Ir al contenido principal

Etiqueta: datos

Aprobada la norma que refuerza los derechos digitales de la ciudadanía: Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

Escrito por especialistasweb en . Publicado en Procesal y Arbitraje, Publicaciones, TIC.

Buenos tiempos para la protección de datos y garantía de los derechos digitales. Desde el 7 de diciembre de 2018 se encuentra en vigor la nueva Ley que los regula y garantiza.

Se trata de la Ley Orgánica  3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE 06.12.2018). Norma que, acorde a las exigencias europeas, deviene necesaria para adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo de 27.04.2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (de aplicación directa desde el 25.05.2018). Clara manifestación de los avances y de la reforma del marco jurídico que en los últimos tiempos se ha se llevado a cabo para procurar seguridad jurídica y lograr, en suma, una protección eficaz y adecuada de los datos de carácter personal[1].

Pues bien, en esta labor, la Ley que ahora nos ocupa  introduce novedades al complementando sus disposiciones, a la par que garantiza los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución, incidiendo en aspectos jurídico constitucionales de la tutela de tal derecho. Norma que, a todas luces, constituye un nuevo hito legislativo en la evolución de la regulación del derecho fundamental a la protección de datos en nuestro país

Dicho lo anterior, ponemos el foco de  atención en su “Título X”.

Título el citado, del que resulta de interés subrayar en primer término que, pese a no aparecer en el proyecto de ley remitido por el Gobierno al Congreso en noviembre de 2017, finalmente fue incorporado en el Texto, acometiendo la tarea, tal y como expone el Preámbulo, de “reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución”.

En efecto, bajo la rúbrica “Garantía de los derechos digitales” se obtiene el resultado de un exitoso Título que integra los artículos 79 al 97, en los que se abordan derechos que van mucho más allá de la protección de datos personales. En suma:

.           Derechos generales de los ciudadanos en internet (arts.79 a 82). Con referencia a los derechos en la era digital, declarando expresamente que los derechos y libertadas consagrados en la Constitución y en los Tratados y Convenios Internaciones en que España sea parte son plenamente aplicables en internet; refiriendo a su vez al derecho a la neutralidad de internet y acceso universal. (i) Así, en lo que respecta al acceso universal, será posible con esta nueva ley obtener un bono social para facilitar el acceso a la red de toda la población; tratándose ésta de una de las medidas de mayor alcance social que prevé la norma, tratándose de un acceso universal, asequible, de calidad y no discriminatorio para ninguno de los sectores, procurando a su vez la superación de las brechas de género y generacional. (ii) El derecho a la neutralidad de internet; derecho con el que los proveedores deben proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos. (iii) El derecho a la seguridad digital permitirá a los usuarios su derecho a la seguridad de las comunicaciones que transmiten y reciban a través de internet.

.           Derechos específicos relacionados con la educación digital, así como a la protección de los menores en internet y a los datos de los mismos (arts.83,84,92). Ámbito éste en el que más bien parecen fijarse obligaciones. Así:(i) En relación a la educación digital, se establece la necesidad de garantizar en el ámbito educativo un uso seguro de los medios digitales, con respeto a los derechos y valores que propugna nuestra Constitución tales como la dignidad humana, los derechos fundamentales, en particular el respeto y la garantía de la intimidad personal y familiar, así como la protección de datos personales. (ii) En lo que respecta a la protección de los menores en internet, se fija en la ley como edad idónea para su consentimiento válido en el tratamiento de datos personales la de catorce años, previéndose a su vez que la utilización o difusión de imágenes de menores en las redes sociales y servicios de la sociedad de la información equivalente, que pueda implicar una intromisión ilegítima en sus derechos fundamentales, determinará la intervención del Ministerio Fiscal.

.           Derechos relacionados con el ámbito laboral (arts.87 a 91). Conviene recordar en este contexto la existencia de pacífica jurisprudencia que impedía a los empresarios dar instrucciones a sus empleados fuera de las horas de trabajo. De ahí el interés que revierte el nuevo texto legal cuando, en relación a los derechos relacionado en este ámbito (así como en el funcionarial o administrativo laboral), recoge: (i) El derecho a la protección de su intimidad en el uso de dispositivos digitales puestos a disposición por el empleador; si bien se permite el acceso a los contenidos de los dispositivos digitales facilitados a sus trabajadores con fines de control del cumplimiento de las obligaciones laborales, previo cumplimiento de los requisitos fijados por la ley. (ii) El derecho a la desconexión digital en el ámbito laboral a fin de garantizar el respeto a su tiempo de descanso, permisos y vacaciones e intimidad personal y familiar. (iii) El derecho a la intimidad frene al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, a salvo supuestos que excepcionalmente recoge la norma. (iv) El derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral. (v) Los derechos digitales en la negociación colectiva, pudiendo por tanto los convenios colectivos establecer garantías adicionales.

