Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
La LOPD desarrolla el mandato constitucional (art. 18.4 CE) que ordena al legislador limitar el posible abuso de la informática para garantizar con ello la intimidad personal y familiar, así como el pleno ejercicio de los derechos fundamentales. La LOPD afecta a personas físicas, no a personas jurídicas.
Eleva las exigencias a las empresas y organizaciones que traten datos personales,adaptándolas al nuevo entorno digital.
Armoniza la protección de este derecho en todos los Estados miembros, garantizando a los
consumidores un tratamiento seguro uniforme en toda la UE y eliminando la fragmentación
que pudiera existir en las distintas normativas de los países miembros.
Establece un marco claro para la actividad empresarial y la circulación transfronteriza de datos
personales.
La LOPD contiene en su articulado:
Numerosísimas referencias a distintos apartados del RGPD, por lo que cuando se consulta la
LOPD es absolutamente necesario realizar continuas miradas al RGPD.
Apartados aún no desarrollados y que se indica que lo estarán en un futuro
Por ej: art. 3.2 (personas fallecidas) o el art. 38.6 (códigos de conducta).
Tanto el RGPD como el RD. 1720/2007 contienen un apartado de Definiciones, donde se explica
lo que se debe entender por la mayoría de los conceptos que aparecen en Protección de Datos. Por tanto, cuando hablamos de LOPD, realmente nos estamos refiriendo a la siguiente
legislación en bloque:
En este apartado se describen los principios básicos de la actual LOPD (Ley Orgánica de Protección de Datos). Para comenzar se presentan las definiciones necesarias de conocer para poder comprender correctamente dicha ley. Las definiciones son las siguientes:
Datos personales: toda información sobre una persona física identificada o identificable (toda persona cuya identidad pueda determinarse, directa o indirectamente mediante un identificador:
un nombre, un nº de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o
social de dicha persona).
Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales
o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.
Responsable del tratamiento o fichero: persona física o jurídica, autoridad pública, servicio
u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
A continuación, comienza la enumeración y descripción de los principios básicos más destacados que persigue la LOPD:
Ámbito de la aplicación: tratamiento total o parcialmente automatizado de datos
personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Quedan fuera de éste ámbito:
El tratamiento de datos personales de personas físicas realizado en un ámbito
estrictamente personal o doméstico.
El tratamiento de datos referidos a personas jurídicas.
El tratamiento de datos referidos a personas fallecidas, aunque se posibilita a los familiares
y herederos del fallecido a dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Artículos de la LOPD no comprendidos en los Títulos I a IX y en los arts. 89 a 94.
Limitación de la finalidad: los datos serán recogidos con fines determinados,
explícitos y legítimos, y no serán tratados para finalidades distintas de aquellas para
las que se recogieron.
Minimización de datos: los datos deben ser adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que se hayan obtenido
Exactitud de los datos: los datos deben ser exactos (correctos y completos) y estar
actualizados. Si son inexactos (no están al día) el responsable del tratamiento deberá adoptar las medidas
necesarias para que se rectifiquen o supriman dichos datos.
Principio de Transparencia (deber de informar): los interesados a los que se soliciten
datos personales deberán ser previa y expresamente informados por escrito o por otros
medios (incluidos medios electrónicos), de forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo:
De la existencia de un fichero, de la finalidad de la recogida de los datos y de los destinatarios
de la información.
De las consecuencias de la obtención de datos o de la negativa a suministrarlos.
Del tratamiento automatizado que se va a hacer con sus datos, incluyendo la elaboración de
perfiles.
De la posibilidad de ejercitar los derechos de acceso, rectificación, supresión y portabilidad,
limitación y oposición al tratamiento, de retirar el consentimiento, de reclamar ante la AEPD, etc.
De la identidad y dirección del responsable del tratamiento.
- De la base jurídica (legitimación) sobre la que se desarrolla el tratamiento.
De la intención de realizar transferencias internacionales y los destinatarios.
Datos del Delegado de Protección de Datos (si lo hubiere).
Necesidad del consentimiento del interesado para el tratamiento de los datos: los datos deben ser adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que se hayan obtenido
Será válido si los datos no se han recabado por medios fraudulentos, desleales o ilícitos.
Podrá ser revocado en cualquier momento por causa justificada.
Es necesario recogerlo a partir de 14 años (para menores de 14, de padres o tutores legales).
Debe ser inequívoco (afirmativo) y nunca tácito y por omisión
Debe ser explícito y por escrito.
Podrá ser implícito cuando se deduzca de una acción del interesado. Por ejemplo, cuando el interesado continúa navegando por una web y acepta así
el que se utilicen cookies para monitorizar su navegación.
Protección especial a ciertas categorías de datos: son los referentes a la
ideología, afiliación sindical, religión, salud y orientación o vida sexual, creencias,
origen racial o étnico.
El solo consentimiento del afectado no bastará para tratar estos datos.
No se podrán crear o mantener ficheros sólo con este tipo de datos.
Derechos de los interesados. El responsable de tratamiento debe facilitar a los interesados el ejercicio de sus derechos
(procedimientos deben ser visibles, accesibles y sencillos). El ejercicio de los derechos será gratuito (excepto en solicitudes manifiestamente infundadas
o excesivas en que el responsable podrá cobrar el coste real del servicio si lo demuestra). El responsable del tratamiento tiene un mes (o dos en peticiones especialmente complejas)
para informar al interesado sobre las actuaciones derivadas de su petición. A continuación, se detallan los distintos derechos:
Acceso: derecho del interesado a recabar información sobre el tratamiento que se estárealizando sobre sus datos personales, categorías de los mismos, finalidad de dicho tratamiento,
destinatarios, plazos de conservación, etc. Los responsables podrán atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.
Rectificación: derecho del afectado a que se modifiquen sin dilación los datos que resulten ser
inexactos o incompletos.
Supresión (Derecho al Olvido) (o impugnación): derecho del interesado a que se eliminen sin dilación los datos
que ya no sean necesarios en relación con los fines para los que fueron recogidos, por retirada
del consentimiento en su día otorgado, porque se haya realizado un tratamiento ilícito, etc. Surge tras el caso de Mario Costejá contra Google España en el TJUE ( Ver noticia).
Oposición: derecho del interesado a que no se lleve a cabo el tratamiento de sus datos o cese
en el mismo (incluida la elaboración de perfiles) cuando existan motivos relacionados con su
situación personal.
Portabilidad de los datos: es una forma avanzada del derecho de acceso por el cual la copia
que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y
lectura mecánica y a transmitirlos a otro responsable de tratamiento, sin que lo impida el
responsable del tratamiento que se los hubiera facilitado y siempre que ello sea técnicamente
posible. Este derecho sólo puede ejercerse:
Cuando el tratamiento se efectúe por medios automatizados.
Cuando el tratamiento se base en el consentimiento o en un contrato.
Limitación: derecho del interesado a obtener del responsable del tratamiento la limitación del
tratamiento de sus datos cuando:
Impugne la exactitud de sus datos personales y mientras el responsable lo verifica.
El tratamiento sea ilícito y el interesado se oponga a la supresión de sus datos.
Limitación a los derechos, tratamiento y cesión de los datos sin consentimiento: se necesita el previo
consentimiento del interesado (que podrá ser revocado en cualquier momento) para que sus datos personales objeto de tratamiento puedan ser comunicados a un tercero. Excepciones:
Cuando la cesión esté autorizada en una Ley.
Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales, en el ejercicio de sus funciones.
Cuando se trate de datos recogidos de fuentes accesibles al público (artículo 7 del RD.1720/2007. Ni
la nueva LOPD ni el RGPD las regulan).
Derecho de indemnización: aquellos ciudadanos que se vean afectados por incumplimiento de la LOPD por parte del responsable del fichero podrán reclamar indemnización:
Si es un fichero de titularidad pública, de acuerdo con la legislación reguladora de la Administración Pública.
Si es de titularidad privada, reclamación ante la justicia ordinaria.
Agencia Española de Protección de Datos (AEPD): autoridad administrativa
independiente de ámbito estatal encargada de supervisar la aplicación de la LOPD.
Las empresas que realicen tratamientos de datos que impliquen un alto riesgo para los derechos y
libertades de las personas físicas efectuarán análisis de riesgos y evaluaciones de impacto en
materia de privacidad con carácter previo a la introducción de un producto o servicio en el mercado.
Introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un
tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de
posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para
encubrir el incumplimiento.
Regula situaciones en que se aprecia la existencia de interés público, como las relacionadas con:
la videovigilancia (en la vía pública, en los centros de trabajo, etc.)
los sistemas de exclusión publicitaria (listas Robinson), estableciendo la obligatoriedad para las
entidades que vayan a realizar una campaña publicitaria de consultar con carácter previo las listas
Robinson para evitar el envío de publicidad a los ciudadanos que se hayan registrado en ellas.
la función estadística pública.
los sistemas de denuncias internas anónimas en el sector privado
los sistemas de información de solvencia crediticia (listas de morosos), donde un ciudadano
podrá ser incluido por un máximo de 5 años a partir de una deuda mayor de 50 €
La disposición final tercera modifica el art. 58 bis de la Ley Orgánica del Régimen Electoral General
(LOREG), que habilita a los PARTIDOS POLÍTICOS a recoger y tratar datos de carácter personal
de páginas web (incluyendo redes sociales) como si fuesen fuentes de acceso público.
. Esto se trata de una excepción que únicamenete beneficia los partidos políticos, ya que nadie más está permitido a hacer esto.
Relación Responsable-Encargado::
Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el
tratamiento sea conforme con los requisitos del Reglamento.
Los encargados podrán demostrar que cumplen los requisitos exigidos adhiriéndose a
códigos de conducta o mecanismos de certificación en materia de protección de datos,
según requisitos recogidos en la propia ley.
