Coneix la nova Llei orgànica de protecció de dades i garantia dels drets digitals

Amb efectes des del 7 de desembre de 2018, es va publicar al BOE la nova Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals, que entre altres novetats regula els nous drets digitals en l’àmbit laboral (dret a la intimitat dels treballadors en l’ús de dispositius digitals, dret a la desconnexió, l’ús de videovigilància, l’enregistrament de sons o la geolocalització), així com els sistemes d’informació de denúncies internes, els sistemes d’exclusió publicitària, els drets dels interessats (accés, rectificació, supressió o dret a l’oblit, limitació, oposició i portabilitat), inclòs també el dret a l’oblit en cerques d’internet i xarxes socials i el dret a la portabilitat en xarxes socials, i afegint un catàleg de nous drets denominats conjuntament drets digitals (com el dret al testament digital, dret a l’actualització d’informacions en mitjans de comunicació digitals, etc.).

Amb efectes des del 7 de desembre de 2018, es va publicar al BOE la nova Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals, que adapta el dret espanyol al model establert per Reglament general de protecció de dades de la Unió Europea (RGPD) -que recordem és d’aplicació directa- i que va deixar en mans dels estats membres. No obstant això, el legislador espanyol ha aprofitat la norma per incloure també els denominats drets digitals, aquells drets relacionats amb l’ús de la tecnologia en la vida privada i el treball.

L’adaptació al Reglament general de protecció de dades, que és aplicable des del 25 de maig de 2018, requeria l’aprovació d’una nova llei orgànica que substituís la vigent actual.

Ara, aquesta nova llei deroga la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i deroga també al Reial decret-llei 5/2018, de 27 de juliol, de mesures urgents per a l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, que es va dictar amb caràcter d’urgència perquè es pogués aplicar a Espanya el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, atès que la nova llei encara no s’havia aprovat.

La nova llei afecta a totes les persones físiques i jurídiques establertes o no en territori de la UE que tractin dades personals de persones físiques que es trobin en la UE, respecte a qualsevol tractament de dades personals automatitzat totalment o parcial i als tractaments no automatitzat de dades personals continguts o destinats a ser inclosos en un fitxer.

Quines són les principals novetats que introdueix la nova llei pel que fa al RGPD i els drets digitals?

Testament digital

  • Un dels aspectes nous inclosos en la nova normativa és que es reconeix específicament el dret d’accés i, si escau, de rectificació o supressió per part dels qui tinguessin vinculació amb persones mortes per raons familiars o de fet i als seus hereus. La mesura limita l’exercici d’aquests drets quan el mort l’hagués prohibit.
  • En cas de menors i persones amb discapacitat s’amplien aquestes facultats als representants legals, Ministeri Fiscal i persones designades per a funcions de suport.
  • Mitjançant Reial decret s’establiran els requisits i condicions que acreditin la validesa i vigència d’aquests drets i instruccions de la persona morta sobre l’exercici d’aquests drets.

Menors d’edat

Quant als menors, la llei fixa en 14 anys l’edat a partir de la qual es pot prestar consentiment de manera autònoma. També es regula expressament el dret a sol·licitar la supressió de les dades facilitades a xarxes socials o altres serveis de la societat de la informació pel propi menor o per tercers durant la seva minoria d’edat.

Tractament de dades de naturalesa penal

Fora dels supòsits del RGPD, aquests tractaments de dades solament seran possibles quan siguin duts a terme per advocats i procuradors i tinguin per objecte recollir informació facilitada pels seus clients per a l’exercici de les seves funcions.

Sistemes d’informació creditícia (els coneguts com a fitxers de morosos)

Una altra novetat és la referida a la regulació dels sistemes d’informació creditícia (els coneguts com a fitxers de morosos), que redueixen de 6 a 5 anys el període màxim d’inclusió dels deutes i en els quals s’exigeix una quantia mínima de 50 euros (l’import dels quals es pot actualitzar mitjançant Reial decret) per a la incorporació dels deutes a aquests sistemes. Amb l’anterior llei, no existia una quantitat mínima.

Solament els qui mantinguin una relació contractual amb el deutor o aquest hagués sol·licitat la subscripció d’un contracte que impliqui finançament, pagament ajornat o facturació periòdica podran consultar les dades del deutor.

Operació de modificació estructural de societats o aportació o transmissió de negoci o branca d’activitat

S’estableix que són lícits els tractaments de dades que es derivin de qualsevol operació de modificació estructural de societats o aportació o transmissió de negoci o branca d’activitat empresarial quan els tractaments siguin necessaris per a la bona fi de l’operació i garanteixin quan sigui el cas, la continuïtat en la prestació de serveis.

L’entitat cessionària ha de suprimir les dades amb caràcter immediat sense aplicar l’obligació de bloqueig quan l’operació no s’arribi a concloure.

Captació d’imatges

  • Es permet la captació d’imatges de la via pública a través de càmeres o càmeres de vídeo amb la finalitat de preservar la seguretat de les persones, béns i instal·lacions quan resulti imprescindible per a aquesta finalitat.
  • Aquesta captació es pot ampliar a una extensió superior amb el límit de les imatges de l’interior d’un domicili privat quan fos necessari per garantir la seguretat dels béns o instal·lacions estratègics o infraestructures vinculades al transport.
  • Aquestes dades han de ser suprimides sense obligació de bloqueig en el termini d’un mes des de la seva captació excepte que aquestes dades hagin de ser conservades per acreditar la comissió d’actes que atemptin contra la integritat de les persones, béns o instal·lacions.
  • En cas d’obligació de conservació de les dades, en el termini màxim de 72 hores des que es tingui coneixement de l’existència de l’enregistrament, s’han de posar a la disposició de l’autoritat competent.

Sistemes de denúncies internes

  • Regulació d’un mecanisme de denúncies internes anònimes o no que permet a les empreses posar en coneixement d’una entitat privada la comissió d’actes o conductes que poguessin resultar contraris a la normativa.
  • L’accés a aquestes dades només es podrà realitzar pels qui realitzin funcions de control intern i de compliment no obstant això quan resulti necessari per a l’adopció de mesures disciplinàries o per a la tramitació de procediments judicials també és lícit l’accés per part d’altres persones o fins i tot la seva comunicació a tercers.
  • És obligació dels responsables:
  • Adoptar les mesures necessàries per preservar la identitat i confidencialitat de les dades de les persones afectades i especialment de la persona denunciant.
  • Conservar les dades durant el temps imprescindible per a la presa de decisions.
  • Suprimir les dades del sistema de denúncies al cap de tres mesos des de la introducció de les dades excepte en cas que la finalitat de la conservació sigui deixar evidència del funcionament del model de prevenció.
  • Registrar de forma anònima les denúncies que no s’hagin expedit.
  • Suprimir les dades del sistema de denúncies sense obligació de bloqueig quan aquestes denúncies no s’hagin cursat.

Drets laborals digitals

La llei actualitza les garanties del dret a la intimitat enfront de l’ús de dispositius de videovigilància i d’enregistrament de sons en el lloc de treball. Així mateix, reforça les garanties del dret a la intimitat en relació amb l’ús de dispositius digitals posats a la disposició dels empleats, complementant la regulació del dret a la intimitat davant la utilització de sistemes de geolocalització en el àmbit laboral, dels quals hauran de ser informats.

Així, la norma regula el dret a la intimitat dels treballadors en l’ús de dispositius digitalsposats a la seva disposició per l’ocupador:

  • S’autoritza a l’empresa a accedir al contingut dels dispositius únicament als efectes de controlar el compliment de les obligacions laborals i de garantir la integritat dels dispositius. Les empreses hauran d’establir criteris d’utilització dels dispositius digitals respecte als estàndards mínims de protecció de la intimitat, amb la participació dels representants dels treballadors.
  • L’accés als dispositius respecte dels quals hagi admès el seu ús amb finalitats privades requerirà que s’especifiquin de manera precisa els usos autoritzats i s’estableixin garanties per preservar la intimitat (com la determinació dels períodes en què els dispositius es podran utilitzar per a finalitats privades).
  • Els treballadors hauran de ser informats d’aquests criteris d’utilització.

Es reconeix també el dret a la desconnexió digital dels treballadors, a fi de garantir, fora del temps de treball, el respecte al temps de descans, permisos i vacances, així com de la seva intimitat personal i familiar:

  • Aquest dret se subjectarà a l’establert en la negociació col·lectiva o, en defecte d’això, per acord entre l’empresa i els representants dels treballadors i atendrà a la naturalesa i objecte de la relació laboral.
  • El dret a la desconnexió digital es concretarà en una política interna elaborada prèvia audiència dels representants dels treballadors, en la qual definiran les modalitats d’exercici del dret a la desconnexió i les accions de formació i de sensibilització sobre un ús raonable de les eines tecnològiques. En particular, es preservarà el dret a la desconnexió digital dels teletreballadors.

Igualment es regula el dret a la intimitat del treballador enfront de l’ús de dispositius de videovigilància i d’enregistrament del so en el lloc de treball:

  • Respecte a la videovigilància, es permet a les empreses tractar les imatges obtingudes per vigilar i controlar el compliment pel treballador de les seves obligacions i deures laborals, dins dels límits legals, i amb l’obligació d’informar prèviament als representants dels treballadors i als propis treballadors.
  • Quan s’hagi captat la comissió flagrant d’un acte il·lícit pels treballadors s’entendrà complert el deure d’informar sobre la videovigilància quan existís almenys un dispositiu informatiu en un lloc suficientment visible.
  • L’enregistrament de sons en l’àmbit laboral queda limitat a supòsits molt concrets i excepcionals (com el risc per a la seguretat de les instal·lacions, béns i persones).
  • Es prohibeix instal·lar dispositius d’enregistrament de so o videovigilància en els llocs destinats al descans o esplai dels treballadors.

