Ja tenim nova LOPD, encara que aquesta vegada tingui un cognom compost, amb l’afegit (no orgànic) dels drets digitals i la seva garantia. Amb més que un considerable retard, després de la vigència des del 25 de maig del RGPD, es publica al BOE la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD).
Encara que la seva finalitat última sigui la introducció en l’ordenament jurídic intern de l’RGPD, ja directament aplicable per la seva naturalesa jurídica, la LOPDGDD conté substancials novetats, algunes d’elles via modificació d’altres normes, que convé tenir en consideració des del primer moment, i més a la vista que la seva entrada en vigor es produeix l’endemà de la seva publicació al BOE de 6 de desembre de 2018 (molt constitucional), és a dir, el 7 de desembre.
Per això, a continuació realitzem una breu ressenya de les 10 principals novetats a què prestar atenció:
Legitimació de les Administracions Públiques per utilitzar i cedir dades personals
L’art. 6 del RGPD conté les bases de legitimació per a la utilització de les dades personals, d’entre les quals són dues les que serveixen de base legal per a la utilització i, si escau, la cessió de dades per part de les administracions públiques. D’una banda, quan el tractament sigui necessari per al compliment d’una obligació legal aplicable al responsable del tractament, i, de l’altra, quan el tractament sigui necessari per al compliment d’una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament.
En aquest tema, la LOPDGDD introdueix un nou art. 8, relatiu al “Tractament de dades per obligació legal, interès públic o exercici de poders públics”, que aclareix quan el tractament de dades personals es pot considerar fundat en el compliment d’una obligació legal exigible al responsable, en els termes que preveu l’article 6.1.c) RGPD. Serà quan així ho prevegi una norma de Dret de la Unió Europea o una norma amb rang de llei, norma que podrà determinar les condicions generals del tractament i els tipus de dades objecte del mateix així com les cessions que siguin procedents com a conseqüència del compliment de la obligació legal. Aquesta norma podrà igualment imposar condicions especials al tractament, com ara l’adopció de mesures addicionals de seguretat o altres establertes en el capítol IV RGPD.
Utilització de les nostres dades per perfilació de partits polítics
La LOPDGDD afegeix un nou art. 58 bis a la Llei Orgànica 5/1985, de 19 de juny, del règim electoral general, (LOREG) relatiu a la “Utilització de mitjans tecnològics i dades personals en les activitats electorals”, que ha aixecat no poques polèmiques per la possible (indeguda) utilització que aquestes dades puguin fer els partits polítics, mitjançant tècniques de perfilació i que ha provocat fins i tot el pronunciament “preventiu” de l’Agència espanyola de Protecció de Dades (AEPD), en el seu criteri sobre qüestions electorals en el projecte LOPD.
El nou precepte de la LOREG permet la recopilació de dades personals relatives a les opinions polítiques de les persones que duguin a terme els partits polítics en el marc de les seves activitats electorals, des de la consideració que es troba emparada en l’interès públic, amb una condició, que s’ofereixin garanties adequades. Ara bé, no es concreten aquestes mesures, sinó que es limita a assenyalar a continuació que els partits polítics, coalicions i agrupacions electorals podran utilitzar dades personals obtingudes en pàgines web i altres fonts d’accés públic per a la realització d’activitats polítiques durant el període electoral . Les possibilitats que ofereixen en l’actualitat el tractament massiu de dades mitjançant tècniques de big data, intel·ligència artificial requereixen prestar especial atenció a aquesta qüestió.
Més funcions per al Delegat de Protecció de Dades (DPD)
Amb algunes modificacions, la LOPDGDD manté la configuració del Delegat de Protecció de Dades (DPD), amb una novetat en el seu art. 37, relatiu a la “Intervenció del delegat de protecció de dades en cas de reclamació davant les autoritats de protecció de dades”, mitjançant el reconeixement del seu paper com a òrgan intermedi de control.
D’aquesta manera, quan el responsable o l’encarregat del tractament han designat un delegat de protecció de dades l’afectat podrà, amb caràcter previ a la presentació d’una reclamació contra aquells davant l’AEPD o, si s’escau, davant les autoritats autonòmiques de protecció de dades, dirigir-se al DPD de l’entitat contra la qual es reclami.
En aquest cas, el DPD comunicarà a l’afectat la decisió que s’hagués adoptat en el termini màxim de dos mesos a comptar de la recepció de la reclamació. És a dir, es configura com una autoritat de control, escenari que plantejaria problemes en aquells casos en què les AAPP hagin recorregut a la via de la contractació externa, via LCSP, per a l’exercici d’aquestes funcions, donada la reserva de l’exercici de les funcions públiques d’autoritat.
Xarxes socials i protecció de dades
La importància que han adquirit les xarxes socials en la vida quotidiana del conjunt de la societat segueix multiplicant-se de una manera exponencial, i la informació i dades personals que voluntàriament o involuntàriament s’exposen exigeixen adoptar una posició activa per a la seva protecció, que en el nostre ordenament encara està poc regulada.
La seva incorporació es produeix via art. 94, relatiu al “Dret a l’oblit en serveis de xarxes socials i serveis equivalents”, recollint el dret de tota persona a que siguin suprimits, amb la simple sol·licitud, les dades personals que hagués facilitat per a la seva publicació per serveis de xarxes socials i serveis de la societat de la informació equivalents, com les facilitades per tercers per a la seva publicació pels serveis de xarxes socials i serveis de la societat de la informació equivalents quan siguin inadequats, inexactes, no pertinents, no actualitzades o excessius o hagin esdevingut com a tals per el transcurs del temps, tenint en compte els fins per als quals es van recollir o tractar, el temps transcorregut i la natura i interès públic de la informació.
També s’incorpora el “Dret de portabilitat en serveis de xarxes socials i serveis equivalents”, en l’art. 95, gràcies al qual els usuaris de serveis de xarxes socials i serveis de la societat de la informació equivalents tindran dret a rebre i transmetre els continguts que haguessin facilitat als prestadors d’aquests serveis, així com al fet que els prestadors els transmetin directament a un altre prestador designat per l’usuari, sempre que sigui tècnicament possible.
Noves obligacions de transparència
No hi ha dubte de la connexió entre la transparència i la protecció de dades, com es pot comprovar en com afecta el RGPD al Portal de Transparència. Per aquest motiu la Disposició addicional segona de la LOPDGDD, relativa a la “Protecció de dades i transparència i accés a la informació pública” dugui a terme la modificació de la Llei 19/2013, de 9 de desembre, de Transparència, Accés a la informació Pública i Bon Govern (LTBG).
Assenyala la modificació que la publicitat activa i l’accés a la informació pública que regula la LTBG, així com les obligacions de publicitat activa establertes per la legislació autonòmica, se sotmetran, quan la informació contingui dades personals, al que disposen els articles 5.3 i 15 LTBG, RGPD i en la mateixa llei orgànica, modificant així mateix l’art. 15 LTBG per al seu ajust normatiu.
S’introdueixen, d’altra banda, noves obligacions en matèria de publicitat activa, en afegir un nou art. 6 bis, relatiu al “Registre d’activitats de tractament”, que estableix que els subjectes enumerats en l’article 77.1 LOPDGDD, publicaran el seu inventari d’activitats de Tractament en aplicació de l’article 31 de la mateixa.
Protecció de dades dels difunts
Encara que algunes CCAA ja s’havien endinsat a explorar la gestió de les dades de les persones mortes en l’entorn digital, no teníem encara d’un marc legal bàsic que permeti donar una resposta adequada a aquesta problemàtica. Amb aquesta finalitat s’incorpora en l’art. 3, relatiu a les “Dades de les persones mortes”, que preveu que les persones vinculades al mort per raons familiars o de fet així com els seus hereus podran dirigir-se al responsable o encarregat del tractament a fi de sol·licitar l’accés a les dades personals de aquella i, si escau, la seva rectificació o supressió.
Com a excepció, les persones a què fa referència el paràgraf anterior no podran accedir a les dades del causant, ni sol·licitar la seva rectificació o supressió, quan la persona morta ho hagués prohibit expressament o així ho estableixi una llei. Aquesta prohibició no afectarà el dret dels hereus a accedir a les dades de caràcter patrimonial del causant. Les persones o institucions a les que el mort hagués designat expressament per a això podran també sol·licitar, d’acord amb les instruccions rebudes, l’accés a les dades personals d’aquest i, si escau la rectificació o supressió.
També es contemplen les especialitats en el cas de mort de menors i de persones amb discapacitat. Al seu costat i com un dels drets digitals en l’art. 96, el “Dret al testament digital”.
Intermediació de dades en el procediment administratiu comú (LPAC)
Un dels temes més controvertits en la utilització de les Plataformes d’Intermediació de Dades (PID) per les AAPP en execució del princpio “once & only”, és la possible col·lisió entre l’art. 28 Llei 39/2015, d’1 d’octubre, del procediment administratiu comú de les administracions públiques (LPAC) i el RGPD, puix que aquest últim veta el consentiment tàcit que és, en certa mesura, el que recull aquest precepte en la redacció original.
Després de la modificació dels apartats 2 i 3 de l’art. 28 LPAC es manté el reconeixement als interessats del dret a no aportar documents que ja es trobin en poder de l’Administració actuant o que hagin estat elaborats per qualsevol altra Administració. L’administració actuant podrà consultar o demanar aquests documents llevat que l’interessat s’oposés a això, sense que hi hagi oposició quan l’aportació del document s’exigís en el marc de l’exercici de potestats sancionadores o d’inspecció. Per a això les AAPP hauran de demanar els documents electrònicament a través de les seves xarxes corporatives o mitjançant consulta a les plataformes d’intermediació de dades o altres sistemes electrònics habilitats a l’efecte. Les AAPP tampoc requeriran als interessats dades o documents no exigits per la normativa reguladora aplicable o que hagin estat aportats anteriorment per l’interessat a qualsevol Administració. La seva obtenció es realitzarà de la mateixa manera a l’anterior supòsit, llevat que consti en el procediment l’oposició expressa de l’interessat o la llei especial aplicable requereixi el seu consentiment exprés.
Aquesta nova redacció s’ha de llegir a la llum del que estableix la Disposició addicional vuitena, relativa a la “potestat de verificació de les Administracions Públiques”, que atorga aquesta legitimitat en assenyalar que quan es formulin sol·licituds per qualsevol mitjà en què l’interessat declari dades personals que estiguin en poder de les administracions públiques, l’òrgan destinatari de la sol·licitud podrà efectuar en l’exercici de les seves competències les verificacions necessàries per comprovar l’exactitud de les dades.
Novetats en el règim jurídic dels empleats (públics i no públics)
Els drets i llibertats relacionats amb el tractament de les dades personals dels treballadors i la salvaguarda de drets digitals en l’àmbit laboral, pot ser objecte de garanties addicionals en els termes que estableix l’art 91, relatiu als “Drets digitals en la negociació col·lectiva “, però com a garantia bàsica i mesura de protecció dels treballadors, es modifiquen les dues normes bàsiques que regulen les relacions laborals.
