El pasado 6 de diciembre se produjo la publicación en el Boletín Oficial del Estado de la nueva Ley de Protección de Datos. Una norma cuyo contenido va más allá de lo referente a la protección de datos y que introduce la regulación de determinados elementos que se vinculan a los derechos digitales de la ciudadanía, cuya conexión con el derecho a la protección de datos en sentido estricto es más que evidente. Es lo que da sentido a su largo título, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ampliar el ámbito de la protección de datos a los derechos electrónicos no es sino la consecuencia de lo afirmado en la STC 292/2000, de 30 de noviembre, en donde al darle el carácter de derecho fundamental señaló que “el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”.
Tras la transcendencia del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y del esfuerzo que ha provocado para cumplir con sus postulados para entidades públicas, empresas y particulares, la primera cuestión es ¿qué relación existe entre las dos normas?
Pues una pura relación de complementariedad. En materia de protección de datos habrá que aplicar ambas disposiciones. De hecho, si se aprecia esta nueva norma, hay una remisión a diversos elementos del RGPD. Es lógico si tenemos en cuenta que estamos ante un Reglamento comunitario. El campo para nuestra norma será organizativo y de completar aquellos elementos que no hayan sido completados en Europa.
Así, por ejemplo, la ley española desarrolla un aspecto no contemplado en el Reglamento, que es el relativo a los datos de las personas fallecidas o se fija el consentimiento válido de los menores en los 14 años. Este último elemento es llamativo teniendo en cuenta las limitaciones hasta los dieciséis o diez y ocho años, comunes en nuestro ordenamiento. Por ello, merece la pena que en este primer artículo de la serie sobre la LOPD me detenga un momento.
La redacción de este precepto es manifiestamente mejorable. Parece claro cuál es el régimen de los menores de 14 años (es necesario el consentimiento de sus progenitores) pero entre 14 y 18 parece que depende, de acuerdo con el segundo párrafo del artículo 7.1 de cuál sea la capacidad para el acto jurídico. Dicho de otro modo, habrá que diferenciar entre situaciones del menor (emancipado o no) y, como he dicho antes, del acto de que se trate.
La ley matiza y completa el régimen del RGPD en cuanto a los principios básicos de tratamiento de datos. Exactitud, confidencialidad, consentimiento son los que han de seguirse por parte de los encargados y responsables.
Estas reglas, que son las que abren la puerta a los derechos que reconoce la ley en relación con los datos, están modulados en una serie de supuestos específicos: relaciones financieras, datos de empresarios y profesionales liberales, vIdeovigilancia, exclusión publicitaria y ciertas operaciones mercantiles. En el ámbito de las Administraciones públicas se manifiestan especialidades en relación con el ratamiento de datos en el ámbito de la función estadística pública; el tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas y el tratamiento de datos relativos a infracciones y sanciones administrativas.
De igual manera, hay un régimen especial, diferente de la legislación administrativa, en el que caben las denuncias anónimas, especialmente importantes donde existen relaciones de dependencia, como el ámbito laboral. Y aquí se debe situar el relativo a la entrada de los partidos políticos en el móvil, que tanta polémica ha provocado.
Y en el propio ámbito del régimen de protección de datos nos encontramos con una especialidad, el tratamiento de datos en la notificación de incidentes de seguridad; que se encuentra perdido en una de las disposiciones adicionales.
La conjunción de las reglas generales más las específicas son las que determinan la extensión de los derechos que tiene la ciudadanía en materia de protección de datos. Derecho de acceso (delimitable cuando se pidan muchos), rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
La ley es bastante extensa en el tratamiento de los datos y en particular quien es el responsable del mismo. Responsable y encargados del tratamiento que son, al mismo tiempo, los que han de adoptar las medidas para prevenir tratamientos inapropiados. Son varios los ámbitos en los que se han de manifestar los poderes de los encargados. En este punto será básico el papel del Delegado de Protección de Datos, obligatorio en multitud de casos.
Desde una perspectiva orgánica, se contemplan las relaciones entre los tres niveles de organismos de protección de datos: el europeo y, sobre todo el estatal y autonómico. Lo que conlleva, asimismo, la articulación de unas bases del procedimiento administrativo que se deberá seguir en los casos en los que haya una presunta infracción. La ley tiene, por último, una larga lista de infracciones y sanciones en materia de protección de datos personales.
Por último, los aspectos relativos a los nuevos derechos digitales de la ciudadanía constituyen un aspecto novedoso que tendrá una gran importancia para constituir una sociedad digitalmente avanzada. Me quedo hoy con el derecho a la educación digital que deberá servir para garantizar “la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales”. Lo cual se manifiesta también con las personas mayores y aquellas que no disponen de conocimientos para el acceso a la sociedad digital
Como se ha podido observar en estas líneas, la nueva LOPD contiene numerosos aspectos que son de interés para la ciudadanía y para las entidades que se encuentran en su ámbito de aplicación.