Tras haber transcurrido seis meses desde que comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), el pasado miércoles 21 de noviembre el Senado aprobó la nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales, con 220 votos a favor y 21 en contra, sin modificaciones respecto de la versión remitida por el Congreso, quedando ya solo pendiente su publicación en el Boletín Oficial del Estado (BOE).

Entre los aspectos más relevantes que regula, destacan los siguientes:

  • Regula de forma específica y separada el tratamiento de datos de las personas fallecidas.
  • Haciendo uso del margen concedido por el RGPD, sitúa la edad mínima para el consentimiento de los menores de edad en los 14 años, alejándose de la primera redacción del proyecto que situaba la edad en los 13 años y manteniendo la establecida con el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la anterior Ley Orgánica de Protección de Datos.
  • Limita el consentimiento en el tratamiento de categorías especiales de datos, de forma que no será suficiente para el tratamiento de ciertas categorías de datos personales (ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico).
  • Especifica los casos en los que se permite el tratamiento de datos de naturaleza penal.
  • Reconoce el mecanismo de doble capa y el contenido mínimo de la información básica para cumplir con el deber de información a los interesados sobre el tratamiento de sus datos personales.
  • Desarrolla la regulación aplicable al ejercicio de derechos de los interesados, añadiendo en el artículo 32 el llamado “bloqueo de los datos”, cuando se proceda a la rectificación o supresión de los datos personales.
  • Regula específicamente ciertos tratamientos de datos personales que, salvo prueba en contrario, entiende legitimados con base en el interés legítimo o en el interés público (tratamiento de datos de contacto; sistemas de información crediticia; operaciones mercantiles; videovigilancia; sistemas de exclusión publicitaria; sistemas de información de denuncias internas).
  • Añade un catálogo de situaciones que deberán tenerse en cuenta a la hora de determinar la aplicación de las medidas técnicas y organizativas.
  • Aclara la distinción entre la posición de responsable y encargado de tratamiento, así como sus obligaciones.
  • Incluye un catálogo completo de entidades que deberán nombrar, obligatoriamente, un delegado de protección de datos, incluyéndose nuevas categorías a las que inicialmente se previeron, e impone la obligación de notificar el nombramiento a la Agencia Española de Protección de Datos en el plazo máximo de diez días.
  • Desarrolla los casos en los que se permite realizar transferencias internacionales de datos.
  • Especifica la forma de iniciar el procedimiento sancionador y su duración, diferenciando los supuestos de (i) falta de atención de una solicitud de ejercicio de derechos; (ii) determinación de la existencia de una posible infracción; y (iii) tramitación del procedimiento como consecuencia de la comunicación de la reclamación presentada ante otra autoridad nacional de control. Asimismo, incluye un catálogo abierto de infracciones, divididas en tres categorías (leves, graves y muy graves).
  • Reconoce y garantiza un nuevo catálogo de derechos digitales, entre los que incluye la neutralidad de internet, el acceso universal a internet, la seguridad digital, la educación digital, la protección de los menores en internet, la rectificación o actualización de la información en internet, el derecho al olvido en los buscadores y en redes sociales, o la regulación del derecho al testamento digital.
  • Refuerza la privacidad del empleado y su derecho a la desconexión digital y a la intimidad frente al uso de dispositivos digitales, la videovigilancia y la geolocalización en el ámbito laboral, y permitiendo que los convenios colectivos garanticen una mayor protección.
  • Extiende la vigencia de los contratos de encargado del tratamiento suscritos con anterioridad a la aplicación del RGPD hasta su fecha de vencimiento o, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Si bien la nueva LOPD no será de aplicación hasta su publicación en el BOE, que se espera suceda en los próximos días, el texto ya ha quedado definitivamente aprobado y por tanto no será sometido a ningún cambio adicional.

A lo largo de las próximas semanas, iremos extrayendo los puntos más relevantes y analizándolos en diferentes entradas, por lo que os animamos a seguir el blog para conocer en mayor profundidad las novedades de la nueva LOPD.

Alejandro Negro y Adaya Esteban

Autores:

Consejero

8 artículos

Alejandro Negro

alejandro.negro@cuatrecasas.com

Asociada

17 artículos



adaya.esteban@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *