Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales
ley orgánica sobre protección de datos y derechos digitales de España
From Wikipedia, the free encyclopedia
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD) es una ley orgánica aprobada por las Cortes Generales de España que tiene por objetivo adaptar el Derecho interno español al Reglamento General de Protección de Datos. Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal[3] (aunque se mantiene vigente para la regulación de ciertas actividades).[n. 1][n. 2]
España| Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales | ||
|---|---|---|
| Extensión territorial |
España | |
| Legislado por | Cortes Generales | |
| Referencia del diario oficial | BOE-A-2018-16673 | |
| Historia | ||
| Aprobación |
18 de octubre de 2018 (Congreso)[1] 21 de noviembre de 2018 (Senado)[2] | |
| Promulgación | 05 de diciembre de 2018 | |
| Publicación | 06 de diciembre de 2018 | |
| Entrada en vigor | 07 de diciembre de 2018 | |
| Legislación relacionada | ||
| Reemplaza | Ley Orgánica 15/1999, de 13 de diciembre | |
| Legislación vigente | ||
Esta ley entró en vigor el 7 de diciembre de 2018.
Estructura
La Ley consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.
Título I
Es el relativo a las disposiciones generales de la Ley.
Según su artículo primero, el propósito de la ley orgánica es dual: en primer lugar, adaptar el derecho español a lo dispuesto en el Reglamento General de Protección de Datos y, como novedad conexa, «garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución».
Título II
Es el relativo a los principios en la protección de los datos personales: exactitud, confidencialidad, consentimiento y tratamiento de datos de naturaleza especial como los penales y los relativos a menores de edad (se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento).
Título III
El Título III enuncia los derechos de las personas en relación la protección y tratamiento de sus datos personales y que son, de conformidad con el Reglamento europeo, los siguientes: acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Son una novedad, con respecto a la regulación anterior, los derechos de limitación del tratamiento y a la portabilidad de los datos
Título IV
En el Título IV se recogen las disposiciones aplicables a tratamientos concretos. Son normas a observar cuando por parte de un responsable se pretenda proceder al tratamiento de una serie de datos concretos.
Cabe destacar en este título la regulación relativa a la inclusión y tratamiento de datos por parte de entidades de información crediticia, conocidos popularmente como «listas de morosos».
Reconociendo la licitud del tratamiento de datos con fines de información crediticia, este se somete a determinadas cautelas. Así el artículo 20 señala que solo podrán incorporarse datos de «deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes».
Del mismo modo el acreedor, necesariamente y a la hora de celebrar el contrato, tiene que informar a la contraparte de la existencia de la posibilidad de ceder sus datos a dichas entidades en caso de incumplimiento, indicando además cuáles usa.
Las entidades podrán tratar y mantener esos datos mientras subsista el incumplimiento, pero estableciéndose un plazo máximo de cinco años al cabo de los cuales, subsista o no el incumplimiento, deberán ser suprimidos.
La Disposición Adicional sexta de la Ley prohíbe la inclusión de los datos en esos ficheros cuando se trate de deudas cuyo importe principal (es decir, sin intereses ni penalizaciones) sea inferior a 50 Euros, aunque se habilita al Gobierno para actualizar esa cantidad mediante Real Decreto.
Título V
El Título V se refiere al responsable y al encargado del tratamiento de los datos. En contraposición al anterior modelo de basado en el control del cumplimiento, el actual establecido por la Ley y el Reglamento es el de responsabilidad activa, debiendo los responsables evaluar a priori los datos que desean tratar para a continuación adoptar las medidas de seguridad necesarias para el tratamiento a efectuar. Se recogen también disposiciones relativas a la figura del Delegado de Protección de Datos (DPD o, en inglés, DPO).
Título VI
El Título VI regula las transferencias internacionales de datos.
Título VII
El Título VII se ocupa del estatuto jurídico de la Agencia Española de Protección de Datos como autoridad estatal de control. Su Capítulo II regula las competencias de las autoridades de protección de datos que pudiesen existir en las comunidades autónomas (en la actualidad solo existen en Andalucía, Cataluña y País Vasco), cuyas competencias quedarán en todo caso circunscritas a los tratamientos de datos personales efectuados por el sector público autonómico; y la obligación de las autoridades de control de cooperar entre ellas.
Título VIII
El Título VIII regula los procedimientos en caso de posible vulneración de la normativa de protección de datos.
Título IX
El Título IX regula el régimen sancionador por las infracciones a la Ley, determinando a los sujetos responsables y estableciendo un catálogo de infracciones clasificadas en muy graves, graves y leves. La Ley remite al Reglamento General de Protección de Datos por lo que respecta a la cuantía y graduación de la responsabilidad de las sanciones. Se regulan igualmente los plazos de prescripción de las infracciones.
Como excepción, el artículo 77, párrafo segundo de la Ley dispone que cuando los responsables infractores sean organismos con relevancia constitucional o administraciones públicas la Ley dispone que solo podrán ser sancionados con un apercibimiento, descartando así la posibilidad de sancionar económicamente a estos entes, tal y como sucedía con la anterior Ley Orgánica 15/1999, de 13 de diciembre.
Título X
El Título X de la Ley reconoce y garantiza una serie de derechos que la ley denomina como "digitales" tales como la neutralidad de la Red y su acceso universal, el derecho a la seguridad y a la educación digital, el derecho al olvido, el derecho a la portabilidad de los datos digitales y el testamento digital; siendo igualmente regulado el derecho a la desconexión digital en el marco de las relaciones laborales. Asimismo reconoce el derecho al olvido en buscadores y redes sociales.
Controversias
Recopilación de datos personales por partidos políticos
La disposición final tercera de la Ley añadió un nuevo artículo cincuenta y ocho bis a la Ley Orgánica del Régimen Electoral General, que permitía a los partidos políticos, por considerarlo «amparado por el interés público», recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales siempre y cuando dichas actividades se realicen con «garantías adecuadas». Del mismo modo permitía a los partidos políticos «utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral» tales como el envío de propaganda electoral por medios electrónicos o a través de las redes sociales.
Este artículo parecía encontrar amparo en el Considerando 56 del Reglamento General de Protección de Datos, que dispone que «si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas»[4]
Esta disposición causó honda preocupación en el sector jurídico pues las actividades anteriores no necesitaban de consentimiento previo y aparentemente hubiese permitido crear bases de datos de ciudadanos basándose en sus opiniones políticas, así como crear perfiles de los mismos.[5] Según algunos sectores, con esta práctica se hubiese legalizado el caso Cambridge Analytica en España.[6]
La Agencia Española de Protección de Datos ha indicado que su criterio es que la Ley no permite la creación de bases de datos ideológicas ni el envío de información personalizada basada en perfiles ideológicos o políticos.[7][8]
El partido político Unidos Podemos en su día anunció que presentaría un recurso de inconstitucionalidad contra dicho artículo por entender que resultaba contrario a los artículos 16 y 18 de la Constitución española, aunque finalmente no lo hizo.[9]
Quien sí presentó un recurso de inconstitucionalidad contra esa disposición fue el Defensor del Pueblo de España.[10][11][12] Dicho recurso fue admitido a trámite el 12 de marzo de 2019.[13][14][15] El 22 de mayo de 2019 y por unanimidad de sus doce miembros, el pleno del Tribunal Constitucional estimó dicho recurso, declarando el precepto inconstitucional y nulo.[16][17]
Notas
- Disposición adicional decimocuarta. Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE.- Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
- Disposición transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.- Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva. y modifica toda una serie de legislación especial conexa con la materia.
