Novetats

Obligació d'informació als ciutadans sobre el tractament de les seves dades i sobre l'exercici dels seus drets

Les organitzacions queden obligades a informar els ciutadans de forma clara i senzilla sobre els aspectes més importants del tractament de les seves dades, identificant qui tracta les dades, amb quina base jurídica, per a quina finalitat, i sobre la forma d'exercir els drets d'accés, rectificació, supressió, limitació del tractament, portabilitat, oposició i decisions automatitzades, inclosa l'elaboració de perfils. 

Les organitzacions no podran denegar l'exercici d'aquests drets en el cas que el ciutadà vulgui exercir-los d'una manera diferent a la que se li ofereixi. 

Designació d'un Delegat de Protecció de Dades (DPD) i comunicació de la designació a l'Agència Espanyola de Protecció de Dades (AEPD)

La Llei obliga a les organitzacions les activitats principals de les quals consisteixin en tractaments que requereixin una observació habitual i sistemàtica dels ciutadans a gran escala, o en el tractament a gran escala de categories especials de dades personals, o dades relatives a condemnes i infraccions penals a designar un Delegat de Protecció de Dades que compti amb la deguda qualificació, a garantir-li els mitjans necessaris per a l'exercici de les seves funcions i a notificar la designació a l'AEPD per a la seva inclusió en el Registre públic de Delegats de Protecció de Dades. 

En la resta dels supòsits, la designació d'un Delegat de Protecció de Dades serà voluntària. 

El Delegat de Protecció de Dades no té responsabilitat a títol personal, per aquest mer fet, per les possibles infraccions en matèria de protecció de dades comeses per la seva organització. 

Intervenció del Delegat de Protecció de Dades en la resolució de reclamacions

El Delegat de Protecció de Dades ha de rebre les reclamacions que li dirigeixin els ciutadans, quan optin per aquesta via abans de plantejar una reclamació davant l'AEPD, i comunicarà la decisió adoptada al particular en el termini màxim de dos mesos. 

Així mateix, el Delegat haurà de rebre les reclamacions que l'AEPD decideixi traslladar-li amb caràcter previ a l'inici d'un expedient sancionador. El Delegat ha de comunicar la decisió adoptada a l'AEPD en el termini màxim d'un mes. 

D'aquesta forma, amb caràcter general, si el Delegat de Protecció de Dades aconsegueix que el responsable resolgui per qualsevol d'aquestes dues vies la reclamació, i sense perjudici que l'interessat posteriorment es dirigeixi a l'AEPD, no s'iniciaria expedient de declaració d'infracció a aquesta Administració Pública. 

Les bases jurídiques que legitimen el tractament de dades personals dels ciutadans per part de les organitzacions

El Reglament General de Protecció de Dades i la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD) recullen diverses bases jurídiques legitimadores del tractament de dades personals per part de les organitzacions privades: relació contractual prèvia que contempli el tractament, consentiment del ciutadà o interès legítim que prevalgui sobre els drets de les persones, entre altres. 

Per tant, en l'actualitat, no resulta necessari que el particular consenti el tractament de les seves dades personals si existeix una altra base jurídica que legitimi el tractament. 

En els casos en els quals el consentiment del ciutadà calgui per no existir una altra base legitimadora, la Llei estableix que ha de ser una manifestació de voluntat lliure, específica, informada i inequívoca per la qual una persona accepta el tractament de les seves dades personals, ja sigui mitjançant una declaració o una clara acció afirmativa. S'exclou el consentiment tàcit o per omissió. 

A més, quan es pretengui que el consentiment del ciutadà legitimi un tractament per a una varietat de finalitats, caldrà que consti de manera específica i inequívoca que aquest consentiment s'atorga per a totes elles. 

No podrà denegar-se un contracte o la prestació d'un servei pel fet que la persona no consenti el tractament de les seves dades personals per a finalitats que no guardin relació amb aquest contracte o amb la prestació d'aquest servei. 

Tractament de dades de menors d'edat

En el cas de dades personals de menors, quan el tractament de dades estigui legitimat pel consentiment, l'organització ha de recaptar el consentiment del menor quan aquest tingui almenys 14 anys; i el dels pares o els seus representants legals en el cas que sigui menor de 14 anys. 

Limitació de l'activitat publicitària: les “llistes Robinson”

Les entitats que vagin a realitzar una campanya publicitària han de consultar amb caràcter previ les “llistes Robinson” per evitar l'enviament de publicitat a tots els ciutadans que s'hagin registrat en elles. 

No caldrà realitzar aquesta consulta en el cas dels ciutadans que hagin donat el seu consentiment per a rebre publicitat d'una entitat, tant si el van donar abans com si ho van fer després de registrar-se en aquesta llista. 

Drets dels empleats: major intimitat

La LOPDGDD garanteix el dret a la intimitat dels empleats en el lloc de treball enfront de l'ús de dispositius de videovigilància i d'enregistrament de sons, així com enfront de l'ús dels dispositius digitals i sistemes de geolocalització, dels quals hauran de ser informats de forma expressa, clara i inequívoca. 

Dades de contacte professionals: legitimació del seu tractament

La Llei permet utilitzar les dades personals de contacte de les persones que presten serveis en una entitat, així com dels professionals (advocats, metges, etc.) i dels empresaris individuals, sempre que es tractin amb la finalitat de mantenir contacte amb l'entitat en la qual presten els seus serveis o d'establir contacte amb finalitats professionals o empresarials. 

Sistemes de denúncies internes: exempció de responsabilitat penal de les organitzacions

La Llei recull els sistemes de denúncia interna, fins i tot anònima, com a mecanisme perquè els integrants d'una organització puguin posar en el seu coneixement la comissió d'infraccions que poguessin resultar contràries a la normativa general o sectorial que li fos aplicable. 

Inclusió en sistemes d'informació de solvència creditícia (“fitxers de morosos”)

Els ciutadans podran ser inclosos en els sistemes d'informació de solvència creditícia quan mantinguin un deute de més de 50 euros amb algun prestador de serveis (la llei anterior no establia cap quantia mínima). 

Els ciutadans no podran mantenir-se registrats en aquests sistemes més de 5 anys, comptats des de la data de venciment de l'obligació de pagament (la llei anterior establia un termini de 6 anys). 

La Llei estableix que es podran consultar aquests sistemes d'informació: 
  • quan qui consulti tingui una relació contractual amb la persona i aquesta relació impliqui l'abonament d'una quantia concreta,
  • quan la persona hagués sol·licitat finançament, pagament ajornat o facturació periòdica.
Si com a conseqüència de la consulta realitzada es denegués la sol·licitud de celebració del contracte o aquest no arribés a celebrar-se, qui hagi consultat haurà d'informar l'afectat del resultat de la consulta. 

Novetats sobre videovigilància 

Captació de la via pública: Només podran captar-se imatges de la via pública quan resulti imprescindible per a preservar la seguretat de les persones i els béns, així com de les seves instal·lacions. 

No obstant això, serà possible la captació de la via pública en una extensió superior quan fos necessari per a garantir la seguretat de béns o instal·lacions estratègiques o d'infraestructures vinculades al transport, sense que en cap cas pugui suposar la captació d'imatges de l'interior d'un domicili privat. 

Supressió de les dades: Les dades seran suprimides en el termini màxim d'un mes des de la seva captació, excepte quan haguessin de conservar-se per a acreditar la comissió d'actes que atemptin contra la integritat de persones, béns o instal·lacions. En tal cas, les imatges hauran de ser posades a la disposició de l'autoritat competent en un termini màxim de 72 hores des que es tingués coneixement de l'existència de l'enregistrament. 

Deure d'informació: El deure d'informació en el cas de videovigilància es complirà col·locant un dispositiu informatiu en un lloc prou visible que identifiqui, almenys, l'existència del tractament, la identitat del responsable i la possibilitat d'exercitar els drets. També podrà incloure's en el dispositiu informatiu un codi de connexió o adreça d'internet a aquesta informació. 

En tot cas, el responsable del tractament haurà de mantenir a la disposició dels ciutadans la informació especificada en el punt 1 d'aquest document. 

Operacions mercantils

La Llei estableix que es presumiran lícits els tractaments de dades, inclosa la seva comunicació amb caràcter previ, que poguessin derivar-se del desenvolupament de qualsevol operació de modificació estructural de societats o l'aportació o transmissió de negoci o de branca d'activitat empresarial, sempre que els tractaments anessin necessaris per a la bona fi de l'operació i garanteixin, quan escaigui, la continuïtat en la prestació dels serveis. 

En el cas que l'operació no arribés a concloure's, l'entitat cessionària haurà de procedir amb caràcter immediat a la supressió de les dades, sense que sigui aplicable l'obligació de bloqueig. 

L'obligació de bloqueig de les dades personals després de l'exercici dels drets de rectificació o supressió

El responsable del tractament, quan escaigui a la rectificació o supressió de les dades, està obligat a bloquejar-les; és a dir, a identificar-les i reservar-les mitjançant tècniques que impedeixin el seu tractament, visualització inclosa. 

Quan el bloqueig d'aquestes dades no fos tècnicament possible o resultés no econòmic, es procedirà a un copiat segur de la informació per deixar-ne constància evidència digital, o d'una altra naturalesa, que permeti acreditar l'autenticitat de la informació, la data del bloqueig i la no manipulació de les dades. 

El bloqueig de les dades personals només permetrà la seva posada a la disposició de jutges i tribunals, Ministeri Fiscal o Administracions públiques competents (com l'AEPD), per a l'exigència d'eventuals responsabilitats derivades del tractament i només pel termini de prescripció d'aquestes. Transcorregut aquest termini, haurà de procedir-se a la destrucció de les dades. 

Tractament de dades personals en la notificació d'incidents de seguretat

Les autoritats públiques, els equips de resposta a emergències informàtiques (CERT), els equips de resposta a incidents de seguretat informàtica (CSIRT), els proveïdors de xarxes i serveis de comunicacions electròniques i els proveïdors de tecnologies i serveis de seguretat poden tractar les dades personals contingudes en les notificacions d'incidents de seguretat exclusivament durant el temps i abast necessaris per a la seva anàlisi, detecció, protecció i resposta, adoptant sempre les mesures de seguretat adequades i proporcionades al nivell de risc. 

Adaptació a la LOPDGDD dels contractes per encàrrec de tractament de dades personals

Els contractes per encàrrec de tractament de dades personals entre les organitzacions (com a responsables) i tercers (com a encarregats de tractament) subscrits abans del 25 de maig de 2018 mantindran la seva vigència com a màxim fins al 25 de maig de 2022. 

Tractament de dades personals en recerca sanitària

La nova LOPDGDD flexibilitza el tractament de dades per a la recerca en salut: 
  • amplia les finalitats per a les quals es pot atorgar el consentiment al tractament,
  • recull la possibilitat de reutilitzar la informació sobre la qual ja s'hagi prestat consentiment amb anterioritat,
  • recull l'ús de dades pseudo-anonimitzades com una opció per a facilitar la recerca sanitària incloent garanties per a evitar la re-identificació dels afectats,
  • regula les garanties d'aquest tractament, incloent la intervenció dels Comitès d'Ètica de la Recerca o, en defecte d'això, del Delegat de Protecció de Dades o d'un expert en protecció de dades personals.
Modificació de la Llei 3/1991, de 10 de gener, de Competència Deslleial: pràctiques agressives

Es recull com a pràctica agressiva en la Llei de Competència Deslleial la suplantació d'identitat de l'Agència Espanyola de Protecció de Dades o de les seves funcions i l'assessorament conegut com a “adaptació al Reglament amb cost 0”, a fi de limitar els assessoraments oferts per empreses amb serveis d'ínfima qualitat.