç:

https://www.aepd.es/herramientas/facilita.html

Informació respecte del contingut de la Llei orgànica 3/2018, de 5 de desembre:

2. En la seva disposició derogatòria única, queda derogada la Llei orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i el Reial decret llei 5/2018, de 27 de juliol, de mesures urgents per a l'adaptació del Dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades. Així mateix, queden derogades quantes disposicions d'igual o inferior rang contradiguin, s'oposin, o resultin incompatibles amb el que es disposa en el Reglament (UE) 2016/679 i en la llei orgànica.

3. La nova Llei orgànica (d'ara endavant NLOPD) adapta el RGPD, per la qual cosa, en cap cas pot contradir a aquest.

4. En el seu art. 73.v) considera infracció greu l'incompliment de l'obligació de designar un delegat de protecció de dades quan sigui exigible el seu  nomenament. I comporta les sancions corresponents.

5. Es manté la licitud del tractament basat en l'interès públic en els mateixos termes que els expressats en el RGPD.

6.Tractament de dades de contacte d'empresaris i autònoms. Es legitima el tractament de les dades que siguin estrictament de contacte amb empresaris i autònoms, basant-se en l'interès legítim del responsable del tractament (article 19).

7. Sistemes d'informació creditícia. Les llistes privades de morosos, a les quals poden accedir les entitats financeres i altres organismes, seran lícites si s'ha informat prèviament per via contractual a l'interessat de la possibilitat d'incorporar en ella les seves dades en cas de tenir un deute líquid, vençuda i exigible (article 20).

8. Videovigilància. S'atorga el rang de llei a la possibilitat de tractar imatges i veu a partir de càmeres de videovigilància, quan es faci per motius de seguretat o de control dels treballadors. Fins ara, aquests tractaments de dades es realitzaven invocant un interès legítim del responsable (si la finalitat era controlar als treballadors) o un interès públic del mateix (per raons de seguretat). Per tant, amb la nova normativa, s'incrementa la seguretat jurídica als particulars i a les empreses establint per llei orgànica aquesta possibilitat (articles 22 i 89).

9. Sistemes d'exclusió publicitària. Es proporciona empara legal a les associacions privades que tractin dades personals amb l'objectiu d'evitar l'enviament de comunicacions comercials i publicitàries als seus associats o inscrits. Aquestes entitats exerciran unes funcions "gairebé-públiques", i col·laboraran amb l'AEPD. Fins ara, a Espanya l'única llista d'exclusió publicitària que existeix és la coneguda "Llista Robinson"(article 23).

10. Delegat de Protecció de Dades (DPO). La nova LOPD amplia el llistat d'entitats que hauran de comptar obligatòriament amb un DPO, exigint-lo, entre altres, a:

• Col·legis professionals
• Centres docents i universitats públiques i privades
• Entitats financeres
• Empreses de publicitat i prospecció comercial
• Centres i empreses de salut, públics i privats
• Empreses de seguretat privada (article 34)

11. Procediment d'autorització de l'AEPD per a efectuar transferències internacionals de dades. Quan es pretengui transferir dades a un tercer Estat que compti amb la consideració d'assegurança -segons el Comitè Europeu de Protecció de Dades- o que no compti amb una decisió d'adequació, caldrà obtenir prèviament una autorització de l'AEPD, en un procediment que podrà durar un màxim de 6 mesos (article 42).

12. Procediment sancionador per vulneració dels drets a la protecció de les dades personals. El RGPD exigeix que hi hagi un procediment per via  administrativa per als casos de vulneració dels drets a la protecció de dades dels particulars, però en la pràctica no estableix ni concreta com deu ser aquest procediment, ni com s'han de realitzar els diferents tràmits procedimentals. En aquest sentit, la nova LOPD dedica un títol complet (el VIII, articles 63 al 69) a regular el procediment en qüestió. Aquest procediment davant l'AEPD haurà de resoldre's en el termini de 6 o 9 mesos.

13. Drets digitals. La nova LOPD incorpora un títol sencer (el X) en la garantia dels "drets digitals", que es resumeixen en (articles 80 al 89):

• La neutralitat d'Internet
• El dret d'accés universal a Internet
• El dret a la seguretat digital
• El dret a l'educació digital
• El dret de rectificació en Internet
• El dret a la "desconnexió digital" en l'àmbit laboral

Conclusions i aspectes a tenir en compte sobre la nova LOPD:

Encara que aquestes novetats poden tenir un abast important en determinats sectors, els pilars normatius bàsics en matèria de protecció de dades sobre els quals hauran de treballar les empreses i professionals continuaran sent els establerts en el RGPD.

Per tant, per a una bona adaptació a la normativa general de Protecció de Dades, s'haurà de continuar generant la mateixa documentació que ja venia imposant el RGPD i tenir en compte tres aspectes fonamentals, la base dels quals continua sent la norma europea:

• La política informativa
• La política contractual
• La política de seguretat

Tant el RGPD com la nova LOPD són normes generals que hauran de complementar-se amb una norma de gran importància, com és el Reglament europeu de e-privacy o comerç electrònic, que ara s'està tramitant per part de les institucions europees.

Secretaria tècnica