El pasado 6 de diciembre el BOE publicó la esperada Ley Orgánica 3/2018, de 5 diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, viene a legislar con rango de ley orgánica, todo lo referente a la temática de protección de datos vía la publicación del famoso Reglamento Europeo de protección de datos, sustituyendo ya por tanto, prácticamente de forma completa, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Esta nueva Ley adapta el ordenamiento jurídico español al Reglamento General de Protección de Datos (RGPD) y, a su vez, completa y desarrolla sus disposiciones. Asimismo, la Ley reconoce y garantiza un nuevo conjunto de derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

En el mismo se reconoce y regula el ejercicio de derechos como el de neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital, la libertad de expresión en internet, el derecho al olvido en buscadores y redes sociales, a la portabilidad, al testamento digital, a la intimidad en el uso de dispositivos digitales en el ámbito laboral y a la desconexión digital.

La nueva Ley Orgánica de Protección de Datos

Los artículos más novedoso de esta nueva Ley se encuentran en los artículos 79 a 97, que contiene el catálogo de derechos digitales, entre los que se encuentran el derecho a la actualización de informaciones en medios de comunicación digitales, el derecho a la intimidad y uso de dispositivos en el ámbito laboral o el derecho a la desconexión digital en el trabajo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

Obligaciones de Responsables y Encargados del Tratamiento

Las empresas que traten datos personales tendrán que proporcionar al afectado la siguiente información: la finalidad del tratamiento; y la posibilidad de ejercer los derechos contenidos en el RGPD. Y, además, debe facilitar el acceso de forma sencilla y “sin dilatación indebida” (a través de una dirección electrónica o cualquier otro medio) al resto de datos que la normativa exige que sean ofrecidos por las organizaciones.

Los responsables de tratamiento están obligados, además, a informar a los afectados de los medios a su alcance para ejercer sus derechos. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de un derecho recae sobre el responsable.

Menores de edad

La Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

Delegado de Protección de Datos

Según el RGPD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:

  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Este punto del Reglamento europeo había creado mucha confusión ya que no quedada claro, sobre todo por lo impreciso de los puntos 2 y 3, cuándo sí y cuándo no era obligatorio tener un DPD.

La nueva Ley española se ha curado en salud y establece en su artículo 34 hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia.

Entre otros: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión, etc…

Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos Española y/ o, en su caso, las autoridades autonómicas de protección de datos. Ambos organismos están obligados a tener una lista actualizada de esos delegados. Que, a su vez, están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

El Delegado de Protección de Datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. Y podrá inspeccionar los procedimientos relacionados con el tratamiento y conservación de la información sensible. Además, está habilitado para emitir recomendaciones en el ámbito de sus competencias.