Análisis del Proyecto de la LOPD y Garantía de los Derechos Digitales

El pasado 26 de septiembre los Grupos parlamentarios debatieron en el Congreso de los Diputados el Informe de la Ponencia sobre el Proyecto de Ley Orgánica de Protección de Datos de trasposición a nuestro ordenamiento del Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a las protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos (en adelante, el “RGPD”) y, por tanto, sustituir a la actual Ley Orgánica 15/1999.

1. Principales diferencias introducidas respecto a la ultima versión del Proyecto de Ley

Más allá de las medidas urgentes aprobadas por el Real Decreto Ley 5/2018 del pasado 27 de julio (ver Breves de julio 2018), la nueva versión del Proyecto de Ley, introduce pequeños cambios y matices en los anteriores arts. 1 a 78, dedicados a la trasposición del RGPD, así como modificaciones de mayor calado en los Títulos VII y VIII relativos a las Autoridades de protección de datos y Procedimientos en caso de vulneración de la normativa. No obstante, lo más novedoso respecto de la versión anterior es la relativa a un nuevo Titulo X, con la introducción de 18 artículos relativos a los “nuevos derechos digitales”, que no contempla el Reglamento General europeo, ni las anteriores versiones del Anteproyecto y del Proyecto, con la vocación, como ya han hecho otros países del entorno europeo, de reforzar los derechos digitales de la ciudadanía.

Los ponentes estiman necesaria una futura reforma de la Constitución, para elevar a rango constitucional dichos nuevos derechos, no obstante, hasta que no se acometa dicha labor legislativa, mediante la presente reforma se aborda el reconocimiento de un sistema de garantía de los derechos digitales, de acuerdo con los criterios jurisprudenciales del constitucional y de tribunales europeos y el articulo 18.4 de la Constitución Española.

Como consecuencia de esta reforma, el texto introduce las modificaciones necesarias, entre otras, de la Ley de Enjuiciamiento Civil, de la Ley Reguladora de la Jurisdicción Contencioso-Administrativa, LOPJ, Ley de Transparencia, Ley de Autonomía del Paciente, Leyes Orgánicas de Educación y de Universidades, así como en el Texto Refundido de la Ley del Estatuto de los Trabajadores y en la Ley de Competencia Desleal, que se traduce en la incorporación de 7 nuevas Disposiciones Adicionales.

Centrándonos en la trasposición del RGPD en el Proyecto de Ley, entre las principales novedades introducidas conviene destacar:

  • En relación con la figura del Delegado de Protección de Datos: Se amplia el catálogo de responsables y encargados que tendrán la obligación de designar un Delegado de Protección de datos, incluyendo entre las mismas a las federaciones deportivas cuando traten datos de menores, y respecto a los centros sanitarios, exceptúa a los profesionales que ejerzan su actividad a título individual.
  • Respecto a los requisitos para su designación, y en cuanto a los mecanismo voluntarios de certificación, se tendrá particularmente en cuenta, la titulación universitaria en Derecho.
  • Consentimiento: Establece, al igual que el RGPD, que deberá constar de manera especifica e inequívoca que el consentimiento se otorga para todas las finalidades de tratamiento, en sustitución de la anterior redacción que indicaba que el consentimiento debía otorgarse para cada una de ellas. La edad para prestar el consentimiento se fija a partir de los 14 años.
  • Transparencia y deber de información: se habilita la información mediante un sistema de dos capas a cualquier entorno, suprimiendo por tanto, su limitación a los supuestos en que los datos hubieran sido obtenidos a través de redes de comunicaciones electrónicas. En este mismo contexto, se matiza que el afectado pueda oponerse a la adopción de decisiones individuales automatizadas cuando realmente se produzcan efectos jurídicos o le afecten significativamente.
  • Conservación: En los sistemas de denuncias internas, habilita la conservación de los datos transcurridos tres meses desde su introducción, a los efectos de dejar evidencia del funcionamiento del modelo de prevención de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso, solo podrán constar de forma anonimizada.
  • En el art. 32 se define en que debe consistir el bloqueo de datos.
  • Respecto al procedimiento sancionador: se redacta ex novo el art. 64, en cuanto a la forma de iniciar el procedimiento y su duración, diferenciando tres supuestos: i) los relativos a la falta de atención de una solicitud de ejercicio de los derechos, ii) los de determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y, iii) cuando el procedimiento se tramite como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la reclamación formulada ante la misma.
  • Régimen sancionador: Se añade como infracción muy grave la reversión deliberada de un procedimiento de anonimización.
  • Por otra parte, contempla como supuesto a tener en cuenta para la graduación de la sanción, que el responsable disponga de un Delegado de Protección de datos, cuando no fuere obligatorio, así como el sometimiento por el responsable o el encargado a un mecanismo de resolución alternativa de conflictos.

