Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) 2018

La LOPDGDD modifica las exigencias en el tratamiento de información personal de usuarios y empresas. En este artículo te contamos todas las novedades de esta normativa y te damos todas las claves para adaptarte a este reglamento.

En este artículo hablamos de:

¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD)? 

Aunque muchos se siguen refiriendo a la ley española de protección de datos como LOPD, lo cierto es que el nombre completo de la normativa actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

Por tanto, si hablamos de protección de datos en España, la norma de referencia es la LOPDGDD.

Esta ley establece los requisitos y obligaciones en materia de protección de datos en empresas sobre cómo proceder con la información personal, así como los derechos que asisten a usuarios y consumidores.

Objeto de la Ley de protección de datos

La finalidad de la LOPDGDD es proteger la intimidad, privacidad e integridad del individuo, en cumplimiento con el artículo 18.4 de la Constitución Española. Del mismo modo, regula las obligaciones del individuo en todo proceso de transferencia de datos para garantizar la seguridad del intercambio.

Se consideran datos personales aquella información en texto, imagen o audio que permita la identificación de una persona. Existen datos que se consideran de poco riesgo, como el nombre o el correo electrónico, mientras que otros son considerados de riesgo más elevado, por ejemplo datos sensibles relacionados con la religión o la salud personal.

No se tratan como datos personales aquellos que no permiten identificar a una persona. Por ejemplo, manuales de maquinaria, previsiones meteorológicas o datos que han pasado a ser anónimos, es decir, ya no se pueden relacionar con ningún individuo. En este caso, la normativa a cumplir es el Reglamento de libre circulación de datos no personales.

Asimismo, otra de sus principales finalidades es establecer un marco legislativo para la protección de datos personales en Internet. En este sentido, incorpora puntos muy a tener en cuenta, como el derecho al olvido o a la portabilidad, además de cambios en la obtención del consentimiento para recoger y usar la información personal.

Principales modificaciones de la LOPDGDD 

La LOPDGDD establece bastantes cambios respecto a la anterior Ley de Protección de datos (1999). Se modifican los requisitos para obtener la información, guardarla o compartirla, y se establecen cambios en relación al tratamiento de datos de usuarios en internet. Lo vemos mejor en el siguiente epígrafe.

El objetivo de esta ley es hacer que las empresas y organizaciones tengan un compromiso mayor con el tratamiento de datos y archivos personales y regular la protección de datos. Para ello, establece una serie de modificaciones respecto a la antigua ley de protección de datos que llevaba vigente en España desde el año 1999.

tarifas proteccion datos

Anterior Ley de Protección de datos (LOPD 15/1999)

La ley 15/1999 era la normativa de protección de datos que estaba vigente en España desde hacía ya casi 20 años. Se trata de una ley que se había quedado ya bastante obsoleta, sobre todo porque no ofrecía la protección necesaria a los ciudadanos y no se adaptaba a las exigencias de la la nueva era digital, marcada por la transmisión y tratamiento de datos a través de internet y medios electrónicos.

Por ello, y a la luz de la entrada en vigor del Reglamento General de Protección de Datos, el cual deja abierta la posibilidad de cada cada país desarrolle su propia ley (siempre y cuando no contravenga las indicaciones del RGPD) en España se ha desarrollado la llamada LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la cual incorpora una serie de novedades que es necesario destacar.

Actual Ley de Protección de datos (LOPD-GDD 3/2018)

La nueva LOPDGDD o Ley Orgánica de Protección de datos y Garantía de los Derechos Digitales establece una nuevo marco jurídico para la protección de datos en España, amparada por el RGPD.

  • Se amplía la información que se les debe dar a los usuarios en relación con el tratamiento de sus datos, así como sus derechos en esta materia.
  • Se incorpora el concepto de privacidad desde el diseño. Esto se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la LOPDGDD desde un primer momento.
  • Las brechas en la seguridad que puedan afectar a los datos personales deben ser notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos). Si, además, en esa violación se pueden ver afectados datos de carácter sensible y con gran repercusión a los afectados, también se le deberá notificar a los mismos.
  • El consentimiento, con carácter general, debe ser libre, informado, específico e inequívoco. Las empresas deben revisar la forma en la que obtienen y guardan el consentimiento. Para poder considerar que el consentimiento es “incuestionable”, el Reglamento General de Protección de Datos requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado. La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.
  • Define la figura del Delegado de Protección de Datos.

