En un mes en el que hacemos balance de los datos más destacados del 2019, no podía faltar un repaso por los puntos más importantes de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales que entró en vigor el 7 de diciembre de 2018. Con esta normativa, España se ha convertido en un país pionero en el desarrollo de un entorno que utiliza la tecnología de forma responsable y garantiza los derechos digitales que protegen al usuario de la red.
Desde Confianza Online, para ayudar a comprender el contenido de esta normativa, hemos ido desgranando los puntos clave.
Derechos digitales
El reconocimiento y garantía de los Derechos Digitales es un punto clave de la normativa, ya que se aplican de manera transversal al ámbito social, educativo y a todos los proveedores de servicios de Internet. Estos derechos son entre otros, de acceso universal, a la neutralidad, a la seguridad y educación digital, con especial atención a la protección de menores y a la actualización de información en medios digitales, al olvido en buscadores de Internet, RRSS y similares y al testamento digital. Entre estos derechos, dentro de ámbito laboral, destaca el derecho a la desconexión digital.
Principios en la protección de datos
Bajo la base de que la protección de datos debe basarse en la transparencia y la claridad, se establecen como principios de protección de datos: la exactitud para actualizar de manera eficaz y continua las bases de datos; el deber de confidencialidad; un tratamiento basado en el consentimiento expreso del afectado, resultado de una manifestación inequívoca y específica; teniendo en cuenta el consentimiento de los menores y el tratamiento de datos de categorías especiales como pueden ser por obligación legal o interés público.
Consentimiento e interés legítimo
Todo tratamiento de datos personales tendrá que ser lícito, leal y transparente. Para cumplir con esta obligación será necesario informar a los usuarios, en el momento en el que se recaban sus datos personales, de una manera clara, accesible y con un lenguaje fácil de comprender.
Códigos de conducta y certificación
Tanto el RGPD como la LOPDGDD otorgan un papel fundamental a los códigos de conducta y a los sistemas de certificación con el objetivo de concienciar a empresas y consumidores sobre la gran importancia de cumplir con la normativa. Por su parte, los sistemas de certificación apoyan a las empresas a la hora de identificar qué cualidades, funciones, criterios o conocimientos deben cumplir y tener los encargados y responsables del tratamiento de datos y el delegado de protección de datos.
Obligaciones del responsable y del encargado del tratamiento de datos
Aunque cumplen con criterios comunes, cada una de las figuras tiene diferentes funciones. En concreto, el encargado del tratamiento, que por lo general suele ser una figura externa a la empresa, se encargará del tratamiento de datos en base lo que disponga por el responsable de la base de datos. El responsable del tratamiento que suele formar parte del equipo de la propia empresa es la figura que determina cómo deberán tratarse los datos personales.
El tratamiento de datos en las listas de exclusión publicitaria
Un tratamiento lícito de datos personales debe evitar el envío de comunicaciones comerciales a todos los usuarios que hayan manifestado su deseo de no recibirlas o que, incluso, aun habiendo dado su consentimiento inicial, posteriormente se opongan a seguir recibiéndolas. Para alcanzar este objetivo se crearán las conocidas como listas de exclusión publicitaria, sistemas que permitirán a los usuarios seleccionar aquellas empresas de las que no desea recibir más publicidad. Cualquier compañía, antes de lanzar una campaña publicitaria, estará obligada a consultar las listas de exclusión publicitaria.
Cómo aplicar el sistema de información por capas
Para cumplir con el deber de informar, entre las recomendaciones facilitadas por la AEPD, las páginas web podrán utilizar un sistema de información por capas o niveles para transmitir, de forma correcta, la información necesaria que debe facilitarse a un usuario en el momento en el que se recaban sus datos. En la primera capa se aportará la información básica con datos del responsable, finalidad, legitimación, destinatarios, derechos y un enlace a la segunda capa, que contiene toda esta información más ampliada.
La figura del delegado de protección de datos y las evaluaciones de impacto
La designación de un DPD dentro de una empresa, que podrá tener carácter obligatorio o voluntario y ser una figura interna o externa de la empresa, deberá ser comunicada a la AEPD o a las autoridades autonómicas. Su designación será obligatoria en colegios profesionales, centros docentes, prestadores de comunicaciones electrónicas o servicios de la sociedad de la información, entidades de crédito, distribuidores y comercializadores de energía y gas, responsables de BBDD, empresas dedicadas a actividades publicitarias o comerciales, centros sanitarios, operadores que desarrollan actividades de juego, empresas de seguridad y federaciones deportivas, entre otras. En cuanto a sus funciones principales, se encuentra la de analizar la necesidad de hacer evaluaciones de impacto cuando se trate de tratamientos con categorías especiales de datos o basados en la elaboración de perfiles a través de automatizaciones.
Ampliación del derecho al olvido
Permite que los usuarios modifiquen o eliminen su huella digital a través de la eliminación de enlaces o contenidos de motores de búsqueda, redes sociales y servicios similares cuando la información mostrada es inadecuada, inexacta, excesiva o está desactualizada. En el caso de los motores de búsqueda, es importante recalcar que la eliminación de una información concreta se podrá aplicar a los resultados de una determinada búsqueda y para un país, lo que no implica que ese mismo resultado pueda seguir mostrándose para otros criterios de búsqueda.
Funciones de la AEPD y régimen sancionador
La Agencia Española de Protección de Datos como organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales se encargará, entre otras funciones, de mantener un listado público y actualizado de delegados de protección de datos, tramitar las reclamaciones recibidas tanto por usuarios como por empresas, aprobar los Códigos de Conducta en coordinación con el Comité Europeo de Protección de Datos, publicar los sistemas de exclusión publicitaria, autorizar transferencias internacionales a terceros países, realizar actuaciones de investigación y planes de auditoría, cooperar con otras autoridades de control para garantizar la coherencia y la eficacia de la aplicación normativa y garantizar la protección de los datos personales de las personas físicas en aplicación de cualquier Convenio Internacional en el que sea parte el Estado español.
