La entrada en vigor de la nueva Ley Orgánica 3/2018, de 5 de Diciembre, de Protección de Datos y Garantía de los Derechos Digitales el pasado 7 de Diciembre obliga a una revisión de la materia y a un nuevo enfoque de su dimensión en nuestra sociedad.
Si por algo se caracteriza nuestra Constitución es por su perfección técnica. No en vano es uno de los textos legales más copiados del Mundo y no es minoritario el número de juristas que opinan que ha superado ampliamente a los patrones de los que parte, especialmente a la Ley Fundamental de Bonn de 1949. Es por ello que, aunque resulta excesivo afirmar que el Constituyente pudo siquiera pensar en el alcance que las nuevas tecnologías iban a alcanzar, sí armó un precepto sencillo y de una calidad técnica bastante como para darles cabida en el momento actual. Así, el artículo 18 de nuestra Constitución alcanza su máximo desarrollo en relación a sus ámbitos subjetivo y objetivo con la trasposición de la normativa europea. En concreto, entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. En suma, se encajan las piezas normativas perfectamente para amplificar el alcance de la normativa en la materia.
Entre sus novedades, recoge el principio de transparencia y la posibilidad de tratar la información por capas, así como la obligación de consultar las listas de exclusión publicitaria impuesta a aquellos responsables que pretendan realizar comunicaciones comerciales, salvo que tengan el consentimiento expreso del titular para no hacerlo. Además establece una categorización de las sanciones, diferenciando las muy graves, las graves y leves, aumentando notablemente las sanciones económicas, y fijando los plazos de prescripción de las mismas de uno a tres años. Trataremos, sin embargo, de ceñirnos a las novedades más relevantes de la nueva norma, pues tiempo habrá de profundizar en la materia:
1) Ampliación del ámbito objetivo: la red
La Ley 3/2018, de 5 de Diciembre, amplía los derechos de los titulares de los datos, pues facilita el ejercicio de al exigir una accesibilidad sencilla, clara y transparente. El hecho es que hasta la fecha toda esta materia seguía la regulación propia del Derecho Civil, que no abandona, pero se dota de refuerzos propios.
Un ámbito en que es especialmente relevante y necesaria la transparencia es la red, de modo que se opta por la posibilidad de un sistema de información por capas que permite al titular de los datos conocer de forma sencilla y clara los aspectos más relevantes del tratamiento, pudiendo acceder a través de un enlace directo a los secundarios. Dicho de otro modo, se traslada al profesional que puede verse en la tesitura de tratar con esos datos la carga de informar al titular de los mismos, si bien se le permite establecer un sistema de preselección de la información y su exposición por capas.
En esta línea, se profundiza en la importancia que han adquirido las redes sociales en nuestra sociedad, y la información y datos personales que voluntaria o involuntariamente se exponen al conocimiento por terceros. Se introduce en este orden de cosas el llamado derecho al olvido. Es decir, el derecho a que una vez la persona lo decida, puedan suprimirse totalmente sus datos de las redes. El mismo se incorpora en el artículo 94, tratando de derechos como los facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido de esa guisa por el mero transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Pero también se piensa en la posibilidad de que el titular de los datos quiera cambiarlos de base, es decir, que entienda oportuno que quien los está tratando deje de hacerlo y pasar a facilitar su acceso a otra persona que se encargue de ello – es el caso de las compañías de telefonía, de las que sólo acostumbramos a querer que sepan de nosotros cuando estamos contratando con ellas, no después -. Ese derecho de portabilidad en servicios de redes sociales y servicios equivalentes, los recoge el artículo 95, permitiendo a los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible hacerlo. Cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domesticas se exceptúa la supresión.
2) Personas fallecidas
Una situación que venía dándose hasta ahora y que podía ser francamente desagradable, era el uso de datos de personas ya fallecidas. Obviamente que, al producirse la extinción de la personalidad civil, deberían decaer también aquellas relaciones apoyadas en derechos personalísimos y que, por lo tanto, resulten intransmisibles mortis causa. Pues bien, la nueva normativa reconoce y establece cauces para el ejercicio del derecho de acceso, supresión y rectificación a los familiares y sucesores de la persona fallecida, de tal suerte que les permite evitar que los datos de aquél se mantengan en manos de terceros una vez producido el óbito. Su regulación se halla en el artículo 3.
Como excepción, las personas relacionadas no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una Ley. Esta prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante, que son en numerosas ocasiones necesarios para ellos e irrelevantes para terceros. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión, contemplándose la posibilidad de las personas menores o con discapacidad, así como la figura del testamento digital (artículo 96).
3) Medidas tuitivas de menores de edad que no lo son tanto
Insistiendo en una línea legislativa sin parangón en nuestro entorno cultural, el Gobierno ha impulsado una rebaja de la edad a partir de la que se puede prestar consentimiento de manera autónoma en esta materia tan sensible, fijándola en los catorce años. Se genera una innecesaria tensión entre la función de los padres, tutores o guardadores, encargados de velar por que el menor no vea peligrar su intimidad e imagen, al sustraerles la misma para dársela a una persona que, con arreglo al resto del Ordenamiento, no puede ejercer derechos políticos o suscribir válidamente un contrato de contenido estrictamente patrimonial. Genera muchas dudas la validez y eficacia de un contrato en el que una de las partes podría carecer de la necesaria capacidad para suscribirlo. Es más, se plantea la duda de hasta qué punto un menor de catorce o quince años puede ser sujeto de ofertas por parte de empresas para que les permita recabar sus datos con fines comerciales. Más que proteger al menor, parece que se acaba en el polo opuesto. Además, se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros, durante su minoría de edad, lo que todavía introduce mayor confusión a la norma.
4) Datos tratados en el marco del sistema educativo
Como propuso en su día la Agencia Española de Protección de Datos, se refuerzan las obligaciones del sistema educativo para garantizar el uso adecuado y seguro de internet, incluyéndolo en el currículum académico de forma específica y exigiendo que el profesorado reciba una formación adecuada en esta materia. Se trata de una medida pendiente de la debida implementación, que debería darse por el Gobierno en el plazo de un año, siendo que en dicho plazo las Administraciones con competencias en la materia deben incluir las cuestiones indicadas en sus itinerarios curriculares. Francamente, no parece útil ni razonable que se fuerce la inclusión de una materia en el itinerario antes de saber si el profesorado contará con formación técnica para impartirla. Reflejo de la obsesión por penetrar el ámbito educativo, parecería mucho más razonable intentar que los centros estuvieran bajo control específico al tratar datos de menores, que es lo que propuso la AEPD, que centrar los esfuerzos y recursos en la introducción de estas materias en el currículo.
5) Implantación de un sistema de denuncias internas anónimas y nuevas obligaciones para el Delegado de Protección de Datos
De forma análoga a como sucede con los Planes de Prevención de Delitos, se fija la necesidad de establecer sistemas de denuncias anónimas , que permitan poner en conocimiento de una entidad privada la comisión de conductas o actos que pudieran resultar contrarios a la normativa de protección de datos. Estos sistemas de whistleblowing se convierten en imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal, así como para protegerlas de las eventuales sanciones que pudieran recaer sobre ellas en esta materia y que pueden ascender hasta espacios tan poco agradables como los 600.000 €. La Ley empuja de este modo a las empresas a proveerse de un mecanismo que les permite conciliar el derecho a la protección de datos de las personas con su propio interés.
Asimismo, y con algunas modificaciones, la Ley mantiene la configuración del Delegado de Protección de Datos con una novedad en su artículo 37, relativo a la intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos, mediante el reconocimiento de su papel como órgano intermedio de control. De este modo, cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la AEPD o, en su caso, ante las Autoridades autonómicas de protección de datos, dirigirse al Delegado de la entidad contra la que se reclame. Este comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Es decir, se configura como una suerte de autoridad de control, un filtro previo que pueda solventar en casa los problemas que entienda contingencias de la actividad, sin exponerse a ser sancionado. Dicho de otro modo, es una surte de compliance officer del ámbito de la protección de datos.
6) El tratamiento de los datos y la imagen en el espacio laboral
La Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de grabación de sonido y videovigilancia en el trabajo. Refuerza igualmente las garantías del derecho a la intimidad en relación con el uso de dispositivos generales puestos a disposición de los trabajadores, completando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados los empleados. Como en el caso del Corporate Compliance, la información y el consentimiento informado son la base de este ámbito. No existe una especial protección del trabajador frente a eventuales injerencias si estas son consentidas. Por ello es aconsejable la firma de un protocolo de uso de herramientas informáticas y de dispositivos de control de la actividad laboral. Se incluye también la figura del derecho de negociación colectiva digital (artículo 91).
