asesoria@asinem-asesores.com
942 235 958

Noticias del sector

Ley de Protección de Datos Personales y garantía de los derechos digitales

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Dispone el artículo 18.4 de nuestra Constitución Española de 1978 que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Era evidente, que con los grandes avances tecnológicos, ofimáticos e informáticos que se presentan cada vez con mayor rapidez en nuestra sociedad, la necesidad de regulación por una nueva Ley para dar una mayor seguridad a los datos de carácter personal. De ahí, que la reciente Ley Orgánica pase a denominarse para la protección de datos personales y garantía de los derechos digitales.

Historia de la protección de datos

La Constitución 1978 fue pionera en la protección de los datos personales dando así cobertura a los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa. Por aquella época pocos países de nuestro entorno ostentaban una regulación de este derecho fundamental.

Como bien indica el artículo 18.4 Constitución Española, es, mediante Ley, la forma en la que se tiene que dar la concreción y protección a las personas en relación con el tratamiento de sus datos personales, siendo entonces la primera regulación en nuestro país la conocida LORTAD (Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales).  Posteriormente, a fin de trasponer a nuestro derecho a la Directiva 95/46/ CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la LORTAD fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales. Esta ley orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección de datos en España que se complementaría con una abundante jurisprudencia procedente de los órganos de la jurisdicción contencioso-administrativa.

A nivel europeo, este derecho fundamental se encuentra reconocido en la Carta de los Derechos Fundamentales de la Unión Europea y en el Tratado de Funcionamiento de la Unión Europea (TFUE). Pero en los últimos años de la década pasada, bastantes fueron los deseos de lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada. Así, la Comisión lanzó el 4 de noviembre de 2010 una Comunicación titulada «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el germen de la posterior reforma del marco de la Unión Europea. Al mismo tiempo, el Tribunal de Justicia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta fundamental en su interpretación.

El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) y por el que se derogó la Directiva 95/46/CE, así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se derogó la Decisión Marco 2008/977/JAI del Consejo.

¿Por qué adquiere esta denominación?        

Que la Ley Orgánica 3/2018, de 5 de diciembre, tenga la denominación de “Protección de Datos Personales y garantía de los derechos digitales” tiene fundamentalmente dos razones de ser: una mayor adaptación de nuestro ordenamiento jurídico al Reglamento Europeo General de Protección de Datos, de una manera proporcional a su propio objetivo, que, no es otro, sino el de procurar la seguridad jurídica, y, por otro, dar impulso a los derechos de la ciudadanía en Internet promoviendo la igualdad de los ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de los derechos fundamentales en la realidad digital.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, conocido como Reglamento general de protección de datos, ha pretendido con su eficacia directa superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, porque la transposición de esta directiva por los Estados miembros supuso un mosaico normativo irregular en el conjunto de la Unión Europea, dando lugar a numerosas diferencias en la protección de los derechos de los ciudadanos.

La rápida evolución tecnológica y la globalización, ha hecho que los datos personales sean el recurso fundamental de la sociedad de la información. Con el Reglamento general de protección de datos, se atiende a todas estas circunstancias, principalmente la derivada del aumento de los flujos transfronterizos de los datos personales como consecuencia del mercado interior.

El carácter central de la información personal tiene aspectos muy positivos, pero a la vez, supone grandes riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, siendo accesibles, cada vez más, por un mayor número de actores, y más fáciles de procesar, mientras que es más difícil su control en el destino y su uso. Por esa razón, el propio Reglamento permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Así, el Reglamento general de protección de datos contiene un buen número de habilitaciones a los Estados miembros, a fin de regular determinadas materias, permitiendo incluso que, cuando sus normas deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros, éstos tengan la posibilidad de incorporar al derecho nacional previsiones contenidas específicamente en el reglamento, en la medida en que sea necesario por razones de coherencia y comprensión. 

