Nota informativa sobre la nova Llei orgànica de Protecció de dades i garantia dels drets digitals

LA NOVA LLEI ORGÀNICA DE PROTECCIÓ DE DADES I GARANTIA DELS DRETS DIGITALS

Enllaç a la Llei

El dijous 6 de desembre de 2018 es va publicar al BOE la nova Llei Orgànica 3/2018, de 5 de desembre, de Protecció de dades personals i garantia dels drets digitals.[1]

La nova llei orgànica de protecció de dades i garantia dels drets digitals adapta el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE, -Reglament general de protecció de dades, endavant, RGPD[2] -, i completa les seves disposicions.

La llei va entrar en vigor el 7 de desembre de 2018, l’endemà de la seva publicació al BOE.

La norma inclou com a novetat la protecció de drets digitals emanats de l’article 18.4 de la Constitució Espanyola (CE)[3] - La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos-.

La Llei Orgànica de Protecció de Dades i Garanties Digitals es composa de noranta-set articles repartits en deu títols, vint-i-dues disposicions addicionals, sis de transitòries, una derogatòria i setze de finals. 

El Títol I, relatiu a les disposicions generals, articles 1 a 3. Conté una doble regulació de l’objecte. En primer terme adapta el RGPD i, en segon lloc, garanteix els drets digitals a la ciutadania (18.4 CE). Com a novetat s’inclou la regulació de les dades de persones mortes.

El Títol II, principis de protecció de dades, articles 4 a 10. No es podrà imputar al responsable del tractament la inexactitud de les dades obtingudes directament de l’afectat si s’han adoptat totes les mesures raonables. Es recull expressament el deure de confidencialitat i el consentiment, el qual, ha de procedir d’una declaració o d’una clara acció afirmativa de l’afectat, excloent el consentiment tàcit.

El Títol III, relatiu als drets de les persones. Es divideix en dos capítols. El primer capítol inclou l’article 11 i, el segon de l’article 12 al 18.  Destaca “la informació per capes”, per la qual es facilita l’accés a la informació bàsica en una primera capa i, un enllaç, direcció electrònica o qualsevol altre mitjà que permeti accedir a la resta d’informació. A més a més fa ús de l’habilitació establerta al “considerant 8 del RGPD” i reconeix els drets d’accés, rectificació, supressió, oposició, limitació al tractament i a portabilitat.

El Títol IV estableix les disposicions aplicables a tractaments concrets,  articles 19 al 27. Aquest Títol incorpora un seguit de supòsits que no s’han de considerar una relació exhaustiva de tots els tractaments lícits,  i fa referència  a la licitud d’altres tractaments regulats en el capítol IX del RGPD (funció estadística, d’arxiu d’interès general).

El Títol V fa referència al responsable i a l’encarregat del tractament. La novetat que presenta la llei i que ve del RGPD és l’evolució del model[4] basat en el control del compliment sota el principi de responsabilitat activa que exigeix una prèvia valoració dels riscos del tractament  per part del responsable o encarregat del tractament.

Per aclarir i aprofundir les novetats, la llei orgànica divideix el títol V en quatre capítols, mantenint la mateixa denominació del capítol IV del RGPD. El primer va de l’article 28 a 32, i regula les mesures de responsabilitat activa, el segon regula la figura de l’encarregat del tractament, -art.33-,  i el tercer regula la figura del delegat de protecció de dades, -art. 34 a 37. Per últim, el capítol quart regula els codis de conducta i certificació -art. 38 i 39-.

El delegat de protecció de dades pot actuar per a la resolució amistosa de reclamacions, ja que l’interessat pot fer-li arribar les reclamacions que no hagin estat ateses pel responsable o encarregat del tractament.

El Títol VI, relatiu a les transferències internacionals de dades, art. 40 a 43, adapta les previsions del RGPD.

El Títol VII fa referència a les autoritats de la protecció de dades. El primer capítol regula l’Agència Espanyola de Protecció de Dades i el segon capítol regula les autoritats autonòmiques de protecció de dades

El Títol VIII, articles 63 a 69, regula els procediments aplicables en cas de possible vulneració de la normativa de protecció de dades.

El Títol IX, articles 70 a 78, estableix el procediment sancionador. Es destaca l’aprofitament que fa la llei orgànica de la clàusula residual del 83.2 del RGPD, en referència a factors agreujants o atenuants, per aclarir que entre els elements a tenir en consideració podran incloure’s els que ja apareixien als articles 45.4 i 5 de la Llei Orgànica 15/1999.

El Títol X, articles 79 a 97, tracta la garantia dels drets digitals. S’hi regulen entre d’altres, els drets a la seguretat i educació digital, així com els drets a l'oblit, a la portabilitat i al testament digital. Se’n pot destacar el reconeixement del dret a la desconnexió digital en el marc del dret a la intimitat en l'ús de dispositius digitals en l'àmbit laboral i la protecció dels menors a Internet. S’hi estableix la garantia de la llibertat d'expressió i el dret a l'aclariment d'informacions en mitjans de comunicació digitals.

Finalment, pel que fa a la vigència de la normativa anterior, la disposició addicional catorzena estableix que la normativa relativa a les excepcions i limitacions en l'exercici dels drets que hagués entrat en vigor amb anterioritat a la data d'aplicació del reglament europeu, i en particular els articles 23 i 24 de la Llei Orgànica 15 / 1999, de 13 de desembre, de protecció de dades de caràcter personal, seguirà vigent fins que no sigui expressament modificada, substituïda o derogada.