Últimas novedades de la ley de protección de datos personales 2022

La esencia de la ley de protección de datos es adaptar el ordenamiento español al Reglamento general de Protección de Datos. Para ello, el modelo español ha tenido que incorporar algunas novedades importantes. Entre otras cuestiones, se recogen nuevas obligaciones sobre tratamiento de datos personales en procedimientos transfronterizos, y establece garantías para la investigación biomédica más allá de la protección personal.

A continuación vemos los cambios que introduce esta normativa respecto a la antigua LOPD de 1999.

Datos de personas fallecidas

La ley 3/2018 indica que podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de personas fallecidas y, en su caso, su rectificación o supresión:

  • Personas vinculadas por razones familiares o de hecho.
  • Instituciones o personas a las que el fallecido hubiese designado expresamente para ello.
  • Representantes legales de los menores y el Ministerio Fiscal.
  • Representantes legales de las personas con discapacidad, el Ministerio Fiscal y el personal de apoyo.
Novedades de la ley organica de proteccion de datos y garantia de derechos digitales

Novedades de la LOPDGDD

Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

El tratamiento debe fundamentarse en una norma que recoja esa obligación legal, interés público o ejercicio de poder público.

A este respecto, la AEPD ha analizado la base jurídica de los tratamientos de datos por parte de Administraciones Públicas en un Informe. Y señala que la ley “no considera el consentimiento como un fundamento jurídico válido para el tratamiento de los datos por una Administración Pública”.

Datos de contacto y de empresarios individuales

La base jurídica para tratar la protección de datos en autónomos sería el interés legítimo cuando su finalidad sea profesional.

Por ejemplo, puedes tratar los datos de contacto de un fontanero que va a realizarte una instalación en tu empresa.

Archivo público

Será lícito el tratamiento de datos por las Administraciones Públicas con fines de archivo basado en el interés público. Este se indicará en la normativa sectorial de archivo y patrimonio.

Consentimiento de menores

La ley orgánica de protección de datos establece que la edad en la que pueden consentir el tratamiento de sus datos personales es de 14 años.

Es decir, es una posibilidad, no una obligación que consientan de 14 años en adelante. En caso de menores de 14 años, deberán dar ese consentimiento sus padres o tutores legales.

Nueva LOPD derechos digitales 2018

Derechos digitales en la nueva LOPD

Categorías especiales de datos

No vale sólo el consentimiento para tratar datos de ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Se establecen otros requisitos para tratar esos datos:

  • Sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado. Si lo autoriza el Derecho de la Unión de los Estados miembros o un convenio colectivo y se establecen garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
  • Sea imprescindible para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
  • Se realice, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. Si se refiere exclusivamente a los miembros actuales o antiguos de tales organismos y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
  • Se refiera a datos personales que el interesado ha hecho manifiestamente públicos.
  • Sea imprescindible para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • Existan razones de un interés público esencial.

Videovigilancia

La ley de protección de datos personales contempla que la empresa pueda tratar las grabaciones obtenidas por cámaras fotográficas y de vídeo. Además de aquellos datos relacionados con la localización del trabajador siempre que sea para el ejercicio de las funciones de control de los empleados previstas en el Estatuto de los trabajadores y se ejerzan dentro de la ley.

  • *No podrá haber cámaras en zonas de descanso, baños, vestuarios, aseos, etc.

La finalidad de la videovigilancia será la de garantizar la seguridad de las personas y bienes, así como de sus instalaciones.

Los datos deberán ser suprimidos en el plazo de 1 mes y el derecho de información se puede cumplir con un cartel en el que se recoja:

  • El tratamiento
  • Responsable de tratamiento
  • Lugar donde ejercer los derechos
  • Lugar donde consultar más información

En general, se prohíben en las zonas de esparcimiento y descanso.

Además, obliga a la empresa a informar a sus empleados de la existencia y localización de estos dispositivos de grabación, y de lo que supondrá descubrir determinadas actuaciones a través de ellos.