Una altra de les qüestions que es regula en la nostra legislació per primera vegada és el dret a la intimitat davant la utilització de sistemes de geolocalització en l’àmbit laboral, i es permet l’ús d’aquests sistemes per a l’exercici de les funcions de control dels treballadors, dins dels límits legalment previstos, amb la informació prèvia als representants dels treballadors i als propis treballadors sobre l’existència i característiques d’aquests dispositius.

Finalment, s’estableix la conveniència d’establir garanties addicionals de drets i llibertats relacionats amb el tractament de dades personals dels treballadors i la salvaguarda de drets digitals per part dels convenis col·lectius.

Garantia de drets digitals

Pel que fa als drets dels interessats, la llei d’una banda, replica el catàleg dels ja previstos en el RGPD (accés, rectificació, supressió o dret a l’oblit, limitació, oposició i portabilitat), si bé els amplia afegint-ne un d’especial, el dret a l’oblit en cerques d’internet i xarxes socials i el dret a la portabilitat en xarxes socials.

D’altra banda, la norma introdueix un catàleg de nous drets denominats conjuntament drets digitals, a saber:

  • dret d’accés universal a internet;
  • dret a la neutralitat digital o d’internet;
  • dret a l’educació digital;
  • dret a la desconnexió digital i dret a la intimitat en relació amb l’ús de dispositius digitals i sistemes de geolocalització, tots els anteriors en l’àmbit laboral que afecten a les relacions laborals i a la negociació col·lectiva;
  • dret de rectificació a internet;
  • dret a l’actualització d’informacions en mitjans de comunicació digitals; i
  • dret al testament digital (possibilitat que una persona estableixi en vida la destinació que vol donar a la informació que ha pujat a xarxes socials o que figura a internet per quan mori, vinculant tant als seus hereus i drethavents, com a les empreses que disposen d’aquesta informació o exploten xarxes socials).
  • Còmput de terminis: quan els terminis s’assenyalin per dies, aquests són hàbils (s’exclouen, dissabtes, diumenges i festius); si el termini es fixa en setmanes, anys o mesos, conclourà el mateix dia de la setmana, any o mes que va produir el fet. Si en el mes de venciment no hi hagués dia equivalent s’entendrà que el termini expira l’últim dia del mes; quan l’últim dia del termini sigui inhàbil, el termini és el primer dia hàbil següent.

Règim sancionador

Es regula en la nova llei el règim sancionador. La regulació estatal en aquesta qüestió és d’especial importància, ja que el Reglament general de protecció de dades de la Unió Europea (RGPD) estableix un sistema de sancions o actuacions correctives que permet un ampli marge d’apreciació.

La nova llei manté la classificació de les infraccions en molt greus, greus i lleus, segons el grau d’afectació de les dades.

La categorització de les infraccions s’introdueix únicament a l’efecte de determinar els terminis de prescripció, tenint la descripció de les conductes típiques com a únic objecte l’enumeració de manera exemplificativa d’alguns dels actes sancionables que s’han d’entendre inclosos dins dels tipus generals establerts en la norma europea.

  • Molt greus. Prescriuen al cap de 3 anys.
  • Greus. Prescriuen al cap de 2 anys.
  • Lleus. Prescriuen al cap d’un any.

La llei orgànica regula els supòsits d’interrupció de la prescripció partint de l’exigència constitucional del coneixement dels fets que s’imputen a la persona, però tenint en compte la problemàtica derivada dels procediments establerts en el reglament europeu, en funció de si el procediment es tramita exclusivament per l’Agència Espanyola de Protecció de Dades o si s’acudeix al procediment coordinat del Reglament general de protecció de dades.

El RGPD estableix amplis marges per a la determinació de la quantia de les sancions. La llei orgànica, respecte als factors agreujants o atenuants, aclareix que entre els elements a tenir en compte s’hi podran incloure els que ja apareixien en l’antiga Llei orgànica 15/1999, entre d’altres, el caràcter continuat de la infracció, el volum de negoci o activitat de l’infractor, els beneficis obtinguts com a conseqüència de la comissió de la infracció, el grau d’intencionalitat, la reincidència per comissió d’infraccions de la mateixa naturalesa, la regularització de la situació irregular de forma diligent, que la conducta de l’afectat hagi pogut induir a la comissió de la infracció, que l’infractor hagi reconegut espontàniament la seva culpabilitat, etc.

Competència deslleial

Finalment, es modifica la Llei de competència deslleial, regulant com a pràctiques agressives les que tracten de suplantar la identitat de l’Agència o les seves funcions i les relacionades amb l’assessorament conegut com a ‘adaptació a cost zero’ a fi de limitar assessoraments d’ínfima qualitat a les empreses.