Seguridad de los datos: el encargado del tratamiento deberá adoptar las medidas
necesarias de índole técnica y organizativa para mantener la seguridad de los datos,
evitando su alteración, pérdida, tratamiento y acceso no autorizado, por acción humana o del medio.
El responsable del tratamiento tendrá la obligación de notificar los fallos de seguridad
(incluidas filtraciones de datos) que se produzcan en su organización a la AEPD en un plazo de 72 horas. Salvo que se utilice el cifrado, también es necesario informar a los propios afectados que ha
tenido lugar una brecha de seguridad en la que se han visto expuestos sus datos personales
Deber de confidencialidad: tanto ética como legalmente, se ven afectados tanto el responsable del fichero como las demás personas que intervengan en cualquier fase del tratamiento de los datos de carácter personal.
Esta obligación se extiende incluso después de haber finalizado la relación con el titular o el responsable del fichero.
Registro de las Actividades de Tratamiento (RAT): viene a sustituir a la obligación legal de
inscribir los ficheros en la AEPD. Este registro debe contener información del tipo:
Nombre y datos de contacto del responsable y del DPD (Delegado de Protección de Datos) si existiese.
Finalidades del tratamiento.
Medidas técnicas y de seguridad adoptadas para realizar el tratamiento.
Descripción de categorías de interesados y categorías de datos personales tratados.
Destinatarios de los datos.
Transferencias internacionales de datos.
Privacidad desde el diseño y por defecto:
En el diseño de aplicaciones que traten Datos de Carácter Personal, se tiene que garantizar la privacidad de los mismos desde el diseño (Data Protection by Design), es decir, desde sus primeros momentos de desarrollo.
Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios
estarán por defecto cerrados a otros usuarios, debiendo ser el usuario quien los abra a otros.
Se fomentarán las técnicas “Privacy-friendly”, como la seudoanonimización para salvaguardar los beneficios de la innovación en Big Data a la vez que se protege la privacidad.
Delegado de Protección de Datos (DPD):
Designado por acuerdo del Responsable y del Encargado del tratamiento, que le prestarán todos los recursos necesarios para desarrollar su actividad con total autonomía. Su nombramiento se comunicará a la AEPD para que sea incluido en el Registro Público de
DPDs.
Necesariamente se relacionará con los niveles jerárquicos superiores de la organización.
Un grupo empresarial u organismos de la administración pueden compartir un DPD.
La AEPD ha creado un sistema de certificación para DPD.
Puede contratarse el servicio con una persona física o jurídica ajena a la empresa mediante un contrato de servicios.
La figura del DPD es obligatoria en:
Organizaciones e Instituciones Públicas.
Empresas con más de 250 trabajadores.
Empresas que cuenten con menos de 250 empleados y que precisen un seguimiento regular y periódico de los datos personales tratados (para
la investigación de mercados, de análisis de riesgos, crediticios o de solvencia patrimonial) y que traten con datos clasificados como especialmente protegidos (religiosos o de creencias, afiliación sindical, raciales, biométricos, si permiten identificar completamente a una persona, sexuales. de salud y antecedentes penales o condenas).
Transferencias internacionales:igue el modelo y criterios definidos en RGPD. Se ha establecido la ventanilla única para dar más rapidez a los trámites. En el caso de una empresa española que tenga sedes en otros países de la UE, solo se relacionará con la AEPD,
que es la entidad de control del lugar donde esta empresa tiene su matriz o sede central. Los datos sólo podrán ser transferidos fuera de la UE:
A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado.
Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.
Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.
Infracciones y Sanciones: (Título IX, artículos del 70 al 79 de la LOPD). Las infracciones se dividen en tres categorías (leves, graves y muy graves) y las sanciones en dos. La cuantía de las sanciones se graduará atendiendo a criterios como: gravedad de la infracción, grado de intencionalidad o negligencia, medidas adoptadas, grado de responsabilidad, categoría de los datos, cooperación con la autoridad de control, adhesión a códigos de conducta o mecanismos de certificación aprobados, reiteración de la infracción, beneficios
obtenidos, afectación a los derechos de menores, etc. Estas cuantías han ascendido drásticamente con la entrada del RGPD. Los encargados de tratamiento (además de los responsables) son sujetos de estas sanciones. Las categorías de las cuantías son las siguientes:
Multa que puede llegar a los 10.000.000 € o el 2% del volumen de negocio global del último año:
Vulneración de las obligaciones del responsable o del encargado.
Vulneración de obligaciones de certificación.
Vulneración de obligaciones de control.
Multa que puede llegar a los 20.000.000 € o el 4% del volumen de negocio global del último año:
Vulneración de los principios básicos de tratamiento.
Algunos apartados del art. 197: 2. Las mismas penas [prisión de uno a cuatro años y multa de doce a veinticuatro meses] se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se
impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos
o de un tercero.
4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:
a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros;
b) O se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.
Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión,
creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial
protección, se impondrán las penas previstas en su mitad superior.
Artículo 198 La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo,
realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en
su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años.