Març 2019

Les 10 claus de la nova Llei orgànica de protecció de dades i garantia dels drets digitals

Guies i Ajudes

Amb efecte des del 7 de desembre de 2018, s’ha publicat al BOE la nova Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals, que entre altres novetats regula els nous drets digitals en l’àmbit laboral (dret a la intimitat dels treballadors en l’ús de dispositius digitals, dret a la desconnexió, a l’ús de videovigilància, a l’enregistrament de sons o la geolocalització), així com els sistemes d’informació de denúncies internes, els sistemes d’exclusió publicitària i els drets de les persones interessades (accés, rectificació, supressió o dret a l’oblit; limitació, oposició i portabilitat), inclòs també el dret a l’oblit en les cerques a Internet i xarxes socials i el dret a la portabilitat en xarxes socials. També afegeix un catàleg de nous drets denominats conjuntament “drets digitals” (com el dret al testament digital, dret a l’actualització d’informacions en mitjans de comunicació digitals, etc.).

Aquesta nova Llei deroga la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), i deroga també el Reial decret llei 5/2018, de 27 de juliol, de mesures urgents per a l’adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, que es va dictar amb caràcter d’urgència perquè es pogués aplicar a Espanya el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, ja que encara no s’havia aprovat la nova Llei.

La nova Llei afecta totes les persones físiques i jurídiques establertes o no en territori de la UE que tractin dades personals de persones físiques que es trobin a la UE, respecte a qualsevol tractament automatitzat, de manera total o parcial, de dades personals i al tractament no automatitzat de dades personals contingudes en un fitxer o destinades a incloure-s’hi.

Quines 10 claus introdueix la nova Llei respecte al RGPD i els drets digitals?

  1. Testament digital
    • Un dels aspectes nous inclosos en la nova normativa és que es reconeix específicament el dret d’accés i, si escau, de rectificació o supressió per part de les persones que tinguessin vinculació amb persones mortes per raons familiars o de fet i els seus hereus. La mesura limita l’exercici d’aquests drets quan el mort ho hagi prohibit.
    • En cas de menors i de persones amb discapacitat aquestes facultats s’amplien als representants legals, al Ministeri Fiscal i a les persones designades per a funcions de suport.
    • Mitjançant el Reial decret s’establiran els requisits i les condicions que acreditin la validesa i la vigència d’aquests drets i instruccions de la persona morta sobre l’exercici d’aquests drets.
  2. Menors d’edat

    3. Quant als menors, la Llei fixa en 14 anys l’edat a partir de la qual es pot prestar consentiment de manera autònoma. També es regula expressament el dret a sol·licitar la supressió de les dades que el menor o tercers durant la minoria d’edat d’aquest hagin facilitat a xarxes socials o altres serveis de la societat de la informació.

  3. Tractament de dades de naturalesa penal

    4. Fora dels casos del RGPD, aquests tractaments de dades només seran possibles quan els duguin a terme advocats i procuradors i tinguin per objecte recollir informació facilitada pels seus clients perquè puguin exercir les seves funcions.

  4. Sistemes d’informació creditícia (els coneguts com a fitxers de morosos)

    5. Una altra novetat és la referida a la regulació dels sistemes d’informació creditícia (els coneguts com a fitxers de morosos), que redueixen de 6 a 5 anys el període màxim d’inclusió dels deutes i en els quals s’exigeix una quantia mínima de 50 euros (l’import dels quals es pot actualitzar mitjançant Reial decret) per incorporar els deutes als sistemes esmentats. Amb la llei anterior no hi havia una quantitat mínima.

    Només les persones que mantinguin una relació contractual amb el deutor o si aquest ha sol·licitat la subscripció d’un contracte que impliqui finançament, pagament ajornat o facturació periòdica podran consultar les dades del deutor.

  5. Operació de modificació estructural de societats o aportació o transmissió de negoci o branca d’activitat

    6. S’estableix que són lícits els tractaments de dades que derivin de qualsevol operació de modificació estructural de societats o aportació o transmissió de negoci o branca d’activitat empresarial quan els tractaments siguin necessaris per finalitzar correctament l’operació i garanteixin, quan escaigui, la continuïtat en la prestació de serveis.

    L’entitat cessionària ha de suprimir les dades amb caràcter immediat sense aplicar l’obligació de bloqueig quan l’operació no s’arribi a finalitzar.

