Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Las diferencias más destacables con el RGPD.
Parte I.
Hace una semana entró en aplicación la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Una suerte de trasposición del Reglamento General de Protección de Datos (RGPD/GDPR) que viene a derogar a la ley 15/1999 de protección de datos. La ley no supone excesivos cambios si la comparamos con el RGPD, pero si introduce algunas matizaciones y aspectos interesantes para cualquier empresa aún habiendo sido adaptada al RGPD.
- Uno de los cambios que mas afectan a toda empresa se da en los requisitos de información mínima que todo responsable debe aportar antes de empezar a recopilar datos. La Agencia Española de Protección de Datos, en su Guía para el cumplimiento del deber de informar aportaba la siguiente tabla donde se establece que información era obligatoria:
Si hiciéramos la misma tabla a partir del artículo 11.2 de la nueva LO 3/2018 obtendríamos que la información básica obligatoria ha sido reducida a la siguiente:
Responsable
(del tratamiento) |
Identidad del Responsable del Tratamiento y de su representante si lo hubiera (Empresas radicadas fuera de la UE) |
Finalidad
(del tratamiento) |
Descripción sencilla de los fines del tratamiento, incluida la elaboración de perfiles |
Derechos (de las personas interesadas) | Referencia al ejercicio de derechos, incluida la posibilidad de oposición a la elaboración de perfiles |
Por tanto, nada de informar en la “primera capa” sobre la legitimación del tratamiento que se vaya a realizar, tampoco ninguna referencia es necesaria sobre cesiones o transferencias internacionales, sin perjuicio de que esta información deba ser contenida en una política de privacidad especifica y a disposición de los interesados o de que se decida aportar mayor información de la legalmente exigida desde un primer momento.
- Otro de los cambios que afectan sobre todo a páginas web es la edad legal para consentir explícitamente el tratamiento de datos personales. En el RGPD se baraja una horquilla entre los 13 y 16 años y los Estados Miembros debían especificar que edad fijaban en cada territorio, por debajo de esa edad el consentimiento debía ser otorgado por padres, tutores o análogos.
En las discusiones de la nueva ley todo parecía que la edad de los menores en España se iba a fijar en los 13 años, finalmente ha sido 14 la edad elegida, equiparándonos a otros países como Austria o Italia, pero más baja que en otros países como Francia donde se establece un mínimo de 15 años.
- Los contactos entre profesionales, ya sean autónomos o trabajadores de una empresa se encuentra amparado en la nueva LOPD por el interés legítimo.
En normativas anteriores había discusión sobre si la información debía ser protegida por normativa de protección de datos, ya que son datos que generalmente se utilizan para la comunicación entre personas jurídicas y no físicas. Con la normativa en el estado actual hay que cumplir ciertos requisitos antes de recopilar una tarjeta de contacto, como puede ser aportar una información mínima, como hemos visto en párrafos anteriores, e incluso preocuparse de algún modo de poder demostrar en un futuro que la persona consintió explícitamente el tratamiento de datos.
En el siguiente artículo escribiremos, entre otras cosas, sobre las diferencias que se establecen en las evaluaciones de impacto y los nuevos casos donde es obligatoria la figura del Delegado de Protección de datos.
Miguel Herranz