El principio de seguridad jurídica, tiene dos vertientes: positiva y negativa. Su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera clara y pública que permita su pleno conocimiento tanto a los operadores jurídicos como a los propios ciudadanos. La vertiente negativa, conlleva que, tales Estados tienen la obligación de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. Por lo que el principio de seguridad jurídica impone que la normativa interna de los Estados que resulte incompatible con el Derecho de la Unión Europea quede definitivamente eliminada mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse. Además, los reglamentos, pese a su característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación.

Todas estas razones, constituye la primera premisa de la nueva Ley Orgánica de Protección de Datos Personales, requiriendo, por tanto, la elaboración de una nueva ley orgánica que sustituyera a la actual, siendo su razón de ser fundamental el principio de seguridad jurídica.

La segunda premisa, la configura Internet. El preámbulo de la nueva ley orgánica, lo define como una realidad omnipresente tanto en nuestra vida personal como colectiva. Y nada más lejos de la realidad, los ciudadanos, evolucionamos y nos desarrollamos en nuestra era actual según lo hace la Red Informática.

Internet se ha convertido en una herramienta imprescindible para todo ciudadano. Representa un amplio abanico de oportunidades a todos los niveles; comunicación, ocio, relaciones interpersonales, laborales, económicas, etc. Pero igualmente, conlleva grandes y nocivos daños.

En este contexto, países de nuestro entorno ya han aprobado normativa que refuerza los derechos digitales de la ciudadanía. España, ahora, le proporciona la primera protección en base al derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y que, en algunos casos, ya ha sido perfilado por la jurisprudencia ordinaria, constitucional y europea.

Contenido

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.

A modo de resumen, podemos simplificar su estructura en la siguiente:

  • El Título I, relativo a las disposiciones generales. Hace referencia al propio objeto de la ley y, como novedad importante, se destaca la regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
  • El Título II, relativo a los principios de protección de datos.
  • El Título III, dedicado a los derechos de las personas, en el que se recoge el principio de transparencia en el tratamiento de los datos previsto en el reglamento europeo, regulándose el derecho de los afectados a ser informados acerca del tratamiento y, también, la denominada “información por capas”, generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
  • En el Título IV se recogen disposiciones aplicables a tratamientos concretos, por el que se incorporan una serie de supuestos, tales como, los relacionados con la función estadística o con fines de archivo de interés general, la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un interés público.
  • El Título V se refiere al responsable y al encargado del tratamiento. Se recogen las medidas generales de responsabilidad activa, el régimen aplicable al encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.
  • El Título VI, relativo a las transferencias internacionales de datos, procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
  • El Título VII se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 se han de establecer por ley nacional. La ley orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
  • El Título VIII regula los procedimientos en caso de posible vulneración de la normativa de protección de datos. La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos, siendo posible que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta; la inadmisión de las reclamaciones; las actuaciones previas de investigación; las medidas provisionales, entre las que destaca la orden de bloqueo de los datos; y el plazo de tramitación de los procedimientos y, en su caso, su suspensión. Las especialidades del procedimiento se remiten al desarrollo reglamentario.
  • El Título IX, que contempla el régimen sancionador.
  • El Título X, reconoce y garantiza los derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. En particular, son objeto de regulación los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.
  • Las disposiciones adicionales se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos, autorización judicial en materia de transferencias internacionales de datos, la protección frente a prácticas abusivas que pudieran desarrollar ciertos operadores, o los tratamientos de datos de salud, entre otras.
  • Las disposiciones transitorias están dedicadas, entre otras cuestiones, al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680.
  • Finalmente, se recoge una disposición derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con carácter de ley ordinaria, el título competencial y la entrada en vigor. Las disposiciones finales proceden a la modificación de las siguientes leyes:

– Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
– Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
– Ley 14/1986, de 25 de abril, General de Sanidad.
– Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
– Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.
– Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.
– Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
– Ley Orgánica 2/2006, de 3 de mayo, de Educación.
– Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
– Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
– Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
– Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.

TEXTO COMPLETO:

Source: Actualidad normativa

RSS
Facebook
Twitter
Instagram