Caso práctico:

Uno de los ejemplos más conocidos de los últimos tiempos sobre videovigilancia de trabajadores es el caso López Ribalta. Veamos cuáles fueron los hechos.En una cadena de alimentación, los gerentes observaron un desfase entre el stock y la facturación de las cajas. Para detectar de dónde provenía esta diferencia, el supermercado instaló dos tipos de cámaras de seguridad.

  • Cámaras visibles que enfocaban a los clientes.
  • Cámaras ocultas que grababan a los empleados en las cajas.

Las pruebas determinaron que cinco empleados estaban implicados en el robo de dinero en cajas, y éstos fueron despedidos.

Los empleados demandaron al supermercado, alegando que el despido vulneraba el artículo 8 de su convenio, que exigía respeto a la vida privada. Sin embargo, el Tribunal Superior de Justicia de Cataluña falló a favor del empresario, alegando que tenía sospechas fundadas para instalar las cámaras y las medidas de control eran proporcionadas.

Sin embargo, el Tribunal Europeo de Derechos Humanos ha terminado por darle la razón a los trabajadores, en una sentencia que ha creado precedente. El TEDH estimó que la empresa había vulnerado el artículo 5 de la Ley Orgánica de Protección de Datos de Carácter Personal.

Infracciones penales 

Sólo se podrán tratar estos datos cuando:

  • Los responsables de tratamiento sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones. Siempre y cuando, estos datos sean estrictamente necesarios para la finalidad perseguida por esos órganos.
  • Se prevea por una norma legal.
  • Se lleve a cabo por Abogados y Procuradores, con objeto de recoger la información facilitada por sus clientes en el ejercicio de sus funciones.
Novedades LOPDGDD

Novedades LOPD-GDD

Responsabilidad proactiva

También llamado Accountability. Esta obligación se refiere a la necesidad de prevención por parte de las empresas que manejan información personal.

Para cumplir la ley se han de adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que establece la normativa europea. Ésta entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, ya que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Para ello, todas las organizaciones que tratan archivos deben efectuar un análisis de riesgos de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser procedimientos sencillos en aquellas que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos. O trabajos más complejos con los que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Para la adopción de las medidas específicas, se tendrán en cuenta estos riesgos:

  • Perjuicio económico, moral o social significativo para los afectado en el tratamiento.
  • Privación de derechos o control de los datos.
  • Tratamiento masivo de datos o que revele una evaluación de aspectos personales de los afectados.
  • Tratamiento de datos de personas vulnerables como menores o personas discapacitadas.
  • Otros que considere el Responsable o Encargado de Tratamiento.

Un caso especial : Evaluación de impacto de protección de datos

Las Evaluaciones de Impacto son la principal medida de responsabilidad proactiva.

Consiste en un análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio con respecto a la protección de datos.

Registro de las actividades de tratamiento

La ley orgánica 3/2018 elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente.

No obstante, obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.

registro de actividades tratamiento

Bloqueo de datos

Es un paso previo a la eliminación de los datos.

Significa que no se pueden utilizar datos bloqueados con ninguna finalidad, salvo la puesta a disposición de los datos de jueces y tribunales, Ministerio Fiscal o Administraciones Públicas competentes.

Delegado de Protección de Datos

Según la LOPDGDD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:

  • En caso de que el tratamiento de los datos se realice por una autoridad u organismo público.
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Cuando las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

El Reglamento europeo ha creado mucha confusión. No queda claro cuándo sí y cuándo no es obligatorio tener un DPD.

La normativa se ha curado en salud y establece hasta 16 casos concretos en los que, de manera taxativa, se exige su contratación.

Los Delegados deben ser conocidos por la AEPD y/ o, en su caso, las autoridades autonómicas de protección de datos. Estos organismos están obligados a mantener una lista actualizada de esos delegados.

Y los Delegados deben poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

  • *Necesitan un DPO los colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión, etc.

en que consiste la nueva figura del delegado de proteccion de datos. rgpd

Modificación de la normativa electoral

Uno de los puntos más conflictivos de la LOPDGDD ha sido la inclusión de la Disposición Final Tercera que modifica la Ley Orgánica del Régimen Electoral General (LOREG).