  6. Captació d’imatges
    • Es permet la captació d’imatges de la via pública a través de càmeres o videocàmeres amb la finalitat de preservar la seguretat de les persones, els béns i les instal·lacions quan això sigui imprescindible per a aquesta finalitat.
    • Aquesta captació es pot ampliar a una extensió superior amb el límit de les imatges de l’interior d’un domicili privat quan sigui necessari per garantir la seguretat dels béns o les instal·lacions estratègics o les infraestructures vinculades al transport.
    • Aquestes dades s’han de suprimir sense obligació de bloqueig en el termini d’un mes des de la seva captació, excepte en cas que les dades s’hagin de conservar per acreditar la comissió d’actes que atemptin contra la integritat de les persones, els béns o les instal·lacions.
    • En cas d’obligació de conservació de les dades, en el termini màxim de 72 hores des que es tingui coneixement de l’existència de l’enregistrament, s’han de posar a disposició de l’autoritat competent.
  7. Sistemes de denúncies internes
    • Regulació d’un mecanisme de denúncies internes, anònimes o no, que permet a les empreses posar en coneixement d’una entitat privada la comissió d’actes o conductes que puguin ser contraris a la normativa.
    • Només podran accedir aquestes dades les persones que duguin a terme funcions de control intern i de compliment. Tanmateix, quan sigui necessari per adoptar mesures disciplinàries o per tramitar procediments judicials, també és lícit que hi accedeixin altres persones o fins i tot que es comuniquin a tercers.
    • És obligació dels responsables:
      • Adoptar les mesures necessàries per preservar la identitat i la confidencialitat de les dades de les persones afectades i, especialment, de la persona denunciant.
      • Conservar les dades durant el temps imprescindible per prendre decisions.
      • Suprimir les dades del sistema de denúncies al cap de tres mesos de la introducció de les dades, excepte en cas que la finalitat de la conservació sigui deixar evidència del funcionament del model de prevenció.
      • Registrar de manera anònima les denúncies que no s’hagin cursat.
      • Suprimir les dades del sistema de denúncies sense obligació de bloqueig quan les denúncies esmentades no s’hagin cursat.
  8. Drets laborals digitals

    9. La Llei actualitza les garanties del dret a la intimitat davant l’ús de dispositius de videovigilància i d’enregistrament de sons al lloc de treball. Així mateix, reforça les garanties del dret a la intimitat en relació amb l’ús dels dispositius digitals que es posin a disposició dels treballadors, la qual cosa complementa la regulació del dret a la intimitat davant l’ús de sistemes de geolocalització en l’àmbit laboral, dels quals han de ser informats.

    Així, la norma regula el dret a la intimitat dels treballadors en l’ús dels dispositius digitals que l’ocupador posi a la seva disposició:

    • S’autoritza l’empresa a accedir al contingut dels dispositius amb l’únic efecte de controlar el compliment de les obligacions laborals i garantir la integritat dels dispositius esmentats. Les empreses han d’establir criteris d’ús dels dispositius digitals respecte als estàndards mínims de protecció de la intimitat, amb la participació dels representants dels treballadors.
    • L’accés als dispositius respecte dels quals se n’hagi admès l’ús amb finalitats privades requerirà que s’especifiquin de manera precisa els usos autoritzats i que s’estableixin garanties per preservar la intimitat (com la determinació dels períodes en què els dispositius es podran fer servir per a finalitats privades).
    • S’haurà d’informar els treballadors d’aquests criteris d’ús.

    També es reconeix el dret a la desconnexió digital dels treballadors, a fi de garantir, fora del temps de treball, el respecte al temps de descans, permisos i vacances, així com la seva intimitat personal i familiar:

    • Aquest dret queda subjecte al que s’hagi establert en la negociació col·lectiva o, si no n’hi ha, per acord entre l’empresa i els representants dels treballadors, i atendrà a la naturalesa i l’objecte de la relació laboral.
    • El dret a la desconnexió digital es concretarà en una política interna elaborada, prèvia audiència dels representants dels treballadors, en la qual definiran les modalitats d’exercici del dret a la desconnexió i les accions de formació i de sensibilització sobre un ús raonable de les eines tecnològiques. En particular, es preservarà el dret a la desconnexió digital dels teletreballadors.

    Així mateix, es regula el dret a la intimitat del treballador davant l’ús de dispositius de videovigilància i d’enregistrament de sons al lloc de treball:

    • Respecte a la videovigilància, es permet que les empreses tractin les imatges que hagin obtingut per vigilar i controlar que el treballador compleix les seves obligacions i deures laborals, dins dels límits legals, i amb l’obligació d’informar prèviament els representants dels treballadors i els mateixos treballadors.
    • Quan s’hagi captat la comissió flagrant d’un acte il·lícit per part dels treballadors s’entendrà que s’ha complert el deure d’informar sobre la videovigilància quan hi hagués, almenys, un dispositiu informatiu en un lloc prou visible.
    • L’enregistrament de sons en l’àmbit laboral queda limitat a casos molt concrets i excepcionals (com el risc per a la seguretat de les instal·lacions, els béns i les persones).
    • Es prohibeix instal·lar dispositius d’enregistrament de so o videovigilància als llocs destinats al descans o oci dels treballadors.

