Convenios_ClickDatos. ¿Cómo nos afecta la nueva LOPD?

Como ya informamos el pasado mes, ya está en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, cuyo texto completo puedes consultar al final de la noticia.

A continuación te presentamos un resumen de la misma y las principales novedades que se introducen en el ordenamiento español, en materia de protección de datos, como transposición de la normativa europea:

1.- Derecho a conocer el registro de actividades de tratamiento de datos personales de las organizaciones públicas

Los ciudadanos tienen derecho a conocer la relación de las actividades de tratamiento de datos personales que realizan las organizaciones públicas con las que se relacionan.
Estas organizaciones deben explicitar de forma clara y sencilla quién trata los datos personales, con qué finalidad se tratan y qué base jurídica legitima ese tratamiento.

2.- Derecho de los ciudadanos a ser informados sobre el ejercicio de sus derechos.

Los ciudadanos tienen derecho a ser informados del tratamiento de sus datos personales y de las vías para ejercer sus derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.
La forma de ejercer estos derechos debe ser fácilmente accesible para el ciudadano. Ninguna organización pública o privada puede denegar el ejercicio de estos derechos en el caso de que el ciudadano quiera ejercitarlos de un modo diferente al que se le ofrece.

3.- Verificación de datos personales de los ciudadanos por los órganos y organismos del Sector Público

Los órganos y organismos del Sector Público podrán verificar, sin necesidad de solicitar consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos y que obren en poder del Sector Público.

4.- Comunicación de datos personales de los ciudadanos a sujetos privados por los órganos y organismos del Sector Público

Los órganos y organismos del Sector Público pueden comunicar los datos personales de los ciudadanos a sujetos de derecho privado que lo soliciten:
a) cuando cuenten con el consentimiento de los ciudadanos,
b) o bien, cuando aprecien que concurre en el sujeto privado solicitante un interés legítimo que prevalezca sobre los derechos e intereses de los ciudadanos concernidos

5.- La aportación de documentación a los procedimientos administrativos por parte de los ciudadanos: modificación del artículo 28 de la Ley 39/2015

Ya la ley 30/1992 reconocía a los ciudadanos el derecho a no aportar a los procedimientos administrativos los documentos que obrasen en poder de la Administración, o que hubiesen sido elaborados por ésta. La base jurídica del tratamiento de los datos personales por la Administración era el consentimiento del ciudadano, que se entendía tácitamente concedido si el interesado no se oponía expresamente.

Tanto el Reglamento General de Protección de Datos como la nueva Ley Orgánica eliminan la necesidad de recabar el consentimiento del ciudadano, ni siquiera tácito, al establecer como base jurídica legitimadora principal del tratamiento de datos personales por órganos y organismos del Sector Público el cumplimiento de una misión en interés público o, en particularmente, el ejercicio de poderes públicos.
Asimismo, la nueva redacción otorgada por la Ley Orgánica al artículo 28 de la Ley 39/2015 reconoce al ciudadano la posibilidad de oponerse a que órganos y organismos del Sector Público consulten o recaben los citados documentos, pero en ese caso el ciudadano deberá aportarlos necesariamente para que la Administración pueda conocer que concurren en él los requisitos establecidos por la norma. En caso contrario no podrán estimar su solicitud, precisamente porque no habría demostrado los requisitos requeridos.
En todo caso, dicho derecho de oposición no juega en los casos de potestades de verificación o inspección

6. – Identificación de los ciudadanos en los actos administrativos

La nueva Ley impide el uso conjunto de apellidos, nombre y número completo del documento de identificación oficial de los ciudadanos en aquellos actos administrativos que vayan a ser objeto de publicación o notificación por medio de anuncios.
A partir de la entrada en vigor de la Ley Orgánica:
• Cuando un acto administrativo se deba de publicar se identificará a la persona mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias de su documento identificativo oficial.
• Cuando un acto administrativo se notifique mediante anuncios se identificará a la persona exclusivamente con el número de su documento identificativo.
En ambos casos, cuando la persona carezca de documento identificativo, se la identificará sólo mediante su nombre y apellidos.

7.- El consentimiento como base jurídica que legitima el tratamiento de datos personales de los ciudadanos

El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias bases jurídicas legitimadoras del tratamiento de datos personales por parte de las organizaciones privadas: relación contractual previa que contemple el tratamiento, consentimiento del ciudadano o interés legítimo que prevalezca sobre los derechos de las personas, entre otras.
Por tanto, en la actualidad, no resulta necesario que el particular consienta el tratamiento de sus datos personales si existe otra base jurídica que legitime el tratamiento.

En los casos en los que el consentimiento del ciudadano sea preciso por no existir otra base legitimadora, la Ley establece que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que una persona acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión.