7) Limitación de los sistemas de intercambio de información en materia de morosidad
Se limita la actividad de los sistemas de información crediticia, reduciendo de seis a cinco los años de periodo máximo de inclusión en los mismos, exigiéndose a partir de ahora una cuantía mínima de cincuenta euros. Es cierto que determinadas deudas de tarjetas de crédito pueden quedar excluidas, pero el verdadero problema de estos ficheros es que responden a una evaluación individual de la entidad que introduce los datos. Es decir, no hace falta ser condenado para estar incluido como moroso, cuando lo cierto es que puede darse desde una abusividad del clausulado, una extemporaneidad en la reclamación de la entidad que nos incluye, una improcedencia del cargo que no queremos pagar, o cualquier otra razón que finalmente excluya la lógica de la entidad crediticia. Nada de ello se aborda, siendo a todas luces escasa la norma, pues deja sin abrir la cuestión principal que afecta a estos sistemas.
8) Modificaciones en materia de competencia desleal
Se modifica la Ley de Competencia Desleal para regular las prácticas agresivas de competencia. Se regulan como agresivas aquellas que dirigen empresas a los titulares de datos o a quienes los tratan para hacerse con cuota de mercado a partir de la suplantación de la Agencia Española de Protección de Datos u ofrezcan productos como la llamada adaptación a coste cero. Se busca con ello limitar las ofertas de baja calidad, así como evitar la comisión de estafas o conductas irregulares en el marco de la prestación de servicios de esta naturaleza.
9) Legitimación de las Administraciones Públicas para utilizar y ceder datos personales. Los partidos políticos
Si hasta la fecha era preciso autorizar expresamente a las Administraciones Públicas para el uso de determinados datos, a partir de ahora se fijan las bases para orillar esta obligación en aras de una mayor agilidad en la prestación del Servicio. De un lado, cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, y, por otro, cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Así, la Ley introduce un nuevo artículo 8 relativo al tratamiento de datos por obligación legal, interés público o ejercicio de Poderes Públicos, que aclara cuándo el tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) RGPD. Será cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de Ley, norma que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV RGPD.
Hasta este punto podemos convenir en la utilidad de la autorización legal, pero no es tan pacífica la que beneficia a los partidos políticos, pues se añade un nuevo art. 58 bis a la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, que permite técnicas de perfilación y que ha traído a la memoria el asunto de Cambridge Analytics, lo que ha llevado incluso a que la AEPD se pronuncie antes del surgimiento de incidencias al respecto. Como decimos, una licencia a los partidos políticos que les va a permitir trazar perfiles nuestros en base a cuestiones muy diversas y que afectan a aspectos íntimos de nuestras vidas, lo que no parece del agrado de todos los juristas. Es cierto que se condiciona esta posibilidad a que se ofrezcan las garantías adecuadas, pero no se nos dice cuáles son ni bajo qué concretos parámetros se dará esa adecuación, permitiéndose a los partidos hacer uso datos obtenidos de páginas web y otras fuentes de acceso público. El riesgo para nuestra intimidad es, a todas luces, evidente.
Tampoco es pacífica la utilización de las Plataformas de Intermediación de Datos (PID) por las Administraciones Públicas en ejecución del principio once&only. Esencialmente, por la posible colisión entre el artículo 28 LPAC y el RGPD, por cuanto este último veta el consentimiento tácito que es lo que fija éste. Es cierto que estamos ante actividad administrativa, pero también ante la creación de facto de plataformas de intercambio de información sensible sin autorización de los titulares. Esto parece razonable con vistas a verificar información facilitada por el administrado, pero no tanto para que las Administraciones puedan realizar búsquedas masivas entre sí a espaldas de los ciudadanos.
10) El incremento de las obligaciones de transparencia
Abundando en lo ya expuesto, crecen las obligaciones de transparencia para los encargados del tratamiento de los datos. Podemos destacar la modificación de régimen de publicidad activa y acceso a la información que no sólo afectará a partir de ahora a las Administraciones, si bien sí principalmente. Ahora bien, se remite la norma a la legislación autonómica sin perjuicio de la aplicación de aquélla cuando estemos ante datos de carácter estrictamente personal que queden en el ámbito de la reserva de Ley Orgánica que, no lo olvidemos, no alcanza a toda la norma examinada. El Registro de actividades de tratamiento al que deben acudir los prestadores del servicio y que tendrá carácter público o la publicación de su inventario de actividades son, además otras novedosas medidas en la materia.