D’una banda, en la disposició final tretzena, es modifica el text refós de la Llei de l’Estatut dels Treballadors, aprovat per Reial Decret Legislatiu 2/2015, de 23 d’octubre, relatiu al seu dret a la intimitat en relació amb l’entorn digital ia la desconnexió. I, en idèntics termes, per al sector públic, en modificar la Llei de l’Estatut Bàsic de l’Empleat Públic, aprovat per Reial Decret Legislatiu 5/2015, de 30 d’octubre, afegint una nova lletra j bis) en l’art. 14, amb la disposició final catorzena. En ambdós casos, es recull el dret a la intimitat en l’ús de dispositius digitals posats a la seva disposició i enfront de l’ús de dispositius de videovigilància i geolocalització, així com a la desconnexió digital en els termes que estableix aquesta normativa.
Modificació de normes importants
A més de les esmentades normes que s’han citat, LOREG, LPAC i LTBG, s’introdueixen modificacions en altres rellevants normes que convé examinar:
- Disposició final quarta. Modificació de la Llei Orgànica 6/1985, d’1 de juliol, del poder judicial.
- Disposició final cinquena. Modificació de la Llei 14/1986, de 25 d’abril, general de sanitat.
- Disposició final sisena. Modificació de la Llei 29/1998, de 13 de juliol, reguladora de la jurisdicció contenciosa administrativa.
- Disposició final setena. Modificació de la Llei 1/2000, de 7 de gener, d’enjudiciament civil
- Disposició final vuitena. Modificació de la Llei Orgànica 6/2001, de 21 de desembre, d’Universitats.
- Disposició final novena. Modificació de la Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.
- Disposició final desena. Modificació de la Llei Orgànica 2/2006, de 3 de maig, d’educació.
Introducció dels Drets Digitals
S’incorpora un nou títol X, amb una nova regulació, relativa a la “Garantia dels drets digitals”, en la qual es recullen drets que introdueixen en l’ordenament jurídic aspectes necessaris per adaptar la norma a la societat actual l’activitat pivota en gran mesura en un entorn digital:
- Article 79. Els drets a l’ Era digital.
- Article 80. Dret a la neutralitat d’Internet.
- Article 81. Dret d’accés universal a Internet.
- Article 82. Dret a la seguretat digital.
- Article 83. Dret a l’educació digital.
- Article 84. Protecció dels menors a Internet
- Article 83 .Dret a l’educació digital.
- Article 84 .Protecció dels menors a Internet.
- Article 85. Dret de rectificació a Internet.
- Article 86. Dret a l’actualització d’informacions en mitjans de comunicació digitals.
- Article 87. Dret a la intimitat i ús de dispositius digitals en l’àmbit laboral.
- Article 88. Dret a la desconnexió digital en l’àmbit laboral
- Article 89. Dret a la intimitat enfront de l’ús de dispositius de videovigilància i de gravació de sons en el lloc de treball i Dret de rectificació a Internet
- Article 90. Dret a la intimitat davant la utilització de sistemes de geolocalització en l’àmbit laboral.
- Article 91. Drets digitals en la negociació col·lectiva.
- Article 92. Protecció de dades dels menors a Internet.
- Article 93. Dret a l’oblit en recerques d’Internet.
- Article 94. Dret a l’oblit en serveis de xarxes socials i serveis equivalents.
- Article 95. Dret de portabilitat en serveis de xarxes socials i serveis equivalents.
- Article 96. Dret al testament digital.
- Article 97. Polítiques d’impuls dels drets digitals.
Per tancar, simplement recordar que no tots els preceptes de la LOPDGDD gaudeixen de la protecció reforçada de la Llei Orgànica, ja que tal com assenyala la disposició final primera tenen naturalesa de llei ordinària: el títol IV, el Títol VII, llevat dels articles 52 i 53, que tenen caràcter orgànic, el Títol VIII, el títol IX, els articles 79, 80, 81, 82, 88, 95, 96 i 97 del Títol X, les disposicions addicionals, excepte la disposició addicional segona i la disposició addicional dissetena, que tenen caràcter orgànic, les disposicions transitòries i les disposicions finals, llevat de les disposicions finals primera, segona, tercera, quarta, vuitena, desena i setzena, que tenen caràcter orgànic.
