Diciembre es el mes por excelencia de las normas españolas de protección de datos.
La anterior LOPD se aprobó el 13 de diciembre del 99; su Reglamento de Desarrollo, el 21 de diciembre de 2007, y finalmente, la nueva LOPD (o LOPDyGDD para los amantes de las siglas), que se ha aprobado el 5 de diciembre, se ha publicado el 6 y entra en vigor hoy, día 7 de diciembre de 2018.
Dejando de lado los llamados “derechos digitales” que ya analizaremos en otro momento, hoy nos centramos en las 15 principales implicaciones para las empresas de la nueva norma (ya nos hubiese gustado que fuesen solo 5, pero no fue posible… así que anticipamos nuestras disculpas al sufrido lector por la extensión de este artículo):
El artículo 7.1. de la LOPD establece que los menores de edad no podrán consentir el tratamiento de sus datos personales hasta los 14 años.
Esto da continuidad al marco legal anterior, pero contrasta con las anteriores versiones de la LOPD, que preveía la rebaja de esta edad a 13 años.
Asimismo, debe tenerse en cuenta que el art. 6.1.f) del RGPD limita la aplicación del interés legítimo, de forma que no puede aplicarse a menores de edad (menores de 18 años de edad).
Por otra parte, el artículo 12.6 de la LOPD establece que los titulares de la patria potestad podrán ejercer los derechos del menor, pero únicamente hasta los 14 años.
En resumen, con respecto a las bases jurídicas que legitiman el tratamiento de menores de edad:
- No puede aplicarse el interés legítimo para menores de 18 años.
- El consentimiento para el tratamiento de menores de 14 años debe prestarse por parte de sus padres o tutores.
- A partir de los 14 años, el ejercicio de sus derechos corresponderá al menor, y no a sus padres o tutores.
El artículo 11.2 de la LOPD propone (no obliga) el cumplimiento del deber de transparencia o información a través de “capas”, y establece que el contenido mínimo de la primera capa o información básica, debe ser:
- Identidad del Responsable del Tratamiento.
- Finalidades del Tratamiento (especificando la elaboración de perfiles cuando aplique).
- Derechos (especificando el derecho a oponerse a la elaboración de perfiles cuando aplique).
Esto contrasta con el apartado 6 de la Guía para el cumplimiento del deber de informar de la AEPD, que propone mucha más información para la primera capa.
El artículo 13.3 de la LOPD establece que se considerará repetitivo el ejercicio del derecho de acceso ejercido más de 1 vez en el plazo de 6 meses (lo cual habilitará el mecanismo para cobrar un canon correspondiente a los gastos en que incurra el responsable del tratamiento por el hecho de atender dicho derecho).
Esto contrasta con el marco legal anterior, donde se recogía que este plazo era de 1 año.
El artículo 15 de la LOPD establece que en caso de que se produzca un derecho de oposición a publicidad que provoque la supresión de datos (por ser la publicidad la única finalidad del tratamiento), los datos mínimos del interesado podrán ser conservados (sin especificar límite temporal alguno) para evitar futuros tratamientos publicitarios.
Según el artículo 19 de la LOPD, salvo prueba en contrario, los tratamientos de contactos profesionales para relaciones B2B se encontrarán amparados en el interés legítimo (sin perjuicio de la aplicación de otras normas específicas), independientemente de que sean trabajadores de personas jurídicas, autónomos o profesionales liberales.
Esto contrasta con el marco legal anterior, en el que estos tratamientos estaban fuera del ámbito de aplicación de la normativa.
De hecho, debe tenerse en cuenta que el hecho de que sea aplicable el interés legítimo no exime del cumplimiento del resto de las obligaciones de la normativa (como el deber de información sobre el tratamiento).
Conforme al artículo 20 de la LOPD, los denominados “ficheros de morosos” serán lícitos siempre que:
- Los datos sean facilitados por el acreedor (o representante).
- Los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
- El acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas.
- La entidad que mantenga el sistema notifique al afectado su inclusión y le informe sobre la posibilidad de ejercer sus derechos dentro de los 30 días siguientes, permaneciendo bloqueados los datos durante ese plazo.
- Los datos se mientras persista el incumplimiento, con el límite máximo de 5 años desde la fecha de vencimiento de la obligación.
- Los datos solamente puedan ser consultados por entidades que tengan una relación contractual o precontractual con el afectado que implique el abono de una cuantía pecuniaria pago aplazado o facturación periódica.
- En caso de denegarse la celebración del contrato, se informe al afectado del resultado de dicha consulta.
Además, se establecen las siguientes reglas:
- Las entidades que mantengan el sistema y las acreedoras, tendrán la condición de corresponsables del tratamiento
- Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
- Este artículo no ampara que la información crediticia sea asociada por la entidad que mantuviera el sistema a informaciones adicionales relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo.
- No se incorporarán las deudas inferiores a 50 € (D.A.6ª).
Conforme al artículo 21 de la LOPD, se consideran lícitas las cesiones de datos que sean necesarias para la realización de operaciones mercantiles (modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial), incluso previas a la propia operación.
Este artículo da continuidad al marco legal anterior y lo amplía a la cesión previa a la operación en sí.
No obstante, se omite la referencia al deber de informar a los interesados sobre el cambio en la titularidad de la base de datos (que sí se establecía en el marco legal anterior).
En caso de que el sistema de videovigilancia capte imágenes de la comisión de actos delictivos, el artículo 22.3 de la LOPD obliga a comunicar las grabaciones a la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.
Conforme al artículo 24 de la LOPD, se prevé el uso de sistemas de denuncia anónima (tanto en empresas privadas como en administraciones públicas) bajo las siguientes reglas:
- Los empleados y otros terceros que puedan ser denunciados a través de estos sistemas deben ser informados de su existencia.
- El acceso a estos sistemas estará limitado exclusivamente a los empleados o colaboradores que tengan funciones de control interno / cumplimiento, aunque será lícito el acceso de otras personas para adoptar medidas disciplinarias (p.e. RRHH) o procesos judiciales (p.e. servicios jurídicos).
- Los datos del denunciante deben ser estrictamente confidenciales.
- Las denuncias no tramitadas deben ser anonimizadas.
- En el plazo máximo de 3 meses, los datos deben ser anonimizados en el sistema principal y, en caso de ser necesario, seguirán siendo tratados por los órganos correspondientes durante el tiempo mínimo imprescindible.
Conforme al artículo 27 de la LOPD, los datos sobre infracciones y sanciones administrativas (incluyendo registros relacionados), sólo podrán ser tratados:
- Por las autoridades competentes.
- Por otras entidades en los siguientes casos:
- Previo consentimiento de los interesados.
- Previa autorización por una Ley.
- Abogados y procuradores sobre sus clientes y para el cumplimiento de la función encomendada por el cliente.
El artículo 35.3 del RGPD propone 3 casos en los que será necesaria una evaluación de impacto:
- Perfilado automatizado con efectos jurídicos o similares.
- Tratamiento de categorías especiales de datos o infracciones penales a gran escala.
- Observación sistemática a gran escala de una zona de acceso público.
Por su parte, el artículo 28 de la LOPD amplía sensiblemente esta lista (contradiciendo parcialmente algunos de los casos previstos en el RGPD):
- Cuando el tratamiento pudiese provocar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
- Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
- Cuando tratasen datos especialmente protegidos o infracciones penales o administrativas de forma no meramente incidental o accesoria (en vez de “a gran escala” como prevé el RGPD).
- Perfilado de aspectos referidos a rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, solvencia financiera, localización o sus movimientos (sin requerir un efecto jurídico o similar como hace el RGPD).
- Grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
- Tratamientos a gran escala (sin necesidad de que los tratamientos en sí supongan un riesgo adicional).
- Transferencias internacionales de datos, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
- Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
Debe tenerse en cuenta que las evaluaciones de impacto sólo son exigibles para tratamientos iniciados con posterioridad al 25 de mayo de 2018 (o que hayan sufrido cambios relevantes desde esa fecha que incrementen sensiblemente el riesgo del tratamiento).
Teniendo en cuenta la realización de estas evaluaciones, las empresas deberán prever con suficiente antelación cualquier nuevo tratamiento que pudiese requerir la elaboración de un PIA.
El artículo 31 de la LOPD exige que las administraciones públicas publiquen su Registro de Actividades de Tratamiento.
El artículo 32 de la LOPD recupera la figura del bloqueo de datos en los casos en los que proceda la supresión o la rectificación de los mismos.
De esta forma, ante un derecho de supresión o de rectificación, los datos no serán eliminados, sino conservados de forma bloqueada a disposición de las autoridades correspondientes hasta que se cumpla el plazo de prescripción de las posibles responsabilidades derivadas del tratamiento.
Excepciones:
- Cesiones de datos para la realización de operaciones mercantiles que no lleguen a completarse (art. 21.2 LOPD).
- Videovigilancia (art. 22.3 LOPD).
- Denuncias internas (art. 24.4 LOPD).
La casuística recogida en el artículo 37 del RGPD para la designación de un DPO es la siguiente:
- Administraciones públicas, (salvo juzgados y tribunales)
- Entidades cuya actividad principal requiera observación habitual y sistemática de interesados a gran escala.
- Entidades cuya actividad principal consista en tratar datos especialmente protegidos o infracciones penales a gran escala.
El artículo 34 de la LOPD amplía sensiblemente esta casuística:
- Colegios profesionales y sus consejos generales.
- Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Operadores de telecomunicaciones y comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Entidades de crédito y los establecimientos financieros de crédito.
- Entidades aseguradoras y reaseguradoras.
- Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Distribuidores y comercializadores de energía eléctrica y gas natural.
- Entidades responsables de los “ficheros de morosos” (lo cual genera dudas de si las empresas acreedoras, como corresponsables del tratamiento según lo dispuesto en el artículo 20.2 de la LOPD, también deberán tener su propio DPO por el hecho de comunicar deudas a estos ficheros).
- Entidades responsables de ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (salvo profesionales individuales).
- Las entidades que emitan informes comerciales de personas físicas.
- Los operadores de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
Las altas y bajas de DPOs deben ser comunicadas en un plazo de 10 días desde el nombramiento o cese.
A pesar de que los artículos 45 y 46 del RGPD establecen que no será necesaria la autorización de la autoridad nacional de protección de datos para efectuar transferencias internacionales a países considerados adecuados o mediante garantías adecuadas, el artículo 42 de la LOPD establece determinados supuestos de transferencia internacional que requerirán autorización de la AEPD:
- Cuando se pretenda utilizar un contrato a modo de garantía adecuada que no sea el contrato modelo aprobado por la Comisión Europea.
- Cuando la transferencia se lleve a cabo por administraciones públicas y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados.
Además, se establece un plazo máximo para resolver sobre estas solicitudes de 6 meses (cuando el marco legal anterior establecía un plazo máximo de 3 meses).
Asimismo, el CEPD tendrá que dictaminar sobre la resolución de la AEPD a esta solicitud, suspendiéndose el plazo para resolver hasta que la AEPD reciba dicho dictamen.
Por último, las transferencias internacionales fundadas en un interés legítimo puntual e imperioso (49.1 último párrafo del RGPD), deben ser notificadas a la AEPD antes de que se produzca la transferencia.
Bonus Track: Otras disposiciones (adicionales, transitorias, derogatorias y finales)
- Las Administraciones Públicas, así como los prestadores de servicios o concesionarios, deberán cumplir con el Esquema Nacional de Seguridad.
- Se consideran desleales las prácticas comerciales consistentes en fingir que se actúa en nombre o por cuenta de la AEPD, coartar el poder de decisión mediante la amenaza de multas, el ofrecimiento de certificados de cumplimiento vinculados a cursos de formación sin haber realizado las oportunas comprobaciones, y asumir la condición de DPO sin designación expresa y sin comunicación a la AEPD.
- En el plazo de un año desde la entrada en vigor de la LOPD, el Gobierno remitirá al Congreso un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías.
- Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
No podemos terminar este análisis sin hacer una mención especial al tema que ha copado las portadas durante las últimas semanas: la infame Disposición Adicional Tercera, que permite a los partidos políticos saltarse la norma para el envío de propaganda electoral. ¿Qué dice exactamente este nuevo artículo 58.bis de la LOREG?
- La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
Sin embargo, la AEPD se apresuró a publicar una nota desmintiendo que los partidos políticos pudiesen hacer perfiles basados en opiniones políticas.
2 días más tarde, la AEPD volvió a incidir sobre este punto con una segunda nota aseverando que no se permitirá a los políticos hacer lo que este artículo les permite…
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
Las fuentes de acceso público en la antigua LOPD estaban absolutamente tasadas y la AEPD siempre insistió de forma reiterada en que esa lista estaba cerrada y que en ningún caso podía considerarse como pública una página web cualquiera.
Así que ahora tenemos lista abierta de fuentes públicas…
¡Ah, no, espera! Nosotros no, solo los partidos políticos que han aprobado esta norma.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
Claro, porque si fuesen comunicación comercial, tendrían que cumplir con el artículo 21 de la LSSI, que exige consentimiento expreso del destinatario.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.
Sólo faltaría. Esperemos que, al menos, cuando la propaganda sea electrónica la baja también lo sea…
En fin, como puede verse, es una auténtica patente de corso. Y aunque algunos partidos ahora se rasguen las vestiduras, no está de más recordar que el Congreso aprobó este texto por unanimidad y que en el Senado nadie propuso enmiendas a este punto.
En cualquier caso, y gracias al revuelo social que ha provocado este asunto, es de suponer que más pronto que tarde, esta disposición será anulada.
José Carlos Moratilla
Departamento Legal
Áudea Seguridad de la Información