El pasado jueves 6 de diciembre de 2018 se publicó la nueva LOPD, que se encargará de adaptar la normativa europea; el ya conocido Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a las protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos (en adelante, el “RGPD”). Con el objetivo de poder analizar las novedades e implicaciones que supone el nuevo contenido de esta Ley Orgánica, procedemos a unificar lo establecido en anteriores breves relativos a esta nueva Ley.
Principales novedades de la LOPD respecto del RGPD
En este Breves -que resumimos a continuación, pero que puedes leer completo aquí– encontramos las principales novedades que aporta la nueva LOPD:
1. Consentimiento y protección de los menores
La nueva LOPD recoge el requisito de que el consentimiento para el tratamiento de datos personales debe ser expreso, mediante una clara acción afirmativa que manifieste la voluntad libre, específica, informada e inequívoca de permitir el tratamiento. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera especifica e inequívoca que dichos consentimiento se otorga para todas ellas.
La edad mínima para prestar consentimiento es de 14 años. No obstante, podrán tratarse los datos de menores de 14 años en tanto se cuente con el consentimiento por parte del titular de la patria potestad.
Se refuerza, asimismo, la protección del menor garantizando la seguridad de los menores frente a internet y promoviendo la lucha contra la discriminación y la violencia ejercida sobre estos mediante el abuso de las nuevas tecnologías.
2. Información por capas
El Título III de la nueva LOPD adapta al Derecho español el principio de transparencia en el tratamiento del RGPD, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos, como las «cookies».
Así, el art. 11 de la LOPD establece que cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del RGPD facilitando al afectado una primera capa de información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
3. Sistemas de exclusión publicitaria y sistemas de información crediticia
La nueva LOPD faculta e incentiva en su art. 22 la creación de listas “Robinson”, es decir, de sistemas de exclusión publicitaria, de modo que quede prohibido el envío publicidad a las personas incluidas en dicha lista.
Por otro lado, se establecen determinados requisitos bajo los cuales está permitida la creación de listas de morosos (Vid. Breves noviembre 2018), destacando como novedades que se establece una cuantía mínima de 50 euros de crédito para la inclusión en las referidas listas, y que se limita el periodo de duración a un máximo de cinco años.
4. El Delegado de Protección de Datos (DPO)
El nombramiento de un DPO será obligatorio en los supuestos que se recogen en el Anexo I de este artículo. Es importante destacar que, conforme al art. 35 de la LOPD, se deberá acreditar la cualificación del DPO, teniéndose particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
5. Los derechos de los interesados y el bloqueo de datos
Los arts. 13 y ss. de la LOPD reconocen además de los tradicionales derechos de acceso y rectificación, los derechos a la portabilidad, al olvido (supresión) y a la limitación del tratamiento.
Por otro lado, es también importante destacar la nueva obligación al bloqueo de datos, establecida en el art. 32 de la LOPD, en virtud de la cual cuando un interesado ejercite el derecho de rectificación o supresión, se deberán bloquear los datos, identificándolos e impidiendo su tratamiento, inclusive su visualización, mientras no se haya resuelto la solicitud del referido ejercicio de derechos. Los datos tratados no podrán ser tratados para ninguna finalidad distinta.
Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos. La AEPD podrá fijar excepciones a la obligación de bloqueo.
6. Garantía de los derechos digitales
Como ya adelantamos, la LOPD incorpora en su Título X la regulación de los derechos y libertades asociados al entorno de Internet.
El Título está orientado a garantizar a todos los ciudadanos el acceso universal a Internet, asequible, de calidad y no discriminatorio. Establece obligaciones para los proveedores de servicios que deberán proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos, así como informar a los usuarios de sus derechos en materia de seguridad de las comunicaciones.
7. Sistemas de información de denuncias internas
En cuanto a los sistemas de denuncias internas dentro de las empresas, establecidas en el art. 24 LOPD, se reconoce la validez de la creación de canales internos de formalización de denuncias, incluso cuando éstas sean anónimas. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas.
Accede al Breves de Regulación Digital completo del mes de diciembre haciendo clic aquí.