Muchos os habréis fijado que hemos cambiado la web y ahora os aparece una cookie avisando de que al aceptar…. pues sí, nos ha tocado ponernos al día con la LOPD y no sabéis lo complicado que es. Pasé menos exámenes para conseguir la autorización NATO Secret!!!
Sentimos las molestias pero es bueno para todos. Ahora vuestros datos personales están más a salvo y a pesar del trabajo que esto nos genera (y los gastos!) Surplus mejora.
¿Qué tipo de datos es necesario registrar y de qué manera? La LOPDGDD obliga a los responsables del tratamiento o encargados a registrar la siguiente información:
- Identidad y datos de contacto del responsable, de su representante y del Delegado de Protección de Datos, si lo hubiera.
- Finalidad con la que se recogen los datos.
- Descripción de las categorías de interesados y de las categorías de datos.
- Si los datos van a ser cedidos a terceros, incluyendo si se trata de entidades internacionales.
- Plazos para la eliminación de la información.
- Descripción de las medidas técnicas y organizativas que se adoptarán para garantizar la seguridad de la información.
El registro de las actividades de tratamiento es obligatorio para todas las empresas con más de 250 trabajadores.
También lo será para aquellas que cuenten con menos de 250 empleados, pero que manejen datos que pueden suponer un riesgo para los derechos o libertades del individuo, o traten categorías especiales de datos.
Si la empresa tiene designado un Delegado de Protección de Datos, se le ha de comunicar cualquier modificación que se realice en el registro.
Por otro lado, hay ciertas entidades que deben hacer públicas sus actividades de tratamiento por medios electrónicos. Los sujetos obligados son los siguientes:
- Tribunal Supremo, Audiencia Nacional, Tribunal Superior de Justicia, Audiencias Provinciales y Juzgados.
- Órganos constitucionales e instituciones de las Comunidades Autónomas.
- Administración General del Estado, Diputaciones Provinciales y Administraciones locales.
- Organismos públicos dependientes de la Administración pública.
- Autoridades Administrativas Independientes o AAI.
- Banco de España.
- Corporaciones de derecho público como Cámaras oficiales, Cofradías o Colegios Profesionales.
- Fundaciones pertenecientes al sector público.
- Universidades públicas
- Consorcios.
- Grupos parlamentarios de Cortes Generales y Asambleas.
Deber de confidencialidad
El artículo 5 de la LOPDGDD hace referencia a la confidencialidad. Señala que los responsables del tratamiento deben poner en marcha las medidas técnicas y organizativas necesarias para garantizar la máxima seguridad de los datos.
Las medidas adoptadas deben incluir mecanismos para evitar el tratamiento ilícito o no autorizado de información personal, y la protección frente a la pérdida o destrucción de datos.
Consentimiento inequívoco
El artículo 6 de la LOPDGDD 3/2018 se refiere a la obligación de obtener consentimiento para poder recabar, almacenar y utilizar con cualquier fin los datos del interesado.
Además, siguiendo las indicaciones del RGPD, ahora este consentimiento debe ser inequívoco.
Se considera consentimiento inequívoco aquella manifestación libre, voluntaria, informada y activa por parte del interesado, mediante la cual acepta de forma explícita el tratamiento de sus datos.
Para aceptar el tratamiento de forma expresa, debe realizar alguna acción afirmativa, ya sea una firma, rellenar un formulario, o marcar una casilla de aceptación.
En caso de que se quiera obtener datos para su tratamiento con varias finalidades, el afectado deberá otorgar consentimiento para todas ellas por separado.
No se podrá tratar los datos para otra finalidad distinta para la que el interesado prestó su consentimiento.
Consentimiento de menores
Una de las cuestiones más delicadas de la protección de datos es cómo tratar la información de los menores de edad.
En este caso, los menores solo podrán otorgar su consentimiento si tienen más de 14 años. Hay excepciones en las que, aun teniendo más de 14 años, deberán estar presentes padres o tutores.
El consentimiento de los menores de 14 años deberá ser otorgado por aquellas personas que posean la patria potestad o tutela del menor.
Obligación de dar más información
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) también establece la obligación de informar al interesado sobre las vías de las que dispone para ejercer sus derechos.
Nos referimos, por supuesto, a los derechos ARSULIPO, que en la normativa española sustituyen a los tradicionales derechos ARCO.
En epígrafes posteriores profundizaremos más en ellos. De momento, baste con señalar que se trata de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Además de informar sobre los medios que el interesado tiene a su disposición, el responsable del tratamiento también ha de garantizar que se trate de medios fácilmente accesibles. Además, no podrá denegar el acceso a la información aunque el interesado elija un medio distinto al propuesto.
Por otra parte, también existe la obligación de informar al interesado si se han comunicado a terceros datos personales suyos que han sometidos a rectificación, supresión o limitación del tratamiento.
Análisis de riesgos
Los responsables o encargados han de realizar un análisis del riesgo que puede provocar el tratamiento de determinados datos personales. Se considera que existen datos de alto riesgo en los siguientes supuestos:
- Son susceptibles de provocar discriminación, usurpación de la identidad u otro tipo de fraudes.
- Podrían suponer pérdidas económicas, violación de la confidencialidad y un perjuicio para la reputación de la persona.
- El tratamiento puede privar al interesado del ejercicio de sus derechos y libertades o hacerle perder el control sobre su información personal.
- Cuando se tratan las categorías especiales de datos altamente sensibles de otras formas a las prevista en la ley (debe hacerse de forma incidental, accesorio y con técnicas de anonimización).
- Información en la que se realiza una evaluación de las personas con el objetivo de elaborar perfiles.
- Tratamiento de datos de grupos de menores de edad o grupos especialmente vulnerables.
- En caso de que se lleve a cabo un tratamiento masivo de datos que afecte a gran número de personas.
- Aquellos datos que son cedidos a terceros países u organizaciones internacionales sobre las que no se puede garantizar el nivel de protección adecuado.
- Otros supuesto que pudieran suponer un riesgo para los interesados a juicio del responsable, encargado o DPO.
Comunicar los incidentes de seguridad
La ley de protección de datos española adapta la normativa europea sobre la comunicación de brechas de seguridad. Por tanto, cualquier violación de la seguridad de los datos se debe comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
Evaluaciones de impacto sobre la protección de datos
Los responsables o, en su caso, encargados o delegado, deberán valorar si procede realizar una evaluación del impacto que su tratamiento produce en la protección de datos de los interesados.
En base a esta evaluación de impacto se decidirán las medidas técnicas y organizativas apropiadas, tanto a la hora de elegir los medios de tratamiento como para la ejecución del tratamiento en sí mismo.
Para ello, se tendrán en cuenta factores como el estado de la técnica, el coste de aplicación de dichas técnicas, o la naturaleza, contexto y finalidad del tratamiento.
Contratos de Encargado del Tratamiento
El encargado del tratamiento es la persona que maneja los datos e información personal de clientes, proveedores o prestadores de servicios de una empresa, a través de un contrato firmado con los responsables del tratamiento.
Es decir, los responsables otorgan al encargado la potestad de realizar el tratamiento de datos en su nombre.
Por tanto, el encargado del tratamiento puede acceder a todos aquellos datos personales que sean necesarios para la prestación del servicio al responsable.
Los encargados del tratamiento no podrán utilizar los datos a los que acceden para sus propias finalidades. En caso de hacerlo tendrían la consideración de responsables del tratamiento en cualquier litigio.
Se recomienda que el encargado del tratamiento conserve aquellos datos de los cuales se pudieran derivar responsabilidades en su relación con el responsable. Los datos guardados han de estar debidamente bloqueados para que nadie más tenga acceso a ellos.
Garantizar los derechos digitales
Ya te hicimos un pequeño avance sobre los derechos ARSULIPO en un epígrafe anterior. Ahora vamos a profundizar un poco más en estos derechos:
- Acceso: el interesado tiene derecho a obtener la confirmación del responsable sobre si se están tratando sus datos y, en caso afirmativo, podrá acceder a dicha información.
- Rectificación: consiste en el derecho a solicitar que se modifiquen los datos personales inexactos o a que se complete la información incompleta.
- Supresión: se puede solicitar la eliminación de aquellos datos que no hayan sido recabados por métodos lícitos o que no se estén usando de acuerdo a la ley.
- Limitación del tratamiento: el responsable no debe eliminar los datos, pero no puede usarlos de la forma habitual. La limitación se impone en caso de inexactitud de datos, tratamiento ilícito, o cuando los datos se necesitan para reclamaciones.
- Portabilidad: se trata de la obligación del responsable de facilitar al interesado, por el medio que este solicite, de cualesquiera datos que le hayan sido facilitados.
- Oposición: la persona objeto del tratamiento puede oponerse al mismo en caso de factores referentes a su propia situación y elección personal. Por ejemplo, solicitar que sus datos no se utilicen para mercadotecnia directa o la elaboración de perfiles.
Designar Delegado de Protección de Datos
El Delegado de Protección de Datos es una figura obligatoria solo en determinados casos. La LOPDGDD es mucho más precisa en este sentido que el RGPD, y cita todas aquellas entidades que han de contar con un DPO o DPD.
- Colegios Profesionales
- Centros docentes, incluyendo Universidades Públicas y privadas.
- Empresas de explotación de redes y destinadas a la prestación de servicios de comunicación electrónica.
- Prestadores de SSI (Servicios de la Sociedad de la Información) que elaboren perfiles de usuarios.
- Entidades financieras.
- Entidades de ordenación y supervisión de entidades de crédito.
- Compañías aseguradoras.
- Entidades reguladas por la normativa del Mercado de Valores.
- Empresas dedicadas a la comercialización y distribución de energía eléctrica o gas natural.
- Entidades dedicadas a la tutela de ficheros sobre solvencia patrimonial, o datos destinados a la prevención del fraude, el blanqueo de capitales o la financiación del terrorismo.
- Empresas dedicadas a la realización de actividades comerciales o publicitarias que impliquen la elaboración de perfiles de usuarios.
- Centros sanitarios, exceptuando a aquellos profesionales del sector que ejerzan su actividad a título individual.
- Compañías dedicadas a la realización y emisión de informes con datos relativos a personas físicas.
- Operadores del sector del juego.
- Empresas de seguridad privada.
- Federaciones deportivas, siempre y cuando traten información relativa a menores de edad.
NOVEDADES DE LA LOPDGDD QUE AFECTAN A PARTICULARES Y EMPRESAS
La LOPDGDD supone una evolución respecto a la antigua LOPD. Sobre todo en lo que se refiere a sus siglas «GDD», o «Garantía de Derechos Digitales». Es decir, pone especial énfasis en actualizar una legislación que se quedaba obsoleta en el actual mundo digital. Pero, ¿cuáles son las principales novedades de esta Ley respecto a la anterior?
Derecho a la desconexión digital en el ámbito laboral
Uno de los derechos que introduce la LOPDGDD es la desconexión digital. Ahora los trabajadores tienen derechos a que no se requiera su presencia o actividad online por motivos de trabajo fuera de su horario laboral. El objetivo de este derechos es garantizar que los trabajadores puedan disfrutar de la intimidad personal y familiar, así como sus períodos de descanso, vacaciones o permisos.
Derecho a la supresión
Este derecho permite al interesado solicitar que se eliminen aquellos datos personales que le conciernen. El responsable del tratamiento estará obligado a atender esta petición en los siguientes casos:
- La información ya no resulta relevante para la finalidad con la que fue obtenida.
- El interesado ejerce su derecho a retirar el consentimiento.
- El interesado ejerce su derecho a oponerse al tratamiento, sin que existan otros motivos legítimos para el tratamiento de dichos datos.
- Los datos hayan sido recabados o utilizados de forma ilícita.
- Se trata de datos de servicios de la sociedad de información relativos a niños menores de 16 años que han sido obtenidos de forma ilícita (consentimiento de padres o tutores)
Hay ciertos supuestos en los que no se puede aplicar el derecho de supresión:
- Cuando los datos se recaban para ejercer el derecho a la libertad de expresión e información.
- Para el cumplimiento de obligaciones legales relativas al Derechos de la Unión Europea y sus Estados miembros.
- Si el responsable utiliza los datos para razones de interés público o para el ejercicio de sus poderes públicos.
- Por motivos de salud pública.
- En caso de que sean datos de interés para archivo público, investigación científica o histórica.
- Si la información se va a utilizar únicamente con fines estadísticos.
- Se trata de información clave para efectuar reclamaciones o defenderse de las mismas.
Derecho al olvido en Internet
Una de las grandes novedades de la LOPDGDD es la plasmación por escrito del derecho al olvido.
Este nuevo derecho permite al interesado solicitar que se eliminen de los criterios de búsqueda de internet (en buscadores como Google) aquellos datos relativos a su persona que estén desfasados, no se amolden a la realidad actual de la persona o perjudiquen su reputación.
Ojo, no hace falta que los datos sean falsos o inexactos. Pueden ser datos verídicos, pero desfasados.
Por ejemplo, una persona que estuvo en la cárcel hace 5 años y quiere que ese dato desaparezca de los motores de búsqueda porque está reformado y esa información le perjudica a la hora de encontrar trabajo.
Sin embargo, hay que matizar que este derecho solo evita que se muestre información relativa a determinados criterios de búsqueda. Sin embargo, no elimina la información, y es posible que los datos sigan apareciendo si se utilizan otros criterios de búsqueda.
En definitiva, elimina la relación que existe en los buscadores entre el nombre de una persona y los resultados de búsqueda que aparecen.
Derecho a la cancelación
En realidad solo citamos el derecho a la cancelación porque es una especie de antecesor del derecho de supresión. Este derecho, como decimos ya sustituido por el derecho a la supresión, simplemente obligaba a cancelar o bloquear los datos, pero no a eliminarlos.
El artículo 94 de la LOPDGDD se refiere al derecho al olvido en las redes sociales. En él se define el derecho de cualquier persona a solicitar que se supriman los datos que hubiera facilitado para ser publicados por servicios de las redes sociales o medios equivalentes.
El usuario también tiene derecho a solicitar la supresión de todos aquellos datos facilitados por terceros que sean inadecuados, inexactos, o estén desactualizados respecto a la finalidad para la que fueron recabados.
Otra razón por la que el interesado puede solicitar la eliminación de los datos es en caso de circunstancias personales cuya importancia prevalece sobre el mantenimiento de datos del servicio. En este sentido, los prestadores de servicios deben hacer especial hincapié en la eliminación de datos de menores de edad.
Derecho a la educación digital y protección de menores
La LOPDGDD también establece requisitos para que el sistema educativo garantice el acceso seguro de los menores a la educación digital.
En este sentido, el sistema educativo y, por extensión, los centros docentes, deben garantizar la inserción de los alumnos en la sociedad digital.
El aprendizaje relativo al uso de medios digitales y electrónicos debe realizarse en base al respeto a los valores constitucionales, los derechos y libertades del individuo, la intimidad personal y familiar y la protección de su privacidad e información personal.
Los padres, madres, tutores y representantes legales deben procurar que el menor haga un uso responsable de los medios digitales.
El Ministerio Fiscal podría intervenir de oficial en caso de que los menores sean víctima del uso o difusión de imágenes sin su consentimiento en redes sociales o medios equivalentes.
Derecho de acceso a Internet
El derecho de acceso universal a internet se define en el artículo 81 de la LOPDGDD.
El acceso a internet debe ser:
- Universal
- Asequible
- De calidad
- No discriminatorio
La normativa establece que este acceso a internet se debe encaminar hacia la superaciones de las brechas de género (hombres/mujeres) o generacionales (jóvenes/mayores). También se han de tener en cuenta a las personas con necesidades especiales
Ya que el acceso a la red de redes es universal, se ha de procurar atender a las necesidades especiales de los entornos rurales con más dificultades para establecer infraestructuras digitales.
Derecho a la neutralidad de Internet
El artículo 80 de la LOPDGDD se refiere al derecho a la neutralidad de internet. Esto significa que los proveedores de servicios de internet deben proporcionar información transparente sobre las ofertas y contribuir a garantizar un acceso en las misma condiciones para todos.
Derecho al testamento digital
El derecho al testamento digital se recoge en el artículo 96 de la LOPDGDD.
Los familiares o herederos del fallecido tienen derecho a acceder a la información sobre su persona almacenada en prestadores de servicios de la sociedad de la información (por ejemplo, en redes sociales). Además, pueden ejercer los derechos de rectificación, supresión, oposición o limitación del tratamiento sobre los datos del familiar fallecido.
Hay una excepción a lo dicho en el párrafo anterior. Familiares o herederos no podrían acceder a los datos del fallecido si éste así lo hubiera decidido expresamente en vida, o exista alguna ley que lo prohíba.
Si el fallecido es un menor de edad, también podrán acceder a dichos datos los representantes legales o el Ministerio Fiscal, para el ejercicio de sus funciones.
Derecho a la portabilidad de los datos
Cualquier persona tiene derecho a solicitar en todo momento que el responsable del tratamiento le facilite los datos de carácter personal que le incumban. Así lo refleja el artículo 17 de la Leo Orgánica de Protección de Datos y Garantía de Derechos Digitales, referente a la portabilidad de los datos.
Esta información se ha de proporcionar en un formato estructurado, de uso común y accesible para el interesado.
Asimismo, la persona objeto del tratamiento de datos puede transmitir los datos a otro responsable siempre que otorgue su consentimiento o el tratamiento se realice por medios automatizados.
Además, el interesado puede solicitar que los datos pasen de responsable a responsable (sin pasar por él mismo) siempre y cuando otorgue consentimiento y existan medios técnicos para ello.