2. Garantía de los Derechos Digitales

Como adelantábamos, la actual versión del Proyecto de Ley incorpora un Titulo X en el que son objeto de regulación los derechos y libertades asociados al entorno de Internet como la neutralidad de la Red y el acceso universal, o los derechos a la seguridad y educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital, entre los que destaca el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de los dispositivos digitales en el ámbito laboral y la protección de los menores en Internet.

También es relevante la garantía de la libertad de expresión y el derecho a la rectificación de informaciones en medios de comunicación digitales.

Concretamente estos artículos están orientados a garantizar a todos los ciudadanos el acceso universal a Internet, asequible, de calidad y no discriminatorio. Establece obligaciones para los proveedores de servicios que deberán proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos, así como informar a los usuarios de sus derechos en materia de seguridad de las comunicaciones.

Respecto al derecho de rectificación digital:

  • Hace extensiva la legislación sobre el derecho de rectificación a las redes sociales, plataformas digitales y servicios de la sociedad de la información;
  • Recoge la necesidad de adopción por parte de los proveedores de servicios de protocolos efectivos para garantizar este derecho, en particular en relación con los contenidos que atenten contra el derecho al honor, la intimidad personal, familiar y personal en Internet y el derecho a comunicar o recibir libremente información veraz;
  • Al atender la solicitud de rectificación, deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo;
  • Regula el derecho a solicitar motivadamente la inclusión de un aviso de actualización junto a la noticia original, cuando esta no refleje la situación actual, especialmente en cuanto a actuaciones policiales o judiciales.

Incluye una mención especifica al derecho al olvido en búsquedas de Internet, recogiendo los criterios  jurisprudenciales que ya se vienen aplicando, a saber:  el derecho de toda persona a que los motores de búsqueda eliminen de las listas de resultados, los enlaces publicados que contuvieran información relativa a ella cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos, teniendo en cuenta los fines para los que se recogieron, el tiempo transcurrido y la naturaleza e interés publico de la información.

Igualmente se prevé el reconocimiento del derecho al olvido en servicios de redes sociales y servicios de la sociedad de la información equivalentes, tanto de los datos personales que hubiese facilitado el interesado para su publicación (en este caso, a su simple solicitud), como de los facilitados por terceros, cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos, teniendo en cuenta los fines de la recogida, el tiempo, la naturaleza e interés público de la información.

Respecto al derecho a la intimidad y el uso de dispositivos digitales en el ámbito laboral, garantiza el derecho a la intimidad en el uso de estos dispositivos que facilita el empleador, facultando a éste, la posibilidad de su monitorización a los efectos de controlar el uso del cumplimiento de las obligaciones laborales.

Será aconsejable por lo tanto, actualizar y revisar las normas de uso de los recursos TIC que la empresa pone a disposición de su empleados y los procedimientos  para establecer de modo preciso los usos autorizados y los usos prohibidos.

Regula la denominada desconexión digital, con la finalidad de garantizar el respeto al tiempo de descanso, permisos y vacaciones así como la intimidad personal y familiar del trabajador.

Deberá regularse atendiendo a la naturaleza y objeto de la relación laboral, a través de una política interna dirigida a los trabajadores, incluidos los que ocupen puestos directivos.

El Proyecto de Ley aborda la regulación del tratamiento de sistemas de geolocalización en el ámbito laboral para el ejercicio de las funciones de control del empleador, para que con carácter previo, éste informe de forma expresa, clara e inequívoca a los trabajadores, acerca de la existencia de dispositivos de geolocalización.

Derecho a la Portabilidad: En el capítulo relativo al ejercicio de derechos, y concretamente en el art. 17,  encontramos un mero redirecionamiento a la norma europea para conocer como deberá ser ejercido el tan comentado derecho a la portabilidad. Sin embargo, en el art. 95 encontramos un artículo específico para el ejercicio de  este derecho para los usuarios de servicios de redes sociales y servicios de la sociedad de la información.

Por último, destacamos también la inclusión en esta norma del denominado derecho al testamento digital, que regula quienes podrán acceder a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas.

Accede al Breves de Regulación Digital completo del mes de octubre haciendo clic aquí.

Periscopio: