Con efectos desde el 7 de diciembre de 2018, se ha publicado en el BOE la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que entre otras novedades regula los nuevos derechos digitales en el ámbito laboral (derecho a la intimidad de los trabajadores en el uso de dispositivos digitales, derecho a la desconexión, el uso de videovigilancia, la grabación de sonidos o la geolocalización), así como los sistemas de información de denuncias internas, los sistemas de exclusión publicitaria, los derechos de los interesados (acceso, rectificación, supresión o derecho al olvido, limitación, oposición y portabilidad), incluyendo también el derecho al olvido en búsquedas de internet y redes sociales y el derecho a la portabilidad en redes sociales, y añadiendo un catálogo de nuevos derechos denominados conjuntamente derechos digitales (como el derecho al testamento digital, derecho a la actualización de informaciones en medios de comunicación digitales, etc.).
Con efectos desde el 7 de diciembre de 2018, se
ha publicado en el BOE la nueva Ley Orgánica 3/2018, de Protección de
Datos Personales y garantía de los derechos digitales, que adapta el
derecho español al modelo establecido por Reglamento General de
Protección de Datos de la Unión Europea (RGPD) -que recordemos es de
aplicación directa- y que dejó en manos de los Estados miembros. No
obstante, el legislador español ha aprovechado la norma para incluir
también los denominados derechos digitales, aquellos derechos
relacionados con el uso de la tecnología en la vida privada y el
trabajo.
ha publicado en el BOE la nueva Ley Orgánica 3/2018, de Protección de
Datos Personales y garantía de los derechos digitales, que adapta el
derecho español al modelo establecido por Reglamento General de
Protección de Datos de la Unión Europea (RGPD) -que recordemos es de
aplicación directa- y que dejó en manos de los Estados miembros. No
obstante, el legislador español ha aprovechado la norma para incluir
también los denominados derechos digitales, aquellos derechos
relacionados con el uso de la tecnología en la vida privada y el
trabajo.
La adaptación al Reglamento general de protección de datos, que es
aplicable desde el 25 de mayo de 2018, requería la aprobación de una
nueva Ley Orgánica que sustituya a la hasta ahora vigente.
aplicable desde el 25 de mayo de 2018, requería la aprobación de una
nueva Ley Orgánica que sustituya a la hasta ahora vigente.
Ahora, esta nueva Ley deroga a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD), y deroga
también al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes
para la adaptación del Derecho español a la normativa de la Unión
Europea en materia de protección de datos, que se dictó con carácter de
urgencia para que se pudiera aplicar en España el Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
dado que no se había aprobado todavía la nueva Ley.
diciembre, de Protección de Datos de Carácter Personal (LOPD), y deroga
también al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes
para la adaptación del Derecho español a la normativa de la Unión
Europea en materia de protección de datos, que se dictó con carácter de
urgencia para que se pudiera aplicar en España el Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
dado que no se había aprobado todavía la nueva Ley.
La nueva Ley afecta a todas las personas físicas y jurídicas
establecidas o no en territorio de la U.E. que traten datos personales
de personas físicas que se encuentren en la U.E, respecto a cualquier
tratamiento total o parcialmente automatizado de datos personales y a
los tratamientos no automatizado de datos personales contenidos o
destinados a ser incluidos en un fichero.
establecidas o no en territorio de la U.E. que traten datos personales
de personas físicas que se encuentren en la U.E, respecto a cualquier
tratamiento total o parcialmente automatizado de datos personales y a
los tratamientos no automatizado de datos personales contenidos o
destinados a ser incluidos en un fichero.
¿Qué principales novedades introduce la nueva Ley con respecto al RGPD y los derechos digitales?
Testamento digital
- Uno de los aspectos novedosos incluidos en la nueva
normativa es que se reconoce específicamente el derecho de acceso y, en
su caso, de rectificación o supresión por parte de quienes tuvieran
vinculación con personas fallecidas por razones familiares o de hecho y a
sus herederos. La medida limita el ejercicio de estos derechos cuando
el fallecido lo hubiera prohibido. - En caso de menores y personas con discapacidad se amplían estas
facultades a los representantes legales, Ministerio Fiscal y personas
designadas para funciones de apoyo. - Mediante Real Decreto se establecerán los requisitos y
condiciones que acrediten la validez y vigencia de estos derechos e
instrucciones de la persona fallecida sobre el ejercicio de estos
derechos.
Menores de edad
En cuanto a los menores, la Ley fija en 14 años la edad a partir de
la cual se puede prestar consentimiento de manera autónoma. También se
regula expresamente el derecho a solicitar la supresión de los datos
facilitados a redes sociales u otros servicios de la sociedad de la
información por el propio menor o por terceros durante su minoría de
edad.
la cual se puede prestar consentimiento de manera autónoma. También se
regula expresamente el derecho a solicitar la supresión de los datos
facilitados a redes sociales u otros servicios de la sociedad de la
información por el propio menor o por terceros durante su minoría de
edad.
Tratamiento de datos de naturaleza penal
Fuera de los supuestos del RGPD, estos tratamientos de datos solo
serán posibles cuando sean llevados a cabo por abogados y procuradores y
tengan por objeto recoger información facilitada por sus clientes para
el ejercicio de sus funciones.
serán posibles cuando sean llevados a cabo por abogados y procuradores y
tengan por objeto recoger información facilitada por sus clientes para
el ejercicio de sus funciones.
Sistemas de información crediticia (los conocidos como ficheros de morosos)
Otra novedad es la referida a la regulación de los sistemas de
información crediticia (los conocidos como ficheros de morosos), que
reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en
los que se exige una cuantía mínima de 50 euros (cuyo importe puede
actualizarse mediante Real Decreto) para la incorporación de las deudas a
dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
información crediticia (los conocidos como ficheros de morosos), que
reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en
los que se exige una cuantía mínima de 50 euros (cuyo importe puede
actualizarse mediante Real Decreto) para la incorporación de las deudas a
dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.
Solo quienes mantengan una relación contractual con el deudor o éste
hubiera solicitado la celebración de un contrato que implique
financiación, pago aplazado o facturación periódica podrán consultar los
datos del deudor.
hubiera solicitado la celebración de un contrato que implique
financiación, pago aplazado o facturación periódica podrán consultar los
datos del deudor.
Operación de modificación estructural de sociedades o aportación o transmisión de negocio o rama de actividad
Se establece que son lícitos los tratamientos de datos que se deriven
de cualquier operación de modificación estructural de sociedades o
aportación o transmisión de negocio o rama de actividad empresarial
cuando los tratamientos sean necesarios para el buen fin de la operación
y garanticen cuando sea el caso, la continuidad en la prestación de
servicios.
de cualquier operación de modificación estructural de sociedades o
aportación o transmisión de negocio o rama de actividad empresarial
cuando los tratamientos sean necesarios para el buen fin de la operación
y garanticen cuando sea el caso, la continuidad en la prestación de
servicios.
La entidad cesionaria ha de suprimir los datos con carácter inmediato
sin aplicar la obligación de bloqueo cuando la operación no llegue a
concluirse.
sin aplicar la obligación de bloqueo cuando la operación no llegue a
concluirse.
Captación de imágenes
- Se permite la captación de imágenes de la vía pública
a través de cámaras o videocámaras con la finalidad de preservar la
seguridad de las personas, bienes e instalaciones cuando resulte
imprescindible para esta finalidad. - Esta captación puede ampliarse a una extensión superior con el
límite de las imágenes del interior de un domicilio privado cuando fuese
necesario para garantizar la seguridad de los bienes o instalaciones
estratégicos o infraestructuras vinculadas al transporte. - Estos datos han de ser suprimidos sin obligación de bloqueo en el
plazo de un mes desde su captación excepto que estos datos hayan de ser
conservados para acreditar la comisión de actos que atenten contra la
integridad de las personas, bienes o instalaciones. - En caso de obligación de conservación de los datos, en
el plazo máximo de 72 horas desde que se tenga conocimiento de la
existencia de la grabación, han de ponerse a disposición de la autoridad
competente.
Sistemas de denuncias internas
- Regulación de un mecanismo de denuncias internas
anónimas o no que permite a las empresas poner en conocimiento de una
entidad privada la comisión de actos o conductas que pudieran resultar
contrarios a la normativa. - El acceso a estos datos solo podrá realizarse por quienes realicen
funciones de control interno y de cumplimiento sin embargo cuando
resulte necesario para la adopción de medidas disciplinarias o para la
tramitación de procedimientos judiciales también es lícito el acceso por
parte de otras personas o incluso su comunicación a terceros. -
Es obligación de los responsables:
- Adoptar las medidas necesarias para preservar la
identidad y confidencialidad de los datos de las personas afectadas y
especialmente de la persona denunciante. - Conservar los datos durante el tiempo imprescindible para la toma de decisiones.
- Suprimir los datos del sistema de denuncias a los tres meses desde
la introducción de los datos excepto en caso que la finalidad de la
conservación sea dejar evidencia del funcionamiento del modelo de
prevención. - Registrar de forma anónima las denuncias que no se hayan dado curso.
- Suprimir los datos del sistema de denuncias sin obligación de bloqueo cuando dichas denuncias no hayan sido cursadas.
- Adoptar las medidas necesarias para preservar la
Derechos laborales digitales
La Ley actualiza las garantías del derecho a la intimidad frente al
uso de dispositivos de videovigilancia y de grabación de sonidos en el
lugar de trabajo. Asimismo, refuerza las garantías del derecho a la
intimidad en relación con el uso de dispositivos digitales puestos a
disposición de los empleados, complementando la regulación del derecho a
la intimidad ante la utilización de sistemas de geolocalización en
el ámbito laboral, de los que deberán ser informados.
uso de dispositivos de videovigilancia y de grabación de sonidos en el
lugar de trabajo. Asimismo, refuerza las garantías del derecho a la
intimidad en relación con el uso de dispositivos digitales puestos a
disposición de los empleados, complementando la regulación del derecho a
la intimidad ante la utilización de sistemas de geolocalización en
el ámbito laboral, de los que deberán ser informados.
Así, la norma regula el derecho a la intimidad de los trabajadores en el uso de dispositivos digitales puestos a su disposición por el empleador:
- Se autoriza a la empresa a acceder al contenido de
los dispositivos a los solos efectos de controlar el cumplimiento de las
obligaciones laborales y de garantizar la integridad de dichos
dispositivos. Las empresas deberán establecer criterios de utilización
de los dispositivos digitales con respeto a los estándares mínimos de
protección de la intimidad, con la participación de los representantes
de los trabajadores. - El acceso a los dispositivos respecto de los que haya admitido su
uso con fines privados requerirá que se especifiquen de modo preciso los
usos autorizados y se establezcan garantías para preservar la intimidad
(como la determinación de los períodos en que los dispositivos podrán
utilizarse para fines privados). - Los trabajadores deberán ser informados de estos criterios de utilización.
Se reconoce también el derecho a la desconexión digital de los trabajadores,
a fin de garantizar, fuera del tiempo de trabajo, el respeto al tiempo
de descanso, permisos y vacaciones, así como de su intimidad personal y
familiar:
a fin de garantizar, fuera del tiempo de trabajo, el respeto al tiempo
de descanso, permisos y vacaciones, así como de su intimidad personal y
familiar:
- Este derecho se sujetará a lo establecido en la
negociación colectiva o, en su defecto, por acuerdo entre la empresa y
los representantes de los trabajadores y atenderá a la naturaleza y
objeto de la relación laboral. - El derecho a la desconexión digital se concretará en
una política interna elaborada previa audiencia de los representantes de
los trabajadores, en la que definirán las modalidades de ejercicio del
derecho a la desconexión y las acciones de formación y de
sensibilización sobre un uso razonable de las herramientas tecnológicas.
En particular, se preservará el derecho a la desconexión digital de los
teletrabajadores.
Igualmente se regula el derecho a la intimidad del trabajador
frente al uso de dispositivos de videovigilancia y de grabación del
sonido en el lugar de trabajo:
frente al uso de dispositivos de videovigilancia y de grabación del
sonido en el lugar de trabajo:
- Respecto a la videovigilancia, se permite a las
empresas tratar las imágenes obtenidas para vigilar y controlar el
cumplimiento por el trabajador de sus obligaciones y deberes laborales,
dentro de los límites legales, y con la obligación de informar
previamente a los representantes de los trabajadores y a los propios
trabajadores. - Cuando se haya captado la comisión flagrante de un acto ilícito por
los trabajadores se entenderá cumplido el deber de informar sobre la
videovigilancia cuando existiese al menos un dispositivo informativo en
lugar suficientemente visible. - La grabación de sonidos en el ámbito laboral queda limitada a
supuestos muy concretos y excepcionales (como el riesgo para la
seguridad de las instalaciones, bienes y personas). - Se prohíbe instalar dispositivos de grabación de
sonido o videovigilancia en los lugares destinados al descanso o
esparcimiento de los trabajadores.
Otra de las cuestiones que se regula en nuestra legislación por primera vez es el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, permitiéndose
el uso de estos sistemas para el ejercicio de las funciones de control
de los trabajadores, dentro de los límites legalmente previstos,
debiéndose informar previamente a los representantes de los trabajadores
y a los propios trabajadores acerca de la existencia y características
de estos dispositivos.
el uso de estos sistemas para el ejercicio de las funciones de control
de los trabajadores, dentro de los límites legalmente previstos,
debiéndose informar previamente a los representantes de los trabajadores
y a los propios trabajadores acerca de la existencia y características
de estos dispositivos.
Por último, se establece la conveniencia de establecer garantías
adicionales de derechos y libertades relacionados con el tratamiento de
datos personales de los trabajadores y la salvaguarda de derechos
digitales por parte de los convenios colectivos.
adicionales de derechos y libertades relacionados con el tratamiento de
datos personales de los trabajadores y la salvaguarda de derechos
digitales por parte de los convenios colectivos.
Garantía de derechos digitales
En lo que respecta a los derechos de los interesados, la Ley por un
lado, replica el catálogo de los ya previstos en el RGPD (acceso,
rectificación, supresión o derecho al olvido, limitación, oposición y
portabilidad), si bien los amplía añadiendo un especial derecho al
olvido en búsquedas de internet y redes sociales y el derecho a la
portabilidad en redes sociales.
lado, replica el catálogo de los ya previstos en el RGPD (acceso,
rectificación, supresión o derecho al olvido, limitación, oposición y
portabilidad), si bien los amplía añadiendo un especial derecho al
olvido en búsquedas de internet y redes sociales y el derecho a la
portabilidad en redes sociales.
Por otro lado, la norma introduce un catálogo de nuevos derechos denominados conjuntamente derechos digitales, a saber:
- derecho de acceso universal a internet;
- derecho a la neutralidad digital o de internet;
- derecho a la educación digital;
- derecho a la desconexión digital y derecho a la intimidad en
relación con el uso de dispositivos digitales y sistemas de
geolocalización, todos los anteriores en el ámbito laboral que afectan a
las relaciones laborales y a la negociación colectiva; - derecho de rectificación en internet;
- derecho a la actualización de informaciones en medios de comunicación digitales; y
- derecho al testamento digital (posibilidad de que una persona
establezca en vida el destino que quiere dar a la información que ha
subido a redes sociales o que figura en internet para cuando fallezca,
vinculando tanto a sus herederos y derechohabientes, como a las empresas
que disponen de esa información o explotan redes sociales). - Cómputo de plazos: Cuando los plazos se señalen por
días, éstos son hábiles (se excluyen, sábados, domingos y festivos); Si
el plazo se fija en semanas, años o meses, concluirá el mismo día de la
semana, año o mes que produjo el hecho. Si en el mes de vencimiento no
hubiera día equivalente se entenderá que el plazo expira el último día
del mes; Cuando el último día del plazo sea inhábil, el plazo es el
primer día hábil siguiente.
Régimen sancionador
Se regula en la nueva Ley el régimen sancionador. La regulación
estatal en esta cuestión es de especial importancia ya que el Reglamento
General de Protección de Datos de la Unión Europea (RGPD) establece un
sistema de sanciones o actuaciones correctivas que permite un amplio
margen de apreciación.
estatal en esta cuestión es de especial importancia ya que el Reglamento
General de Protección de Datos de la Unión Europea (RGPD) establece un
sistema de sanciones o actuaciones correctivas que permite un amplio
margen de apreciación.
La nueva Ley mantiene la clasificación de las infracciones en muy
grave, grave y leve, según el grado de afectación de los datos.
grave, grave y leve, según el grado de afectación de los datos.
La categorización de las infracciones se introduce a los solos
efectos de determinar los plazos de prescripción, teniendo la
descripción de las conductas típicas como único objeto la enumeración de
manera ejemplificativa de algunos de los actos sancionables que deben
entenderse incluidos dentro de los tipos generales establecidos en la
norma europea.
efectos de determinar los plazos de prescripción, teniendo la
descripción de las conductas típicas como único objeto la enumeración de
manera ejemplificativa de algunos de los actos sancionables que deben
entenderse incluidos dentro de los tipos generales establecidos en la
norma europea.
- Muy graves. Prescriben a los 3 años.
- Graves. Prescriben a los 2 años.
- Leves. Prescriben al año.
La ley orgánica regula los supuestos de interrupción de la
prescripción partiendo de la exigencia constitucional del conocimiento
de los hechos que se imputan a la persona, pero teniendo en cuenta la
problemática derivada de los procedimientos establecidos en el
reglamento europeo, en función de si el procedimiento se tramita
exclusivamente por la Agencia Española de Protección de Datos o si se
acude al procedimiento coordinado del Reglamento general de protección
de datos.
prescripción partiendo de la exigencia constitucional del conocimiento
de los hechos que se imputan a la persona, pero teniendo en cuenta la
problemática derivada de los procedimientos establecidos en el
reglamento europeo, en función de si el procedimiento se tramita
exclusivamente por la Agencia Española de Protección de Datos o si se
acude al procedimiento coordinado del Reglamento general de protección
de datos.
El RGPD establece amplios márgenes para la determinación de la
cuantía de las sanciones. La ley orgánica, respecto a los factores
agravantes o atenuantes, aclara que entre los elementos a tener en
cuenta podrán incluirse los que ya aparecían en la antigua Ley Orgánica
15/1999, entre otros, el carácter continuado de la infracción, el
volumen de negocio o actividad del infractor, los beneficios obtenidos
como consecuencia de la comisión de la infracción, el grado de
intencionalidad, la reincidencia por comisión de infracciones de la
misma naturaleza, la regularización de la situación irregular de forma
diligente, que la conducta del afectado haya podido inducir a la
comisión de la infracción, que el infractor haya reconocido
espontáneamente su culpabilidad…
cuantía de las sanciones. La ley orgánica, respecto a los factores
agravantes o atenuantes, aclara que entre los elementos a tener en
cuenta podrán incluirse los que ya aparecían en la antigua Ley Orgánica
15/1999, entre otros, el carácter continuado de la infracción, el
volumen de negocio o actividad del infractor, los beneficios obtenidos
como consecuencia de la comisión de la infracción, el grado de
intencionalidad, la reincidencia por comisión de infracciones de la
misma naturaleza, la regularización de la situación irregular de forma
diligente, que la conducta del afectado haya podido inducir a la
comisión de la infracción, que el infractor haya reconocido
espontáneamente su culpabilidad…
Competencia desleal
Por último, se modifica la Ley de competencia desleal,
regulando como prácticas agresivas las que tratan de suplantar la
identidad de la Agencia o sus funciones y las relacionadas con el
asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar
asesoramientos de ínfima calidad a las empresas.
regulando como prácticas agresivas las que tratan de suplantar la
identidad de la Agencia o sus funciones y las relacionadas con el
asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar
asesoramientos de ínfima calidad a las empresas.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi