Desde el año 1999 venimos trabajando con la Ley Orgánica de Protección de Datos en España, una ley bastante restrictiva en comparación con el resto de países de nuestro alrededor, pero que hizo que el RGPD (aka GDPR) fuera bastante simple de implementar.
Estos días atrás se ha aprobado la nueva legislación que ha de hacer la transposición del RGPD en la que se ha llamado LOPDPGDD, es decir, Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Esta ley incorpora un montón de siglas más, ya que a parte de sustituir la LOPD, añade algunos elementos para los derechos digitales.
A falta del documento final, tenéis disponible la última versión para descargar:
Esta ley debería centrarse en adaptar la antigua LOPD a lo establecido en el RGPD, pero además de hacerlo, ha ampliado y añadido algunos elementos que «no tocan».
Voy a intentar hacer un repaso con los elementos más destacados, ya sean nuevos o no.
Artículo 3. Datos de las personas fallecidas
En principio los herederos de una persona podrán acceder a los datos de un fallecido y solicitar su cancelación. En resumen, los fallecidos pasan sus derechos a sus herederos.
Artículo 4. Exactitud de los datos
Este artículo me gusta mucho, ya que básicamente lo que vienen a decir es que tenemos derecho a que se corrijan datos erróneos, pero que, en caso de ser erróneos, se conoce y no se solicita el cambio, deben ser eliminados por el gestor de los datos.
Esto me hace pensar, por ejemplo, en datos que puede haber en la Wikipedia ( en cualquier sitio web de Internet), si son incorrectos, y tú no quieres que aparezcan, los han de eliminar. Esto también me recuerda a algunas llamadas de teléfono de algunos abogados que me reclaman cosas de las que no soy responsables y han seguido reclamando posteriormente aún diciéndoles que esos datos que tienen no son correctos.
Artículo 6. Tratamiento basado en el consentimiento del afectado
Lo primero, algo que ya sabíamos por el RGPD, y es que para hacer uso de tus datos han de tener consentimiento explícito, y por otro, que ese consentimiento ha de ser explícito y solicitarse por separado para las distintas cosas para las que van a usarse esos datos.
Artículo 7. Consentimiento de los menores de edad
Los menores de 14 años no puede tener potestad sobre lo que firman. Esto significa que en cosas como WhatsApp y similares, se estaría cometiendo un delito por parte de todas las partes, y principalmente por los padres, por dejar a los hijos aceptar algo que no pueden aceptar ellos directamente.
Artículo 9. Categorías especiales de datos
Por defecto no se deben realizar bases de datos con información sobre ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Quedarían exentos algunos datos como las propias bases de datos de los sindicatos y otras organizaciones que sean propiamente de estos elementos, o por ejemplo los datos de asistencia sanitaria.
Artículo 11. Transparencia e información al afectado
hasta ahora, cuando tenías que solicitar la información que tienen sobre ti (o la rectificación y demás) en general muchas empresas te decían que mandases una carta postal a algún lugar. Ahora ha de poder accederse mediante correo electrónico o de forma digital.
A la hora de ofrecer esta información (o de solicitarse) se debe indicar quién es responsable del tratamiento de los datos, qué finalidad de uso tienen y cómo se pueden ejercer los derechos.
Además, si tú no has asido el que ha dado tus datos y alguien los tiene, también es obligatorio saber cómo se han categorizado los datos y cómo se han obtenido (fuentes de datos).
Artículo 12. Disposiciones generales sobre ejercicio de los derechos
Habitualmente cuando pides que hagan cambios en tus datos te dicen que los mandes por fax, o similar. Hay que tener en cuenta que por ejemplo las operadoras solicitan datos para darte de alta por teléfono, pero luego para rectificar o cancelar te piden que lo hagas por otros métodos. Pues ahora ya dará igual cómo te pidan que lo hagas, porque tú puedes decidir el método para ejercer tus derechos.
Artículo 13. Derecho de acceso
En principio podemos solicita el acceso a toda la información que alguien tenga de nosotros, aunque nos pueden indicar si queremos todo o parte.
Eso sí, se supone que solicitar más de una vez los datos en menos de 6 meses se considera abuso, a menos que esté extremadamente justificado.
Además, los datos han de darse mediante un soporte estándar (habitualmente digital), y si lo pides de otra forma, pueden cobrarte por ello (por ejemplo, pedirle a Facebook que te de todos tus datos en papel).
Artículo 14. Derecho de rectificación
En cualquier momento puedes pedir que se corrijan datos incorrectos, aunque en muchos casos deberás demostrar esa incorrección.
Artículo 15. Derecho de supresión
Puedes solicitar que se eliminen todos tus datos, aunque, eso sí, se pueden guardar algunos de ellos para evitar spam. Esto significa que se podrían crear listas negras en las que haya por ejemplo números de teléfono o cuentas de correo electrónicas a las que nunca se les podría realizar una acción comercial.
Artículo 16. Derecho a la limitación del tratamiento
Uno de los elementos importantes es que ahora puedes solicitar que sigan teniendo tus datos pero que solo hagan uso de ellos para cosas muy concretas, y que quede claramente reflejado en su lado.
Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales
Si trabajas para alguien, ese alguien podrá tener tus datos, aunque solo pueden ser usados por temas profesionales. Lo mismo pasará con autónomos y empresarios liberales, en el caso de que deban mantener relaciones con otras personas.
Artículo 20. Sistemas de información crediticia
Si eres moroso, pueden tener tus datos para reclamártelo. Pero han de ser datos completamente certeros.
Artículo 23. Sistemas de exclusión publicitaria
Como ya he comentado antes, se pueden crear bases de datos para evitar el uso de esos datos para la publicidad, muy en modo «lista negra». En este cas los datos que podría haber deberían ser simplemente listados de correos electrónicos, direcciones postales, o números de teléfono, pero no pdorían llevar asociado otro dato personal.
Además, si alguien quiere hacerte un envío comercial, primero ha de consultar las listas públicas que existan, por ejemplo la Lista Robinson.
Artículo 28. Obligaciones generales del responsable y encargado del tratamiento
Parece obvio, pero básicamente si eres el responsable de una base de datos, has de mantenerla de forma segura e inaccesible. Creo que en esta parte hay bastante sentido común, pero que muchas empresas deberían leerse y ponerse al día de cómo tratan los datos.
Artículo 34. Designación de un delegado de protección de datos
¿Es necesario tener un DPD? Esta pregunta que muchas personas se hacen y que parece que tiene como respuesta que sí, me aclara dudas cómo se plantea en la LOPD ya que el RGPD parecía que sí, pero la LOPD viene a decir que solo un determinado tipo de empresas o empresas que trabajan (y ganan dinero) con los datos deben tener uno. Es decir, si eres un autónomo o una PYME, es probable que no te haga falta, pero si perteneces a un colegio, si te dedicas a la docencia, eres una empresa de telecomunicaciones o una empresa del tipo «red social», financiera, aseguradora, de energía… en fin, creo que se pilla la idea de por dónde va la cosa.
Además, si tu empresa tiene un DPD debes comunicárselo a la AEPD.
Artículo 38. Códigos de conducta
En caso de quererlo, puedes adherirte a un código de conducta, pero ha de estar aprobado por la AEPD. Seguramente para los que me leéis, el más interesante es el de Publicidad y Comercio Electrónico (PDF).
Artículo 79. Los derechos en la Era digital
Lo que pone en la Constitución y en los Tratados Internacionales también tiene validez en Internet.
Artículo 80. Derecho a la neutralidad de Internet
¡Yay! Oficialmente en una Ley se deja claro que en España hay Neutralidad en la Red.
Artículo 81. Derecho de acceso universal a Internet
1. Todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica.
2. Se garantizará un acceso universal, asequible, de calidad y no discriminatorio para toda la población.
3. El acceso a Internet de hombres y mujeres procurará la superación de la brecha de género tanto en el ámbito personal como laboral.
4. El acceso a Internet procurará la superación de la brecha generacional mediante acciones dirigidas a la formación y el acceso a las personas mayores.
5. La garantía efectiva del derecho de acceso a Internet atenderá la realidad específica de los entornos rurales.
6. El acceso a Internet deberá garantizar condiciones de igualdad para las personas que cuenten con necesidades especiales.
