1. La ley de protección de
datos en España
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales
(LOPD-GDD)
2. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (LOPD-GDD)
Tiene por objeto adaptar el Derecho interno español al Reglamento General de
Protección de Datos.
Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de
Datos de Carácter Personal (aunque se mantiene vigente para la regulación de
ciertas actividades).
Entró en vigor el 7 de diciembre de 2018.
3. La Ley consta de noventa y siete artículos estructurados en diez
títulos, veintidós disposiciones adicionales, seis disposiciones
transitorias, una disposición derogatoria y dieciséis disposiciones
finales.
Vayamos por partes…
4. Título I
Es el relativo a las disposiciones generales de la
Ley.
Según su artículo primero, el propósito de la ley
orgánica es dual: en primer lugar, adaptar el
derecho español a lo dispuesto en el Reglamento
General de Protección de Datos y, como novedad
conexa, «garantizar los derechos digitales de la
ciudadanía conforme al mandato establecido en el
artículo 18.4 de la Constitución».
5. Título II
Es el relativo a los principios en la protección de
los datos personales: exactitud,
confidencialidad, consentimiento y tratamiento
de datos de naturaleza especial como los
penales y los relativos a menores de edad (se
mantiene en catorce años la edad a partir de la
cual el menor puede prestar su
consentimiento).
6. Título III
El Título III enuncia los derechos de las personas en
relación la protección y tratamiento de sus datos
personales y que son, de conformidad con el
Reglamento europeo, los siguientes: acceso,
rectificación, supresión, oposición, derecho a la
limitación del tratamiento y derecho a la
portabilidad. Son una novedad, con respecto a la
regulación anterior, los derechos de limitación del
tratamiento y a la portabilidad de los datos.
7. Título IV
En el Título IV se recogen las disposiciones aplicables a tratamientos concretos.
Son normas a observar cuando por parte de un responsable se pretenda proceder
al tratamiento de una serie de datos concretos.
Cabe destacar en este título la regulación relativa a la inclusión y tratamiento de
datos por parte de entidades de información crediticia, conocidos popularmente
como «listas de morosos».
Así el artículo 20 señala que solo podrán incorporarse datos de «deudas ciertas,
vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de
reclamación administrativa o judicial por el deudor o mediante un
procedimiento alternativo de resolución de disputas vinculante entre las
partes».
La Disposición Adicional sexta de la Ley prohíbe la inclusión de los datos en esos
ficheros cuando se trate de deudas cuyo importe principal (es decir, sin intereses
ni penalizaciones) sea inferior a 50 Euros, aunque se habilita al Gobierno para
actualizar esa cantidad mediante Real Decreto.
8. Título V
Se refiere al responsable y al encargado del
tratamiento de los datos. En contraposición al
anterior modelo de basado en el control del
cumplimiento, el actual establecido por la Ley y el
Reglamento es el de responsabilidad activa,
debiendo los responsables evaluar a priori los datos
que desean tratar para a continuación adoptar las
medidas de seguridad necesarias para el tratamiento
a efectuar. Se recogen también disposiciones
relativas a la figura del Delegado de Protección de
Datos.
10. Título VII
El Título VII se ocupa del estatuto jurídico de la
Agencia Española de Protección de Datos como
autoridad estatal de control. Regula las competencias
de las autoridades de protección de datos que pudiesen
existir en las comunidades autónomas (en la actualidad
solo existen en Andalucía, Cataluña y País Vasco),
cuyas competencias quedarán en todo caso
circunscritas a los tratamientos de datos personales
efectuados por el sector público autonómico; y la
obligación de las autoridades de control de cooperar
entre ellas.
11. Título VIII
El Título VIII regula los procedimientos en caso
de posible vulneración de la normativa de
protección de datos.
12. Título IX
El Título IX regula el régimen sancionador por las infracciones a la Ley,
determinando a los sujetos responsables y estableciendo un catálogo de
infracciones clasificadas en muy graves, graves y leves. La Ley remite al
Reglamento General de Protección de Datos por lo que respecta a la
cuantía y graduación de la responsabilidad de las sanciones. Se regulan
igualmente los plazos de prescripción de las infracciones.
Como excepción, el artículo 77, párrafo segundo de la Ley dispone que
cuando los responsables infractores sean organismos con relevancia
constitucional o administraciones públicas la Ley dispone que solo
podrán ser sancionados con un apercibimiento, descartando así la
posibilidad de sancionar económicamente a estos entes, tal y como
sucedía con la anterior Ley Orgánica 15/1999, de 13 de diciembre.
13. Título X
El Título X de la Ley reconoce y garantiza una serie de derechos
que la ley denomina como "digitales" tales como la neutralidad
de la Red y su acceso universal, el derecho a la seguridad y a la
educación digital, el derecho al olvido, el derecho a la
portabilidad de los datos digitales y el testamento digital; siendo
igualmente regulado el derecho a la desconexión digital en el
marco de las relaciones laborales.
15. 1. Deben utilizarse únicamente aquellas aplicaciones que
ofrezcan información claramente definida sobre los
tratamientos efectuados, las finalidades de los mismos y
sus responsables, así como sobre la ubicación de los datos,
el periodo de retención, y las garantías con relación a su
seguridad.
2. Los centros deben informar a los padres o tutores del
comienzo de la utilización de la tecnología en las aulas, así
como de las Apps que traten datos personales de los
alumnos y su funcionalidad.
16. 3. Las aplicaciones que se utilicen deben permitir el control, por
parte de los tutores o profesores, de los contenidos subidos por
los menores, en especial de los contenidos multimedia (fotos,
vídeos y grabaciones de voz de los alumnos).
4 Debe guardarse especial cuidado con los tratamientos de
datos personales que sean facilitados por terceros sin
mediación del titular de los datos, y en concreto, con la
publicación de fotografías o vídeos de alumnos facilitados por
otros alumnos o profesores.
17. 5. Deben establecerse programas informativos de
concienciación orientados hacia la protección de los datos
personales, dirigidos a profesores y alumnos, sobre la
importancia del uso correcto de aplicaciones.
6. Al utilizar sistemas de almacenamiento de documentos
en nube tipo Dropbox, iCloud o Google Drive, se debe
evitar incluir datos personales sensibles, tales como datos
relativos a la salud, contraseñas, datos bancarios, material
audiovisual de contenido sensible, etc
18. 7. Cuando exista en el Centro una plataforma educativa que permita
la interacción entre alumnos, y entre estos y los profesores, se
aconseja que se prime su utilización para este fin, sin establecer
mecanismos de comunicación adicionales.
8. Para los casos de tratamientos especiales de datos personales que
puedan suponer un mayor riesgo, tal como el reconocimiento facial de
menores de edad, que implica el tratamiento de datos biométricos, el
responsable debe obtener el consentimiento expreso de los alumnos
(si son mayores de 14 años) o de los padres o tutores (si son
menores de 14 años) para aplicar dicho tratamiento a las imágenes
con fines de identificación, y asegurarse que esta tecnología se utiliza
únicamente para fines concretos especificados y legítimos.
19. La Ley refuerza las obligaciones del sistema
educativo para garantizar la formación del
alumnado en el uso seguro y adecuado de
internet, incluyéndola de forma específica en
los currículums académicos y exigiendo que el
profesorado reciba una formación adecuada en
esta materia.