En ella se establece que los partidos políticos podrán recabar datos personales, en el marco de sus actividades electorales, relativos a opiniones de carácter político.

Y podrán utilizar información y datos personales obtenidos de páginas webs (y otras fuentes accesibles al público) para la realización de actividades políticas durante el periodo electoral, entre las que se encuentran:

  • El envío de propaganda electoral a través de sistemas de mensajería o por medios electrónicos.
  • La contratación de propaganda electoral en redes sociales o medios equivalentes, que no tendrán la consideración de actividad o comunicación comercial.

Desconexión digital 

Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de: tiempo de descanso y vacaciones y su intimidad personal y familiar.

Con ello se pretende evitar en la medida de lo posible la fatiga informática de los trabajadores.

Las empresas tendrán que elaborar una política de uso responsable de los dispositivos. Con esta política, en caso de tener empleados que trabajen desde casa con dispositivos digitales, se garantizará el derecho a la desconexión laboral.

derechos digitales trabajadores LOPDGDD

El futuro de la Ley protección de datos en España

A la vista de los cambios que se están produciendo en este sector como esta nueva normativa europea, nos planteamos cómo va a evolucionar la Ley de Protección de Datos en nuestro país.

nuevos cambios en la normativa lopd rgpd

Obligaciones que implica cumplir la ley orgánica 3/2018 de 5 de diciembre

La nueva LOPDGDD obliga a las empresas a llevar un registro de actividades del tratamiento, en el que se incluyan ficheros con el tipo de datos recogidos, su finalidad, etc. Por contra, ya no es necesario informar a la AEPD sobre dichas actividades de tratamiento.

También obliga a informar a los usuarios acerca de la identidad del responsable o encargados del tratamiento, el tipo de datos recogidos, su finalidad, el plazo de conservación, si los datos van a ser cedidos a terceros, o la vías por las que pueden ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

La obligación de informar afecta a los sitios web que traten datos personales de usuarios o clientes, teniendo que incluir apartados de aviso legal, política de privacidad y política de cookies.

Al igual que en el RGPD, la nueva LOPD exige obtener consentimiento expreso para tratar los datos de los usuarios. No sirve con el consentimiento tácito, sino que debe haber sido obtenido de forma clara e inequívoca a través de una acción voluntaria del interesado.

Otra exigencia es que los responsables del tratamiento pongan en marcha las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.

La LOPDGDD también señala los casos en los que será necesario realizar una evaluación de impacto, y qué empresas deben contar con un DPO, esto es, cuando se traten categorías de datos especiales o cuando se realice un tratamiento de datos de forma masiva.

A su vez, la nueva ley incluye la obligación de la responsabilidad proactiva y de aplicar la ley de protección de datos desde el diseño y por defecto.

Régimen sancionador de la Ley Orgánica 3/2018 

Según la infracción, las sanciones LOPDGDD y RGPD administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global. Las infracciones se dividen en muy graves, graves y leves.

Muy graves: prescriben a los tres años.

  • Uso de los datos para una finalidad diferente de la anunciada
  • Omisión del deber de informar al afectado
  • Exigencia de un pago para poder acceder a los datos propios almacenados
  • Transferencia internacional de información sin garantías…

Graves: prescriben a los dos años.

  • Datos de un menor recabados sin consentimiento
  • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos
  • Incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos

Leves: prescriben en un año

  • No transparencia de la información
  • Incumplimiento de no informar al afectado cuando lo haya solicitado
  • Incumplimiento por parte del encargado de sus obligaciones

Para evitar que nuestra empresa reciba alguna de estas sanciones y si no contamos con el personal adecuado o los conocimientos para ello, entonces es obligatorio contratar protección de datos, no hacerlo puede salirnos mucho más caro.

Resumen de la actual ley orgánica 3/2018 de 5 de diciembre de protección de datos personales

A continuación te dejamos un resumen en vídeo de la nueva Ley Orgánica de Protección de Datos 2018:

 

Texto íntegro de la Ley de Protección de Datos de 2018 en PDF (BOE)

Si quieres más información también puedes descargarte el siguiente archivo:

Nueva ley de protección de datos 2018 PDF

 

Diferencias entre LOPD y RGPD

La Ley de Protección de Datos personales y Garantía de Derechos Digitales (LOPDGDD) no es más que la adaptación al territorio español del Reglamento General de Protección de Datos (RGPD) que se aplica a nivel europeo.
Es decir, la LOPDGDD en España profundiza en algunos aspectos más concretos que se aplican solo dentro de las fronteras del país. En este sentido, incluye información específica sobre determinados tratamientos concretos:

  • Datos de contacto de empresarios y profesionales liberales
  • Sistemas de información crediticia
  • Operaciones mercantiles
  • Videovigilancia en el trabajo
  • Exclusión publicitaria
  • Denuncias internas
  • Función de estadística pública
  • Archivo de interés público
  • Infracciones y sanciones administrativas

Además, la LOPDGDD, en sus artículos 34 al 37, señala que la certificación del Delegado de Protección de Datos.no es obligatoria, algo a lo que no hace referencia el RGPD

Por su parte, el reglamento europeo, en el artículo 37, establece el papel que juega el Delegado de Protección de Datos o DPD ante una reclamación. Pueden darse dos situaciones:

  • Qué el afectado se dirija al DPD para que este remita la queja a la Agencia Española de Protección de Datos
  • Qué la AEPD se dirija al Delegado de Protección de Datos remitiéndole la queja del afectado.

Básicamente, estas son las diferencias entre la LOPDGDD y el RGPD a nivel de contenidos. Después, la normativa española también se detiene en adaptar los preceptos básicos de la ley europea al ámbito español.

resumen reglamento proteccion datos rgpd

Resumen con los aspectos más importantes de la LOPDGDD

Concepto Explicación
Responsabilidad proactiva Los responsables del tratamiento han de aplicar las medidas técnicas y organizativas para cumplir la ley y para demostrar dicho cumplimiento ante las autoridades.
Registro de actividades de tratamiento Los responsables del tratamiento han de llevar un registro de los datos tratados. Ya no es necesario comunicar dicho fichero a la AEPD.
Consentimiento El consentimiento debe ser expreso, es decir, ha de ser inequívoco, explícito y voluntario y no debe haber sido obtenido mediante engaño, coacción o de manera tácita.
Nuevos derechos de los ciudadanos Los ciudadanos tiene derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. También se incluyen nuevos derechos como el derecho al olvido o a la desconexión digital.
Obligación de informar Los responsables del tratamiento han de informar sobre su identidad, el tipo de datos recabados, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de los datos, y las vías para ejercer los derechos ARSULIPO.
Notificación de brechas de seguridad Se debe notificar cualquier brecha de seguridad a la AEPD en un plazo máximo de 72 horas.
La figura del DPO El artículo 34 de la LOPDGDD establece qué empresas están obligadas a contar con la figura del Delegado de Protección de Datos.

¿Cómo cumplir con la LOPDGDD 3/2018 (antigua LOPD 15/1999)?

Para cumplir con la actual LOPDGDD es necesario adaptar todos los procesos de la empresa de cara a adoptar todos los requisitos y exigencias que establece la nueva ley. En función de la envergadura o las actividades que desarrolle su empresa, esta adaptación puede llegar a ser compleja, por lo que en muchos casos se hace imprescindible la ayuda de una consultora de protección de datos externa.

tarifas proteccion datos para autonomos

¿Necesitas cumplir con la ley de protección de datos en 2022? Escríbenos o llámanos al 914 896 419

En Grupo Atico34 llevamos más de 12 años ofreciendo nuestros servicios a empresas de todos los tamaños y sectores de actividad. Contamos con un equipo de profesionales con formación y experiencia específica en materia de protección de datos.

Nuestros expertos se encargarán de todo lo necesario para la adaptación de su empresa a la nueva LOPDGDD. Le ofrecemos un servicio totalmente personalizado, caracterizado por un soporte continuo y una máxima dedicación a nuestros clientes.

Si quieres saber cómo podemos ayudarte, ponte en contacto con nosotros y pídenos presupuesto sin compromiso.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.