Además, cuando se pretenda que el consentimiento del ciudadano legitime un tratamiento para una variedad de finalidades será preciso que conste de manera específica e inequívoca que el consentimiento se ha otorgado para todas ellas.
No podrá denegarse un contrato o la prestación de un servicio por el hecho de que la persona no consienta el tratamiento de sus datos personales para finalidades que no guarden relación con ese contrato o con la prestación de ese servicio

8.- Datos personales de personas fallecidas

Las personas vinculadas a un fallecido por razones familiares, o de hecho, o sus herederos pueden solicitar el acceso, la rectificación o supresión de los datos personales de la persona fallecida, salvo que ésta lo hubiese prohibido expresamente en vida o así lo establezca una ley.
Este apartado no estaba recogido en la ley de 1999, que dejaba en manos de los entidades y empresas prestadoras de servicios atender o no las solicitudes de borrado de perfiles de las personas fallecidas ante la petición de sus herederos. Esa omisión generó en el pasado situaciones conflictivas, especialmente en internet, al no poder tutelar la Agencia las peticiones que se realizaban.

9.- Menores

 Consentimiento y derechos: Se mantiene en 14 años la edad mínima en la que el menor puede dar su consentimiento para que se traten sus datos personales. Los titulares de la patria potestad podrán seguir ejercitando en nombre de los menores de 14 años los derechos de acceso, rectificación, supresión, oposición u otros que pudieran corresponderles en el contexto de la protección de sus datos
personales.
En el caso del derecho de supresión, si una persona lo ejercitase respecto a datos que hubiesen sido facilitados, por él mismo o por terceros, a redes sociales u otros servicios de la sociedad de la información durante su minoría de edad, el prestador deberá suprimir esos datos a su simple solicitud.
 Educación digital: La AEPD ha impulsado que se estableciera en la nueva Ley la enseñanza en las escuelas del uso responsable de las nuevas tecnologías. La Ley refuerza, de manera particularmente destacada, las obligaciones del sistema educativo para garantizar la plena inserción del alumnado en la sociedad digital y en el aprendizaje de un uso de los medios digitales que sea seguro y adecuado para garantizar su privacidad, incluyendo una formación específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia.
El Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las Administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.
 Difusión de datos: Se contemplan medidas para la protección de los datos de los menores en la Red, indicando que los padres, madres o representantes legales procuren que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales. También prevé la intervención del Ministerio Fiscal cuando la utilización o difusión de imágenes o datos personales de menores en redes  sociales o servicios de la sociedad de la información puedan implicar una intromisión ilegítima en sus derechos.

10.- Inclusión en sistemas de información de solvencia crediticia (“ficheros de morosos”)

Los ciudadanos podrán ser incluidos en los sistemas de información de solvencia crediticia cuando mantengan una deuda de más de 50 euros con algún prestador de servicios (la ley anterior no establecía ninguna cuantía mínima).
Los ciudadanos no podrán mantenerse registrados en estos sistemas más de 5 años, contados desde la fecha de vencimiento de la obligación de pago (la ley anterior establecía un plazo de 6 años).
La Ley establece que se podrán consultar estos sistemas de información:
 cuando quien consulte tenga una relación contractual con la persona y esta relación implique el abono de una cuantía concreta,
 cuando la persona hubiera solicitado financiación, pago aplazado o facturación periódica.
Si como consecuencia de la consulta realizada se denegase la solicitud de celebración del contrato o éste no llegase a celebrarse, quien haya consultado deberá informar al afectado del resultado de la consulta.

11.- Limitación de la actividad publicitaria de las empresas: las “listas Robinson”

Los ciudadanos pueden registrarse en los sistemas de exclusión publicitaria (las conocidas como “Listas Robinson” www.listarobinson.es) para evitar la publicidad no deseada a través de los canales postal, telefónico o electrónico. Los ciudadanos registrados en las Listas Robinson solo recibirán publicidad de las empresas que hayan autorizado.

12.- Derechos de los empleados 

La Ley garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de manera expresa, clara e inequívoca.

13. -Derecho al olvido en redes sociales y otros servicios equivalentes

Cualquier ciudadano puede solicitar que se supriman los datos que él mismo ha publicado en redes sociales y otros servicios de la sociedad de la información equivalentes.
Cualquier ciudadano puede solicitar que se supriman los datos que le conciernan y que hayan sido facilitados por terceros para su publicación en estos mismos servicios:
– porque resulten inadecuados, inexactos, no pertinentes, no actualizados o excesivos, o hubieren devenido tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información, o bien, – porque el ciudadano pueda invocar la prevalencia de sus derechos sobre el mantenimiento de esos datos.

Los ciudadanos no tendrán derecho a la supresión de dichos datos cuando hayan sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

14.- Presentación de reclamaciones ante organizaciones que cuenten con Delegado de Protección de Datos (DPD)

Cuando las organizaciones hubieran designado un Delegado de Protección de Datos (DPD), los ciudadanos podrán, antes de presentar una reclamación ante la Agencia, dirigirse al DPD para que la atienda. El DPD comunicará al ciudadano la decisión que se hubiera adoptado en el plazo máximo de dos meses.
Asimismo, cuando el ciudadano presente una reclamación ante la Agencia ésta podrá remitir la reclamación al responsable del tratamiento de datos o al DPD si lo hubiera para que éste responda en el plazo de un mes.
Con ello, se persigue que el ciudadano pueda obtener una resolución rápida del conflicto planteado.

Fuente: AEPD


Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. [Leer+]


Para adaptar tu empresa a la Nueva LOPD recuerda que el Colegio tiene suscrito un convenio de colaboración para beneficio de nuestros colegiados:

 

CONVENIOS LOPD CLICKDATOS_COIAAB