11 Dic Nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La presente ley orgánica tiene por objeto el cumplimiento de:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Principios y Derechos:
Básicamente pueden quedar establecidos en tres principios:
-Los datos tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos.
-Se recoge el deber de confidencialidad tanto para el responsable del tratamiento de los datos, como para todo aquel que intervenga en el proceso.
-Es necesario el consentimiento expreso del titular de los datos para poder recabarlos y usarlos. Por tanto, tiene que ser informado, de manera inequívoca, de para qué será usada su información.
Obligacion de designar a un Delegado de Proteccion de datos:
Según el RGPD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:
-En caso de que el tratamiento de los datos corre a cargo de una autoridad u organismo público.
-Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
-Y si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Este punto del Reglamento europeo había creado mucha confusión ya que no quedaba claro, sobre todo por lo impreciso de los puntos 2 y 3, cuándo sí y cuándo no era obligatorio tener un DPD.
La LOPD establece hasta 16 tipos de entidades en las que, en función de la actividad y/o tratamientos de datos que desarrollen, tendrán la obligación legal de designar dicha figura.
Los colegios profesionales y sus consejos generales, centros docentes, establecimientos financieros de créditos, aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades que exploten redes y presten servicios de comunicaciones electrónicas y prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio, las entidades de ordenación, supervisión y solvencia de entidades de crédito; empresas de servicios de inversión, distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural; entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y previsión del fraude; entidades de actividades de publicidad y prospección comercial; centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos Española y/ o, en su caso, las autoridades autonómicas de protección de datos. Ambos organismos están obligados a tener una lista actualizada de esos delegados.
Y los Delegados están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.
Régimen sancionador en la LOPDGDD
Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.
La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
Así, el régimen español de infracciones se divide en:
MUY GRAVES:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…
Este tipo de infracción prescribe a los 3 años.
GRAVES:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Este tipo de infracción prescribe a los 2 años.
LEVES:
Las restantes que no queden contempladas en los grupos anteriores.
Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
FUENTE: BOE