.           Derechos relacionados con los medios de comunicación digitales (arts. 85,96). (i) Con el reconocimiento del derecho a la rectificación en internet,  todos tienen derecho a la libertad de expresión en internet; debiendo los responsables de redes sociales y servicios equivalentes adoptar protocolos adecuados para posibilitar el ejercicio del derecho de rectificación, según los requisitos legales exigidos. En conexión con lo dicho, se reconoce el derecho a la actualización de informaciones en medios de comunicación digital. (ii) Por otro lado, el derecho al testamento digital, tratándose éste de un derecho que permitirá a los ciudadanos designar en sus testamentos a sus herederos digitales a fin de reclamar ante las empresas la información colgada por el finado.

.           Derecho al olvido en búsquedas de internet y en servicios de redes sociales y servicios equivalentes (arts.93,94). Derechos que asisten al ciudadano en la defensa de su intimidad, privacidad y protección de sus datos en la red; de tal manera que este derecho al olvido permite al usuario reclamar datos presentes en internet así como en servicios de redes sociales y servicios de la sociedad de la información equivalentes, también en buscadores con información obsoleta o no actualizada. Y siendo posible efectuar dicha petición de eliminación de la información cuando los datos ya no sean necesarios para la finalidad para la que fueron recogidos o el usuario interesado retira su consentimiento para que se sigan usando esos datos; asimismo cuando los datos se hayan obtenido o tratado de forma ilícita. Quedando a salvo lo dicho, cuando prevalezca el derecho a la libertad de expresión o información, o por razón de interés público.

.           Derecho a la portabilidad en servicios de redes sociales y servicios equivalentes (art. 95). Se trata en este caso del derecho a la portabilidad de los datos que le incumban y que se haya facilitado a un responsable de tratamiento.

.           Las políticas de impulso de los derechos digitales (art.97) cierran el Título, de manera tal que el Gobierno, en colaboración con las Comunidades Autónomas, elaborarán un “Plan de Acceso a Internet” y un “Plan de Actuación”, orientados y dirigidos ambos en los términos que el precitado artículo establece; y con la necesaria presentación por parte del Gobierno de un informe anual ante la comisión parlamentaria correspondiente del Congreso de los Diputados en el que se dará cuenta de la evolución de los derechos, garantías y mandatos contemplados en el presente Título y de las medidas necesarias para promover su impulso y efectividad.

Llegados a este punto, concluimos con nueva cita al Preámbulo de la Ley Orgánica que nos ocupa, cuando refiere a que “…, una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de derechos digitales”; en sintonía con el refuerzo que de los mismos viene efectuando en los últimos años el marco normativo de la Unión Europea.

 

María Luisa Vilela Pascual

Abogada GC Legal

[1] Resulta significativa en este contexto una interesante sentencia de 15.12.1983 del tribunal constitucional federal de la república alemana sobre el censo de población de Alemania de 1982, que afirmaba que la proliferación de bases de datos había permitido, gracias a los avances tecnológicos, obtener “una imagen total y pormenorizada de la persona incluso en el ámbito de su intimidad, convirtiéndose así el ciudadano en hombre de cristal”.

 

El nuevo RGPD y las entidades deportivas

Escrito por especialistasweb en . Publicado en Publicaciones.

El  6 de Abril de 2016, la Unión Europea acordó la reforma de su política de protección de datos, instrumentalizada en la aprobación de un nuevo paquete legislativo entre cuyas medidas se incluye la aprobación del Reglamento general de protección de datos 679/2016, en adelante “RGPD”, que introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea.

El Reglamento entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta el 25 de mayo de este año. Hasta esa fecha, tanto la Directiva 95/46 como la normativa nacional vigente en esta materia, en nuestro país la LOPD y el RD 1720/2007, siguen siendo plenamente válidas y aplicables. Por tanto, se aproxima la fecha de aplicación del RGPD y los organismos públicos, empresas y, por supuesto, las federaciones deportivas y diversas entidades deportivas deberían estar finalizando las diversas tareas de actualización y adaptación de sus políticas y protocolos de protección de datos a las nuevas directrices que establece el Reglamento.

En líneas generales, el nuevo Reglamento trata de reforzar la protección del derecho de  las personas  a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros. Esa armonización de la normativa de protección de datos coadyuva a la consecución de un verdadero mercado único digital, al garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE. Las novedades que incorpora este Reglamento exigen para la mayoría de países una concienzuda reforma de sus respectivas legislaciones vigentes en esta materia, de ahí el periodo transitorio de dos años para su entrada en vigor. En nuestro caso, debemos reseñar que el Consejo de Ministros aprobó el 10 de Noviembre de 2017 el proyecto de la nueva LOPD que actualmente se encuentra en fase de tramitación parlamentaria y será difícil que pueda aprobarse antes del 25 de Mayo de 2018.

Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del próximo 25 de Mayo.

Tratando de sintetizar las principales novedades y actuaciones que exige el nuevo RGPD, a continuación detallamos las principales cuestiones que, en nuestra opinión, las entidades deportivas deberán tener en cuenta para cumplir con la aplicación del RGPD:

  • Consentimiento: No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.

 

  • Transparencia e información a los interesados: Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos. Concretamente, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. Recordemos que nuestra LOPD, sólo exige que se preste de forma expresa, precisa e inequívoca.

Concretando se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia. El nuevo RGPD establece el contenido mínimo que debe ofrecerse: fines para los que se está recabando el consentimiento, intención de transferencias internacionales, identificación del Delegado de protección de datos, perfiles, etc.

  • Reconocimiento de nuevos derechos: A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la LOPD, se reconoce a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario Se debería incidir en la adaptación de los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Igualmente las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.

 

  • Medidas de responsabilidad proactiva: El nuevo RGPD no establece medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos: 1) análisis de riesgos, protección de datos desde el diseño y por defecto; 2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad; 3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD; 4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

 

  • Delegado de protección de datos: Destacamos de forma independiente una de las medidas “estrella” de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental en la reforma iniciada por el nuevo RGPD europeo puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. El RGPD establece una serie de entidades en las que será obligatoria la presencia de un DPD, entre las que debemos incardinar a las federaciones deportivas o los clubes deportivos por tener entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados.

 

El DPD mantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones, debiendo el encargado o el responsable del tratamiento facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. Será designado por sus cualidades profesionales y conocimientos especializados en esta materia, pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios. En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD redactó un esquema de certificación de Delegados de Protección de Datos con este objeto.

Otros aspectos como el establecimiento de los trece años como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos, la transferencia de datos a nivel internacional o el régimen sancionador que prevé para los supuestos muy graves la imposición de multas administrativas de hasta veinte millones de euros o del 4% del volumen del negocio anual total si se trata de una empresa, reiteran la apuesta de la UE por este nuevo marco de protección de datos único para todos los Estados miembro.

En estos tres meses que restan para la aplicación del RGPD, salvo aprobación del nuevo proyecto de LOPD que actualmente se encuentra actualmente en fase de debate parlamentario, estas directrices, genéricas e interpretables en muchos casos, serán de obligado cumplimiento para todas aquellas entidades o federaciones deportivas cuyo obtención, tratamiento y protección de los datos que utilizan en el desempeño de su actividad cotidiana, y en consecuencia deben finalizar sus trabajos de adaptación para cumplir con las medidas enumeradas y no cometer ninguna infracción que derive en sanciones pecuniarias cuyo importe puede llegar a ser muy elevado.  Es importante reseñar que en el supuesto en el que no se apruebe el proyecto de nueva Ley Orgánica de Protección de datos antes del 25 de Mayo de 2018, el RGPD entrará directamente en vigor coexistiendo con aquellos artículos de la LOPD actual y su Reglamento de desarrollo que no se opongan en su redactado a lo estipulado por el Reglamento, generando graves problemas de inseguridad jurídica a entidades y ciudadanos.  Como referencia, señalar que a fecha 24 de Enero del presente año, únicamente Austria y Alemania han finalizado sus procedimientos legislativos de adaptación a la nueva normativa comunitaria.

Por eso recomendamos a todas aquellas entidades deportivas que no hayan iniciado ningún trabajo de adaptación al nuevo RGPD, concierten convenios de colaboración empresarial con expertos en “data compliance”, como es el caso de GC Legal, con objeto de implementar a la mayor brevedad posible las principales tareas de adaptación al nuevo RGPD.

Alfredo Olivares Aragón