Nueva guía sobre la gestión del riesgo y evaluación de impacto en tratamientos de datos personales publicado por la Agencia Española de Protección de Datos.

  • Equipo de Easy Telecom Law
  • 2 julio, 2021
EIPD evaluación de impacto de protección de datos

Esta guía ofrece una visión unificada de la gestión de riesgos y las evaluaciones de impacto, aportando nuevos criterios.

En la misma se abordan interrogantes tan importantes como los siguientes.

¿Qué es la gestión del riesgo?

La gestión del riesgo es un elemento capital en los procesos de cualquier organización y es una parte inherente de la gestión de toda entidad, proyecto o actividad humana.

La gestión de riesgo está formada por un conjunto de acciones ordenadas y sistematizadas con el propósito de controlar las posibles (probabilidad) consecuencias (impactos) que una actividad puede tener sobre un conjunto de bienes o elementos (activos) que han de ser protegidos. La gestión del riesgo precisa de un análisis, es decir, una reflexión crítica y objetiva de un tratamiento, requiere tomar decisiones que se han de plasmar en hechos concretos (controles) que minimicen el impacto sobre los activos hasta unos niveles tolerables.

¿Qué es una evaluación de impacto (EIPD)?

Un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos.

¿Cómo interaccionan la EIPD y la gestión del riesgo?

La EIPD forma parte del proceso de gestión de riesgos para los derechos y libertades de las personas físicas en lo que respecta al tratamiento de sus datos personales. En la definición del CEPD, una de las misiones de la EIPD es “ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento”.

Con todo esto, podemos destacar que una buena gestión del riesgo en materia de protección de datos protege los derecho y libertades de los interesados. La utilización de herramientas de gestión va más allá que la simple elaboración de doc

Carlos Sastre - asesor Easy Telecom Law
Carlos Sastre – asesor

Carlos Sastre

Graduado en Derecho, Máster en derecho de las telecomunicaciones, protección de datos, audiovisual y sociedad de la información, redactor de contenidos jurídicos , investigador de los usos de la dark web por bandas terroristas y cursando Máster de Acceso a la Abogacía.

Últimas entradas

La AEPD actualiza su nueva versión de su guía para notificar brechas de datos personales.

  • Equipo de Easy Telecom Law
  • 2 julio, 2021
Notificación de Datos Personales

¿Cuál es el objetivo de la presente guía?

El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados.

¿Qué es una brecha de datos personales? ¿Qué no lo es?

El RGPD define, de un modo amplio, las “brechas de datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

¿En qué circunstancias no se consideraría brecha de seguridad?

 No tendrán consideración de brecha de datos personales sujetas a los artículos 33 y 34 del RGPD aquellos incidentes que:

• No afecten a datos personales, es decir, a datos que no sean de personas físicas identificadas o identificables.

• No afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado.

 • Ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.

¿Pueden sancionarme económicamente por no notificar una brecha de seguridad?

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

¿Es obligatorio notificar a los afectados la brecha de seguridad?

No será necesaria la comunicación a los afectados cuando:

• El responsable ha tomado medidas técnicas y organizativas adecuadas que evitan los riesgos anteriores, minimizan los daños a los derechos y libertades y/o los hacen reversibles.

• El responsable ha tomado con posterioridad a la brecha de datos personales las medidas de protección que mitiguen total.

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control. Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha.

Carlos Sastre - asesor Easy Telecom Law
Carlos Sastre – asesor

Carlos Sastre

Graduado en Derecho, Máster en derecho de las telecomunicaciones, protección de datos, audiovisual y sociedad de la información, redactor de contenidos jurídicos , investigador de los usos de la dark web por bandas terroristas y cursando Máster de Acceso a la Abogacía.

Últimas entradas

Nueva Ley Orgánica 7/2021 de mayo: Así serán los derechos de protección de datos en casos de infracciones y sanciones penales

  • Equipo de Easy Telecom Law
  • 29 junio, 2021
Protección de Datos Infracciones y sanciones penales

Se publica la nueva Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Esta Ley Orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

La presente Ley es una transposición de una directiva europea, la 2016/680 de 27 de abril de 2016 (se puede leer aquí). Esta directiva fue aprobada por el Parlamento Europeo. El 25 de febrero de 2021 el Tribunal de Justicia de la Unión Europea condenó a España a pagar una multa de 15 millones de euros, además de una multa coercitiva diaria de 89.000 euros por no haber transpuesto esa directiva, siendo esta la causa de la presente Ley Orgánica.

Asimismo, en correspondencia con lo que dispone el artículo 22.6 de la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales ( LOPDGDD), cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en esta Ley Orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta Ley Orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos. De este modo, se establece un nuevo sistema que gira en torno a las obligaciones de los responsables del tratamiento y a las distintas obligaciones que se les asignan.

Destacamos que, aunque se deben excluir con carácter general, se incluyen igualmente algunas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la LOPDGDD.

Carlos Sastre - asesor Easy Telecom Law
Carlos Sastre – asesor

Carlos Sastre

Graduado en Derecho, Máster en derecho de las telecomunicaciones, protección de datos, audiovisual y sociedad de la información, redactor de contenidos jurídicos , investigador de los usos de la dark web por bandas terroristas y cursando Máster de Acceso a la Abogacía.

Últimas entradas

Recomendaciones de la AEPD para minimizar el seguimiento durante tu navegación por Internet

  • Equipo de Easy Telecom Law
  • 13 noviembre, 2020

La Agencia Española de Protección de Datos (AEPD) publicó recientemente, una Nota Técnica muy interesante, contentiva de tips o recomendaciones a tener en cuenta para minimizar el riesgo de nuestra privacidad mientras navegamos online, dicha nota está dirigida a usuarios con conocimientos tanto medios como avanzados del uso de internet.

¿Qué sucede cuando navegamos por Internet?

Cuando navegamos por Internet estamos expuestos a ciertas prácticas que afectan directamente a nuestra privacidad, como lo son el seguimiento de la actividad de navegación al visitar diferentes páginas webs. Este seguimiento normalmente se realiza a través de las famosas “cookies”, que no son más que ficheros que se descargan para almacenar y recuperar información, no solo en tu ordenador si no en cualquier otro equipo terminal como tus teléfonos móviles o tablets, cuyo principal objetivo es la elaboración de perfiles para ofrecerte publicidad ajustadas a tus características e intereses, recopilando a su vez información estadísticas de acceso a los servicios webs, que dependiendo de la forma que se utilicen pueden utilizarse para reconocer al usuario.

Pero, ¿sólo a través de las cookies pueden hacerme seguimiento a través de mi navegación en Internet?

No, además de las cookies existen otros métodos o técnicas para conseguir este propósito como las que se basan en identificadores únicos de publicidad o las implementadas mediante obtención de la huella digital del dispositivo. Puedes hacer clic en el siguiente enlace para más información sobre la primera técnica, o en este https://www.aepd.es/media/notas-tecnicas/nota-tecnica-android-advertising-id.pdf, para obtener más detalle de la segunda.

De igual manera, los logs (registros de actividad) de los servidores, pueden efectuar el referido seguimiento mediante la correlación de la información almacenada en diversos sitios webs. Asimismo, es posible el seguimiento de la actividad del usuario cuando para iniciar sesión en una web o en una aplicación concreta se utiliza la cuenta de Facebook, Google u otros perfiles de redes sociales. Es importante destacar, que estas técnicas de seguimiento de usuarios no son sólo para los navegadores que utilizan los ordenadores personales, los móviles, tablets y otros dispositivos inteligentes, como las Smart TV, también utilizan identificadores únicos de publicidad.

Por último, pero menos importante, se debe tener en cuenta otro elemento, y es que los navegadores web y los dispositivos también permiten iniciar sesión con una cuenta de correo electrónico, con lo cual, al mantener la sesión de usuario iniciada, el historial de navegación puede estar siendo enviado automáticamente al proveedor de ese servicio.

¿Qué podemos hacer para minimizar los riesgos de nuestra privacidad cuando usamos Internet?

Es importante que conozcas, que cuando visitas una página web no solo accedes a ese único sitio, sino que al mismo tiempo nuestra información es redirigida a múltiples servidores de terceros, que por lo general ofrecen al sitio web principal el servicio de publicidad y análisis para el seguimiento de la actividad de cada usuario. Por tal motivo, la mayoría de las técnicas que se utilizan para mejorar el control del seguimiento del usuario en Internet se basan en la posibilidad de minimizar la instalación de cookies de terceros, o evitar directamente, que se acceda a esos sitios de terceros. A continuación, algunos tips o recomendaciones contenidas en la infografía publicada por la AEPD para minimizar el seguimiento de nuestra actividad al utilizar Internet:

Si quieres ampliar el contenido de esta información visita el siguiente enlace: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-publica-recomendaciones-privacidad-navagacion

Se actualiza la Guía sobre el uso de cookies de la AEPD de conformidad con las directrices del Comité Europeo de Protección de Datos

  • Equipo de Easy Telecom Law
  • 28 octubre, 2020

El Comité Europeo de Protección de Datos (CEPD) creado bajo el amparo del Reglamento General de Protección de Datos (RGPD), que sustituyó al Grupo de Trabajo del Artículo 29, el pasado 04 de mayo de 2020 adoptó en sus Directrices 05/2020 aclaraciones respecto a la condicionalidad del consentimiento y el consentimiento inequívoco de conformidad con el referido reglamento, motivo por el cual la AEPD actualizó el contenido de su “Guía sobre el uso de cookies”, que conlleva a que los prestadores de servicios de la sociedad de la información modifiquen sus políticas de cookies e introduzcan herramientas de gestión de las mismas, antes del 31 de octubre de 2020.

La AEPD indica que lo que pretende con la actualización y las soluciones propuestas en dicha guía, es orientar sobre cómo cumplir con las obligaciones previstas en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), de acuerdo con lo establecido en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD). El referido artículo 22 relativo a los “Derechos de los destinatarios de servicios” prevé en su apartado segundo lo siguiente:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. (…).” (Subrayado nuestro).

Lo anterior, será de aplicación a cualquier dispositivo de almacenamiento y recuperación de datos (cookies y/o tecnología similar de almacenamiento y recuperación de información), en cualquier equipo terminal de los destinatarios, siendo destinatarios según la LSSICE “toda persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información” (internet). Con lo cual, sí se utilizan cookies que efectúan tratamiento de datos personales, los responsables de tal tratamiento, es decir, los prestadores del servicio (titulares de páginas web, plataformas y aplicaciones), deberán asegurarse del cumplimiento de las exigencias adicionales previstas por la normativa sobre protección de datos personales (RGPD y LOPDGDD).

En este sentido, las obligaciones legales a cumplir son:

  1. obligación de transparencia, que no es más que el deber de información (claro y completo) que se debe facilitar previamente al usuario sobre la utilización de las cookies y, en particular, sobre los fines del tratamiento de los datos que se almacenen, y
  2. obligación de obtención del consentimiento por parte del usuario, el cual podrá conseguirse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies de conformidad con lo anterior. En ningún caso, la mera inactividad del usuario implicará la prestación del consentimiento por sí misma, y no podrán utilizarse los denominados “muros de cookies” que no ofrezcan una alternativa a dicho consentimiento.

Es importante destacar, que quedan exceptuadas del cumplimiento de las obligaciones dispuesta en el artículo 22.2 LSSICE, las cookies conocidas como “cookies técnicas”, utilizadas para las finalidades que se detallan a continuación:

• Permitir únicamente la comunicación entre el equipo del usuario y la red.

• Estrictamente prestar un servicio expresamente solicitado por el usuario.

• Cookies de “entrada del usuario”.

• Cookies de autenticación o identificación de usuario (únicamente de sesión).

• Cookies de seguridad del usuario.

• Cookies de sesión de reproductor multimedia.

• Cookies de sesión para equilibrar la carga.

• Cookies de personalización de la interfaz de usuario.

• Determinadas cookies de complemento (plug-in) para intercambiar contenidos sociales.

Por consiguiente, se recomienda una revisión de las cookies utilizadas en la actualidad, a fin de verificar si se cumple o no con las previsiones de la LSSICE, y adicionalmente, en materia de protección. Nuestro despacho posee personal cualificado que puede ayudarte en este sentido. Si quieres ampliar esta información así como sus implicaciones legales, puedes contactarnos a través de sor@easytelecomlaw.com.

Privacy Shield UE-EE.UU declarado inválido por el Tribunal de Justicia de la Unión Europea

  • Equipo de Easy Telecom Law
  • 28 julio, 2020

Mediante comunicado de prensa Nº 91/20 de fecha 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea anunció la publicación de la Sentencia en el asunto C-311/18 “Data Protection Commissioner/Maximillian Schrems y Facebook Ireland” de la misma fecha, que invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de Privacidad UE-EE.UU, y a su vez declara, que es válida la Decisión 2010/87 de la Comisión relativa a las Cláusulas Contractuales Tipo para la transferencia de datos personales a los encargados de tratamiento establecidos en el tercer país.

Con lo cual, al haber declarado la Gran Sala que el “Escudo de Privacidad (Privacy-Shield UE – EE.UU)” es inválido, se considera transferencia internacional a toda cesión o comunicación de datos personales desde un Estado miembro de la Unión Europea hacia los EE.UU, debiéndose regularizar esta situación a través de Cláusulas Contractuales Tipo de protección de datos que dicho Tribunal considera “gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el RGPD, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea”.

Al parecer, dichas Cláusulas Contractuales Tipo están siendo actualizadas por la Comisión Europea, y se espera sean publicadas en breve.

Empresas como Google y Mailchimp, a día de hoy, cuentan con Cláusulas Contractuales Tipo reconocidas por las autoridades competentes en materia de protección de datos de la UE. Otras como Zoom, indican en sus políticas de protección de datos, que si realizan transferencias internacionales de datos personales de residentes en la UE fuera de esta, tratarán los mismos en un territorio que ofrezca un nivel adecuado de protección de la información personal de acuerdo con lo establecido por la Comisión Europea, o bien, aplicarán las medidas de seguridad adecuadas para proteger la información personal mediante cláusulas contractuales tipo de la Comisión Europea.

Con lo cual, y mientras las Cláusulas Contractuales Tipo son actualizadas y publicadas por la Comisión Europea, te recomendamos que confirmes sí los proveedores que estas utilizando, que se encuentra establecidos en EE. UU, y qué se consideraban, cumplían con las garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de acuerdo con los requisitos del RGPD al estar adheridos al Privacy Shield, cuentan con Cláusulas Contractuales Tipo, válidas y reconocidas, por las autoridades europeas competentes en materia de protección de datos. De igual manera, si estás por elegir proveedor, que por razón a la actividad que le encomiendes deba tratar datos personales de tu titularidad; por ahora, y a fin de evitar incumplimientos innecesarios en esta materia, podrías escoger proveedores sitos dentro de la UE o que ofrezcan las mismas garantías que éstos.

Aprobado el Proyecto de la nueva L.O.P.D.

  • Equipo de Easy Telecom Law
  • 14 diciembre, 2018

Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, que adapta el ordenamiento jurídico español a la normativa Europea (RGPD) y completa sus disposiciones en esta materia, ha sido aprobado por el Senado en Pleno con 221 votos a favor, 21 en contra y ninguna abstención.

La referida Ley quedó definitivamente aprobada por las Cortes Generales, al no haber enmienda alguna al texto remitido por el Congreso, la cual entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado», situación que se prevé sea a la brevedad.

Dicha normativa consta de 97 artículos, organizados en 10 títulos; 22 disposiciones adicionales; 6 transitorias; 1 derogatoria y 16 finales. A continuación, algunos aspectos que pueden ser de su interés:

El Título I (art. 1 a 3), relativo a las disposiciones generales, regula el objeto y el ámbito de aplicación de la ley y establece que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el RGPD y en esta ley orgánica. Se incluye la regulación de los datos de las personas fallecidas, pues, tras excluir su tratamiento del ámbito de aplicación de la ley, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido. De igual manera, se excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas.

El Título II (arts. 4 a 10) regula los principios de protección de datos: exactitud de los datos; deber de confidencialidad; el tratamiento basado en el consentimiento del afectado; el consentimiento de los menores de edad; el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos; las categorías especiales de datos y el tratamiento de datos de naturaleza penal. Destacan en particular las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el RGPD, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, como la creación de «listas negras» de sindicalistas.

El Título III, sobre los derechos de las personas, se organiza en dos capítulos, el primero, “Transparencia e información” (art. 11), recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En el segundo Capítulo de este Título, “Ejercicio de los derechos” (arts. 12 a 18), se contemplan las disposiciones generales sobre ejercicio de los derechos y se regula el ejercicio de los derechos de acceso; rectificación; supresión.; a la limitación del tratamiento; a la portabilidad y de oposición.

El Título IV (arts. 19 a 27), contiene las disposiciones aplicables a una relación de tratamientos concretos que, según la exposición de motivos, “en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos”. Dentro de ellos se incluye, en primer lugar, aquellos tratamientos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, como el de los datos de contacto, de empresarios individuales y de profesionales liberales; de los sistemas de información crediticia y el de los tratamientos relacionados con la realización de determinadas operaciones mercantiles. Junto a estos supuestos se recogen otros tratamientos, como los tratamientos con fines de videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas, en los que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1 e) del RGPD.

El Título V se ocupa del responsable y del encargado del tratamiento. Su Capítulo I “Disposiciones generales. Medidas de responsabilidad activa”, (arts. 28 a 32), regula las obligaciones generales del responsable y encargado del tratamiento; los supuestos de corresponsabilidad; el representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea; el registro de las actividades de tratamiento y el cuestionado bloqueo de los datos. El Capítulo II “Encargado del tratamiento”, consta de un único artículo con el mismo título, y en el Capítulo III podemos encontrar la regulación del “Delegado de protección de datos” (arts. 34 a 37), que sistematiza los diversos aspectos de esta figura relevante, tales como: su designación, su cualificación, su posición dentro de las organizaciones y su intervención en caso de reclamación ante las autoridades de protección de datos. Finalmente, el Capítulo IV de este Título se ocupa de los “Códigos de conducta y certificación” (arts. 38 y 39).

En el Título VI (arts. 40 a 43) se contienen las normas aplicables a las Transferencias Internacionales de Datos, adaptando lo previsto en el RGPD en cuanto a los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.

El Título VIIAutoridades de protección de datos” se estructura en dos capítulos. El primero dedicado a la Agencia Española de Protección de Datos, se divide en tres secciones. La primera, “Disposiciones generales” (arts. 44 a 50), regula su régimen jurídico, presupuestario y de personal; sus funciones y potestades; la Presidencia de la Agencia, su Consejo Consultivo y la publicidad de sus actuaciones. La Sección 2.ª (arts. 51 a 56), se refiere a las potestades de investigación de la AEPD y sus planes de auditoría preventiva, regulando su ámbito y personal; el deber de colaboración con ella; el alcance de su actividad de investigación; sus planes de auditoría. Y la Sección 3.ª de este Capítulo (arts. 55 y 56), contempla las potestades de regulación y las Circulares de la AEPD, así como su acción exterior.

Dentro del mismo Título VII, su Capítulo II regula las Autoridades autonómicas de protección de datos en dos secciones. La primera (arts. 57 a 59), se dedica a las disposiciones generales que las regulan, a la cooperación institucional y a los tratamientos contrarios al RGPD. La segunda (arts. 60 a 62), regula la coordinación de sus actividades en el marco de los procedimientos establecidos en el Reglamento, como sucede en los casos de emisión de dictamen o de resolución de conflictos por el Comité Europeo de Protección de Datos; así como en caso de tratamientos transfronterizos.

El Título VIII (arts. 63 a 69), se refiere los Procedimientos Sancionadores por vulneración de la normativa de protección de datos: su régimen jurídico; la iniciación y duración del procedimiento; la admisión a trámite de las reclamaciones; el alcance territorial; las actuaciones previas de investigación y las medidas provisionales y de garantía de los derechos aplicables. Destaca la importancia de la determinación, con carácter previo a la tramitación de cualquier procedimiento, de si el tratamiento tiene o no carácter transfronterizo y, en caso afirmativo, la autoridad de protección de datos que ha de considerarse principal.

A continuación, el Título IX regula el fundamental régimen sancionador. En los arts. 70 a 78 se regulan los sujetos responsables; se tipifican las infracciones y se identifican las muy graves, graves y leves, a los solos efectos, se destaca “de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea”); la prescripción de las infracciones (“partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos”); las sanciones y medidas correctivas y la prescripción de las sanciones.

Finalmente, la Ley incorpora un Título X (arts. 79 a 97), denominado “Garantía de los derechos digitales”, a fin de “reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución”.

Según el preámbulo de la Ley este título obedece a la necesidad de “abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea”, todo ello en tanto “una deseable futura reforma de la Constitución” no incluya “la actualización de la Constitución a la era digital y, específicamente, [eleve] a rango constitucional una nueva generación de derechos digitales”.

Bajo estas premisas la nueva ley reconoce nuevos derechos como el de neutralidad de Internet; el de acceso universal a la Red; el derecho a la seguridad digital; el derecho a la educación digital y la protección de los menores en Internet; el derecho de rectificación en Internet y el de actualización de informaciones en medios de comunicación digitales; el derecho al olvido en búsquedas de Internet y en servicios de redes sociales y servicios equivalentes; el derecho de portabilidad en servicios de redes sociales y servicios equivalentes el también nuevo derecho al testamento digital.

Destacadamente, se añaden una serie de nuevos Derechos en el ámbito Laboral, como el derecho a la intimidad y al uso de dispositivos digitales; el derecho a la desconexión digital en el ámbito laboral; el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo; el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral y los derechos digitales en la negociación colectiva.

La disposición derogatoria única afecta expresamente a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal así como al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y, genéricamente, a “cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica”.

Por último, las disposiciones finales modifican la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa; la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial: la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno: la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General: la Ley 14/1986, de 25 de abril, General de Sanidad: la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; la Ley Orgánica 2/2006, de 3 de mayo, de Educación; la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades; el Texto Refundido de la Ley del Estatuto de los Trabajadores y el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.

 

 

Fuente: Noticias Jurídicas – Carlos B. Fernández (2018) “El Senado aprueba la Ley Orgánica de Protección de Datos y garantía de los derechos digitales”. Noticia disponible en: http://noticias.juridicas.com/nuevalopd/noticias/13464-el-senado-aprueba-la-ley-organica-de-proteccion-de-datos-y-garantia-de-los-derechos-digitales/. Fecha de publicación: 22/11/2018.