Madrid, 7 de diciembre de 2018. El Boletín Oficial del Estado ha publicado en el día de ayer la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
Con la publicación y aprobación de esta ley se pretende adaptar el ordenamiento jurídico de nuestro país al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo relativo a la protección de datos de las personas físicas (RGPD). Esta nueva ley ya ha entrado en vigor en el día de hoy, 7 de diciembre.
PRINCIPALES NOVEDADES
Esta ley incorpora una gran cantidad de novedades entre las cuales podemos resaltar el hecho de que cambie de nombre ampliando a Internet la exigencia y aplicación de los derechos y libertades reconocidos en la Constitución y en los Tratados Internacionales a través de su décimo título “Garantía de derechos digitales”.
En este sentido, se regula por primera vez en nuestro país el derecho de los empleados a la desconexión digital en el ámbito laboral y ofreciendo el derecho a la intimidad frente al uso de dispositivos de geolocalización, videovigilancia y grabación de audio en el puesto de trabajo.
Se establecen los 14 años como edad mínima a partir de la cual los menores pueden otorgar su consentimiento para tratar sus datos personales. Además, el uso o difusión de imágenes o información personal de menores en redes sociales podría implicar una intromisión ilegítima en sus derechos fundamentales. En el sector de la educación, esta norma incluye en su art. 83 competencias digitales a las administraciones educativas que deberán incluir asignaturas TIC relativas al uso de medios digitales de manera segura y respetuosa con respecto a la intimidad personal, familiar y a la protección de datos con especial atención a las situaciones de violencia en la red.
Contemplado ya en el RGPD, esta nueva ley regula el derecho al olvido, pero ya no solo ante los motores de búsqueda, sino que también se incluye el derecho al olvido en redes sociales y servicios equivalentes (art. 94).
Se reconoce la aplicación del interés legítimo (art. 19), salvo prueba en contrario, para el tratamiento de contactos profesionales para relaciones entre empresas (B2B), independientemente de que sean trabajadores de personas jurídicas, autónomos o profesionales liberales.
Por otra parte, en los casos en los que exista cierta probabilidad de que el tratamiento que se realiza pueda suponer un alto riesgo de los derechos de los usuarios, será el responsable quien deba realizar una evaluación de impacto en materia de protección de datos evaluando el origen, naturaleza, particularidad y gravedad de cada riesgo. Hasta ahora se establecían 3 casos particulares, la LOPD-GDD enumera 8 casos concretos (art. 28.2).
Otra figura de la que se ha hablado a lo largo de los últimos meses ha sido la del Delegado de Protección de Datos que deberá ser designado obligatoriamente cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran de una observación habitual y sistemática de los interesados a gran escala o cuando las actividades consistan en el tratamiento a gran escala de datos "especialmente protegidos" (art. 37 del RGPD). Sin embargo, este requerimiento ha sido ampliado para 16 tipos de entidades en particular (art. 34 de la LOPD-GDD) que deberán designar obligatoriamente un delegado de protección de datos.
Este delegado podrá formar parte de la plantilla del propio responsable o del encargado del tratamiento o podrá ser contratado por sus servicios de manera externa.
Estas solo son algunas de sus novedades, las cuales os iremos desgranando próximamente.
ENTRADA EN VIGOR
Teniendo en cuenta que la nueva LOPD-GDD ha sido publicada en el día de ayer, ha entrado en vigor en el día de hoy atendiendo a su disposición final decimosexta.