    Una altra de les qüestions que es regula en la nostra legislació per primera vegada és el dret a la intimitat davant de l’ús de sistemes de geolocalització en l’àmbit laboral, en què es permet l’ús d’aquests sistemes per exercir les funcions de control dels treballadors, dins dels límits legalment previstos, però prèviament s’ha d’informar els representants dels treballadors i els mateixos treballadors sobre l’existència i les característiques d’aquests dispositius.

    Finalment, s’estableix la conveniència d’establir garanties addicionals de drets i llibertats relacionades amb el tractament de dades personals dels treballadors i la salvaguarda de drets digitals per part dels convenis col·lectius.

  9. Garantia de drets digitals

    10. Respecte als drets de les persones interessades, d’una banda, la Llei replica el catàleg dels que ja preveu el RGPD (accés, rectificació, supressió o dret a l’oblit, limitació, oposició i portabilitat), si bé els amplia afegint un dret a l’oblit especial en les cerques d’Internet i xarxes socials i el dret a la portabilitat en xarxes socials.

    D’altra banda, la norma introdueix un catàleg de nous drets denominats conjuntament drets digitals, que són:

    • dret d’accés universal a Internet;
    • dret a la neutralitat digital o d’Internet;
    • dret a l’educació digital;
    • dret a la desconnexió digital i dret a la intimitat en relació amb l’ús de dispositius digitals i sistemes de geolocalització, tots els anteriors en l’àmbit laboral que afecten les relacions laborals i la negociació col·lectiva;
    • dret de rectificació a Internet;
    • dret a l’actualització d’informacions en mitjans de comunicació digitals, i
    • dret al testament digital (possibilitat que una persona estableixi en vida la destinació que vol donar a la informació que ha pujat a les xarxes socials o que figura a Internet per quan mori, i vincular-hi tant els hereus i drethavents com les empreses que disposen d’aquesta informació o que exploten les xarxes socials).
    • Còmput de terminis: Quan els terminis s’indiquin per dies, aquests són hàbils (se n’exclouen dissabtes, diumenges i dies festius). Si el termini es fixa en setmanes, anys o mesos, conclourà el mateix dia de la setmana, any o mes en què es va produir el fet. Si el mes de venciment no hi hagués dia equivalent, s’entendrà que el termini expira l’últim dia del mes. Quan l’últim dia del termini sigui inhàbil, el termini serà el primer dia hàbil següent.
  10. Règim sancionador

    11. Es regula en la nova Llei el règim sancionador. La regulació estatal en aquesta qüestió és d’especial importància, ja que el Reglament General de Protecció de Dades de la Unió Europea (RGPD) estableix un sistema de sancions o actuacions correctives que permet un marge d’apreciació ampli.

    La nova Llei manté la classificació de les infraccions en molt greu, greu i lleu, segons el grau d’afectació de les dades.

    La categorització de les infraccions s’introdueix a l’únic efecte de determinar els terminis de prescripció, i la descripció de les conductes típiques té com a únic objecte l’enumeració de manera exemplificativa d’alguns dels actes sancionables que s’han d’entendre inclosos dins dels tipus generals establerts en la norma europea.

    • Molt greus. Prescriuen als 3 anys.
    • Greus. Prescriuen als 2 anys.
    • Lleus. Prescriuen a l’any.

    La Llei orgànica regula els supòsits d’interrupció de la prescripció partint de l’exigència constitucional del coneixement dels fets que s’imputen a la persona, però tenint en compte la problemàtica derivada dels procediments que estableix el reglament europeu, en funció de si el procediment el tramita exclusivament l’Agència Espanyola de Protecció de Dades o si s’acudeix al procediment coordinat del Reglament General de Protecció de Dades.

    El RGPD estableix marges amplis per determinar la quantia de les sancions. La Llei orgànica, respecte als factors agreujants o atenuants, aclareix que entre els elements que cal tenir en compte es poden incloure els que ja apareixien a l’antiga Llei orgànica 15/1999, entre d’altres, el caràcter continuat de la infracció, el volum de negoci o activitat de l’infractor, els beneficis obtinguts com a conseqüència de la comissió de la infracció, el grau d’intencionalitat, la reincidència per comissió d’infraccions de la mateixa naturalesa, la regularització de la situació irregular de manera diligent, que la conducta de la persona afectada hagi pogut induir a cometre la infracció, que l’infractor hagi reconegut espontàniament la seva culpabilitat...

Trobi la seva oficina
Accedeixi a BS Online
Accedeixi a l'app Banco Sabadell
Truqui'ns al 900 500 170