Artículo 81. Derecho de acceso universal a Internet.
Artículo 82. Derecho a la seguridad digital.
Esto es muy interesante, ya que te permitiría «obligar» a cualquier sitio web, por ejemplo, a que esté con HTTPS (algo que muchas administraciones públicas no disponen).
Artículo 83. Derecho a la educación digital
Esto en la teoría es muy bonito: alumnos con conocimientos digitales, profesores a los que se ha de formar en lo digital… aunque lo que más me gusta es que se hable de que todo se ha de basar en modelos de seguridad informática.
Artículo 84. Protección de los menores en Internet
Esta parte me genera dudas (al ser un texto legal) pero creo que viene a decir que nos e deberían publicar imágenes de niños en Internet en pro de su privacidad y sus derechos, aunque solo cuando afecten a derechos fundamentales.
Artículo 85. Derecho de rectificación en Internet
1. Todos tienen derecho a la libertad de expresión en Internet.
2. Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.
Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.
Artículo 85. Derecho de rectificación en Internet.
Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales
Si alguien publica algo sobre ti en un medio digital y quieres corregirlo, has de poder hacerlo y el medio ha de dejarlo muy claro.
Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral
En el trabajo han de decirte qué puedes y no puedes hacer con el material informático que te presta. Esto significa que se te deberían dar una lista de elementos a los que sí y no puedes acceder. En caso de que un empresario quiera acceder a tu máquina, podrá hacerlo siempre delante del representante de los trabajadores, y siempre que no se acceda a lugares que puedan considerarse de tu parte privada. Es decir, se podría saber que te conectas a Facebook durante cuánto tiempo, pero no se podría acceder a tu cuenta.
Artículo 88. Derecho a la desconexión digital en el ámbito laboral
Creo que el título lo dice todo… No se te puede exigir nada fuera de las horas de trabajo.
Artículo 93. Derecho al olvido en búsquedas de Internet
1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet.
Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.
2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.
Artículo 93. Derecho al olvido en búsquedas de Internet.
Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes
Si quieres darte de baja, te han de dar de baja con solo pedirlo.
Artículo 96. Derecho al testamento digital
Cuando alguien fallezca, se podrá solicitar la corrección o eliminación de datos, pero no su acceso. Solo en caso de que se haya designado a una persona concreta para ello, podrá acceder a los contenidos.
Se podrá decidir si se quiere continuar con el perfil del fallecido por parte de la familia o representante o su eliminación.
Disposición adicional decimonovena. Derechos de los menores ante Internet
A lo largo de 2019 aparecerá una Ley de Derechos de los Menores en Internet, con el foco de garantizar la seguridad y luchar contra la discriminación y violencia que se realiza mediante la tecnología. vamos, una Ley contra el bulling por Internet.
Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
Y aquí, al final, por edoo de que a ver si se han cansado de leer, ha sido donde han querido colarla los partidos políticos y que va en contra del RGPD, lo que hará que muy probablemente esta disposición quede anulada en breve.
Y aquí es donde se ha introducido el famoso Artículo 58, que viene a decir esto:
Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
El punto 1 significa que «cuando a ellos les de la gana, y por el interés general», puedes recopilar datos tuyos sobre tu ideología política haciendo un análisis y perfilando datos de medios digitales.
El punto 2 significa que se pueden usar esos datos para mandarte propaganda publicitaria. El RGPD deja muy claro que no se pueden agregar datos personales, y básicamente esto y el punto anterior lo que hacen es eso.
El punto 3 dice claramente que la propaganda electoral no es una comunicación comercial.
Y el punto 5 deja claro que se ha de poder impedir esto (que en realidad ya lo hace la Lista Robinson, y que se la pasan por el forro de los coj***s.
Las disposiciones siguientes hacen mención principalmente a cómo adaptar los datos personales a otros elementos como el judicial, sanitario, administración pública, educación y demás… algo que también tiene mucho interés.
A falta que de aparezca en el BOE (en el momento en el que estoy escribiendo esto, aún no está) ya tenemos nueva LOPD.
Responder a destruccion confidencial madrid Cancelar la respuesta