Artículos propios y noticias
10 novedades para el sector privado - Ley Orgánica 3/2018 de 5 de diciembre (LOPDGDD)
Fuente: (Agencia Española de Protección de Datos)
Resumen: 10 novedades para el sector de la empresa privada
1. Obligación de información a los ciudadanos sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos
Las organizaciones quedan obligadas a informar a los ciudadanos de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién trata los datos, con qué base jurídica para qué finalidad, y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles.
Las organizaciones no podrán denegar el ejercicio de estos derechos en el caso de que el ciudadano quiera ejercitarlos de un modo diferente al que se le ofrezca.
2. Designación de un Delegado de Protección de Datos (DPD) y comunicación de la designación a la Agencia Española de Protección de Datos (AEPD)
La Ley obliga a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales a designar un Delegado de Protección de Datos que cuente con la debida cualificación, a garantizarle los medios necesarios para el ejercicio de sus funciones y a notificar la designación a la AEPD para su inclusión en el Registro público de Delegados de Protección de Datos. En el resto de los supuestos, la designación de un Delegado de Protección de Datos será voluntaria.
El Delegado de Protección de Datos no tiene responsabilidad a título personal, por este mero hecho, por las posibles infracciones en materia de protección de datos cometidas por su organización.
3. Intervención del Delegado de Protección de Datos en la resolución de reclamaciones
El Delegado de Protección de Datos debe recibir las reclamaciones que le dirijan los ciudadanos, cuando opten por esta vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adoptada al particular en el plazo máximo de dos meses.
Asimismo, el Delegado deberá recibir las reclamaciones que la AEPD decida trasladarle con carácter previo al inicio de un expediente sancionador. El Delegado debe comunicar la decisión adoptada a la AEPD en el plazo máximo de un mes.
4. Las bases jurídicas que legitiman el tratamiento de datos personales de los ciudadanos por parte de las organizaciones
En los casos en los que el consentimiento del ciudadano sea preciso por no existir otra base legitimadora, la Ley establece que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que una persona acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión.
Además, cuando se pretenda que el consentimiento del ciudadano legitime un tratamiento para una variedad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
5. Limitación de la actividad publicitaria: las “listas Robinson”
Las entidades que vayan a realizar una campaña publicitaria deben consultar con carácter previo las “listas Robinson” para evitar el envío de publicidad a todos los ciudadanos que se hayan registrado en ellas.
No será preciso realizar esta consulta en el caso de los ciudadanos que hayan dado su consentimiento para recibir publicidad de una entidad, tanto si lo dieron antes como si lo hicieron después de registrarse en dicha lista.
6. Derechos de los empleados: mayor intimidad
La Ley Orgánica garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de forma expresa, clara e inequívoca.
7. Datos de contacto profesionales: legitimación de su tratamiento
La Ley permite utilizar los datos personales de contacto de las personas que prestan servicios en una entidad, así como de los profesionales (abogados, médicos, etc.) y de los empresarios individuales, siempre que se traten con la finalidad de mantener contacto con la entidad en la que prestan sus servicios o de establecer contacto con fines profesionales o empresariales.
8. Sistemas de denuncias internas: exención de responsabilidad penal de las organizaciones
La Ley recoge los sistemas de denuncia interna, incluso anónima, como mecanismo para que los integrantes de una organización puedan poner en su conocimiento, la comisión de infracciones en su seno que pudieran resultar contrarias a la normativa general o sectorial que le fuera aplicable.
9. Novedades sobre videovigilancia
· Captación de la vía pública: Sólo podrán captarse imágenes de la vía pública cuando resulte imprescindible para preservar la seguridad de las personas y los bienes, así como de sus instalaciones.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.
· Supresión de los datos: Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando tuvieran que conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.
· Deber de información: El deber de información en el caso de videovigilancia se cumplirá colocando un dispositivo informativo en un lugar suficientemente visible que identifique, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información.
10. Obligación de bloqueo de los datos personales tras el ejercicio de los derechos de rectificación o supresión
El responsable del tratamiento, cuando proceda a la rectificación o supresión de los datos, está obligado a bloquearlos; es decir, a identificarlos y reservarlos mediante técnicas que impidan su tratamiento, visualización incluida.
Cuando el bloqueo de esos datos no fuese técnicamente posible o resultara antieconómico, se procederá a un copiado seguro de la información para que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la información, la fecha del bloqueo y la no manipulación de los datos.
El bloqueo de los datos personales sólo permitirá su puesta a disposición de jueces y tribunales, Ministerio Fiscal o Administraciones públicas competentes (como la AEPD), para la exigencia de eventuales responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo, deberá procederse a la destrucción de los datos.