Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

ley orgánica sobre protección de datos y derechos digitales de España

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) es una ley orgánica aprobada por las Cortes Generales de España que tiene por objetivo adaptar el Derecho interno español al Reglamento General de Protección de Datos. Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal[3]​ (aunque se mantiene vigente para la regulación de ciertas actividades).[n. 1][n. 2]

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
Extensión teritorial EspañaBandera de España España
Legislado por Cortes Generales
Referencia del diario oficial BOE-A-2018-16673
Historia
Aprobación

18 de octubre de 2018 (Congreso)[1]

21 de noviembre de 2018 (Senado)[2]
Promulgación 05 de diciembre de 2018
Publicación 06 de diciembre de 2018
Entrada en vigor 07 de diciembre de 2018
Legislación relacionada
Reemplaza Ley Orgánica 15/1999, de 13 de diciembre
Legislación vigente

Esta ley entró en vigor el 7 de diciembre de 2018.

Estructura

editar

La Ley consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.

Título I

editar

Es el relativo a las disposiciones generales de la Ley.

Según su artículo primero, el propósito de la ley orgánica es dual: en primer lugar, adaptar el derecho español a lo dispuesto en el Reglamento General de Protección de Datos y, como novedad conexa, «garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución».

Título II

editar

Es el relativo a los principios en la protección de los datos personales: exactitud, confidencialidad, consentimiento y tratamiento de datos de naturaleza especial como los penales y los relativos a menores de edad (se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento).

Título III

editar

El Título III enuncia los derechos de las personas en relación la protección y tratamiento de sus datos personales y que son, de conformidad con el Reglamento europeo, los siguientes: acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Son una novedad, con respecto a la regulación anterior, los derechos de limitación del tratamiento y a la portabilidad de los datos

Título IV

editar

En el Título IV se recogen las disposiciones aplicables a tratamientos concretos. Son normas a observar cuando por parte de un responsable se pretenda proceder al tratamiento de una serie de datos concretos.

Cabe destacar en este título la regulación relativa a la inclusión y tratamiento de datos por parte de entidades de información crediticia, conocidos popularmente como «listas de morosos».

Reconociendo la licitud del tratamiento de datos con fines de información crediticia, este se somete a determinadas cautelas. Así el artículo 20 señala que solo podrán incorporarse datos de «deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes».

Del mismo modo el acreedor, necesariamente y a la hora de celebrar el contrato, tiene que informar a la contraparte de la existencia de la posibilidad de ceder sus datos a dichas entidades en caso de incumplimiento, indicando además cuáles usa.

Las entidades podrán tratar y mantener esos datos mientras subsista el incumplimiento, pero estableciéndose un plazo máximo de cinco años al cabo de los cuales, subsista o no el incumplimiento, deberán ser suprimidos.

La Disposición Adicional sexta de la Ley prohíbe la inclusión de los datos en esos ficheros cuando se trate de deudas cuyo importe principal (es decir, sin intereses ni penalizaciones) sea inferior a 50 Euros, aunque se habilita al Gobierno para actualizar esa cantidad mediante Real Decreto.

Título V

editar

El Título V se refiere al responsable y al encargado del tratamiento de los datos. En contraposición al anterior modelo de basado en el control del cumplimiento, el actual establecido por la Ley y el Reglamento es el de responsabilidad activa, debiendo los responsables evaluar a priori los datos que desean tratar para a continuación adoptar las medidas de seguridad necesarias para el tratamiento a efectuar. Se recogen también disposiciones relativas a la figura del Delegado de Protección de Datos (DPD o, en inglés, DPO).

Título VI

editar

El Título VI regula las transferencias internacionales de datos.

Título VII

editar

El Título VII se ocupa del estatuto jurídico de la Agencia Española de Protección de Datos como autoridad estatal de control. Su Capítulo II regula las competencias de las autoridades de protección de datos que pudiesen existir en las comunidades autónomas (en la actualidad solo existen en Andalucía, Cataluña y País Vasco), cuyas competencias quedarán en todo caso circunscritas a los tratamientos de datos personales efectuados por el sector público autonómico; y la obligación de las autoridades de control de cooperar entre ellas.

Título VIII

editar

El Título VIII regula los procedimientos en caso de posible vulneración de la normativa de protección de datos.

Título IX

editar

El Título IX regula el régimen sancionador por las infracciones a la Ley, determinando a los sujetos responsables y estableciendo un catálogo de infracciones clasificadas en muy graves, graves y leves. La Ley remite al Reglamento General de Protección de Datos por lo que respecta a la cuantía y graduación de la responsabilidad de las sanciones. Se regulan igualmente los plazos de prescripción de las infracciones.

Como excepción, el artículo 77, párrafo segundo de la Ley dispone que cuando los responsables infractores sean organismos con relevancia constitucional o administraciones públicas la Ley dispone que solo podrán ser sancionados con un apercibimiento, descartando así la posibilidad de sancionar económicamente a estos entes, tal y como sucedía con la anterior Ley Orgánica 15/1999, de 13 de diciembre.

Título X

editar

El Título X de la Ley reconoce y garantiza una serie de derechos que la ley denomina como "digitales" tales como la neutralidad de la Red y su acceso universal, el derecho a la seguridad y a la educación digital, el derecho al olvido, el derecho a la portabilidad de los datos digitales y el testamento digital; siendo igualmente regulado el derecho a la desconexión digital en el marco de las relaciones laborales. Asimismo reconoce el derecho al olvido en buscadores y redes sociales.

Controversias

editar

Recopilación de datos personales por partidos políticos

editar

La disposición final tercera de la Ley añadió un nuevo artículo cincuenta y ocho bis a la Ley Orgánica del Régimen Electoral General, que permitía a los partidos políticos, por considerarlo «amparado por el interés público», recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales siempre y cuando dichas actividades se realicen con «garantías adecuadas». Del mismo modo permitía a los partidos políticos «utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral» tales como el envío de propaganda electoral por medios electrónicos o a través de las redes sociales.

Este artículo parecía encontrar amparo en el Considerando 56 del Reglamento General de Protección de Datos, que dispone que «si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas»[4]

Esta disposición causó honda preocupación en el sector jurídico pues las actividades anteriores no necesitaban de consentimiento previo y aparentemente hubiese permitido crear bases de datos de ciudadanos en base a sus opiniones políticas, así como crear perfiles de los mismos.[5]​ Según algunos sectores, con esta práctica se hubiese legalizado el caso Cambridge Analytica en España.[6]

La Agencia Española de Protección de Datos ha indicado que su criterio es que la Ley no permite la creación de bases de datos ideológicas ni el envío de información personalizada basada en perfiles ideológicos o políticos.[7][8]

El partido político Unidos Podemos en su día anunció que presentaría un recurso de inconstitucionalidad contra dicho artículo por entender que resultaba contrario a los artículos 16 y 18 de la Constitución española, aunque finalmente no lo hizo.[9]

Quien sí presentó un recurso de inconstitucionalidad contra esa disposición fue el Defensor del Pueblo de España.[10][11][12]​ Dicho recurso fue admitido a trámite el 12 de marzo de 2019.[13][14][15]​ El 22 de mayo de 2019 y por unanimidad de sus doce miembros, el pleno del Tribunal Constitucional estimó dicho recurso, declarando el precepto inconstitucional y nulo.[16][17]

  1. Disposición adicional decimocuarta. Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE.- Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
  2. Disposición transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.- Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva. y modifica toda una serie de legislación especial conexa con la materia.

Referencias

editar
  1. «Boletín Oficial de las Cortes Generales (Congreso de los Diputados)» (PDF). BOCG. Congreso de los Diputados, serie A, núm. 13-6, de 26/10/2018. 26 de octubre de 2018. Consultado el 15 de diciembre de 2018. «El Pleno del Congreso de los Diputados, en su sesión del pasado día 18 de octubre de 2018, ha aprobado, de conformidad con lo establecido en el artículo 81 de la Constitución, el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, sin modificaciones con respecto al texto del Dictamen de la Comisión, publicado en el "BOCG. Congreso de los Diputados", serie A, núm. 13-4, de 17 de octubre de 2018.» 
  2. «Boletín Oficial de las Cortes Generales (Senado)» (PDF). 26 de noviembre de 2018. Consultado el 9 de diciembre de 2018. «El Pleno del Senado, en su sesión número 48, celebrada el día 21 de noviembre de 2018, ha aprobado el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, sin introducir variaciones en el texto remitido por el Congreso de los Diputados, que aparece publicado en el Boletín Oficial de las Cortes Generales, Senado, número 289, de fecha 23 de octubre de 2018.» 
  3. «Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal». BOE. 
  4. «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE)». Eur-Lex. Consultado el 16 de diciembre de 2018. 
  5. Abad, Marcelino (16 de diciembre de 2018). «Espionaje en Internet: Los partidos ya pueden rastrear tus opiniones políticas». Consultado el 16 de diciembre de 2018. 
  6. Sánchez, J. M. «Llega la ley que «espía» tu ideología: los partidos podrán recopilar tus datos sin consentimiento». ABC.es. Consultado el 19 de diciembre de 2018. 
  7. Agencia Española de Protección de Datos [@AEPD_es] (21 de noviembre de 2018). «Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD» (tuit). Consultado el 16 de diciembre de 2018 – via X/Twitter. 
  8. Agencia Española de Protección de Datos (21 de noviembre de 2018). «Criterio de la Agencia Española de Protección de Datos sobre cuestiones electorales en el proyecto de nueva LOPD». Consultado el 16 de diciembre de 2018. 
  9. del Castillo, Carlos (21 de noviembre de 2018). «Unidos Podemos llevará al Constitucional la ley que permite a los partidos elaborar perfiles ideológicos y enviar spam electoral». eldiario.es. Consultado el 16 de diciembre de 2018. 
  10. «El Defensor del Pueblo recurrirá ante el TC la nueva LOPD por 'espionaje' ideológico». elconfidencial. 5 de marzo de 2019. 
  11. Defensor del Pueblo de España. «Resolución adoptada por el Defensor del Pueblo (e.f.) en relación con la solicitud de interposición de recurso de inconstitucionalidad contra el artículo 58 bis.1 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera punto dos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por estimar que vulnera los artículos 9.3, 16, 18.4, 23.1 y 53.1 de la Constitución.». Consultado el 21 de marzo de 2019. 
  12. Defensor del Pueblo de España (5 de marzo de 2019). «Demanda interpuesta por el Defensor del Pueblo de España ante el Tribunal Constitucional de España» (PDF). Consultado el 21 de marzo de 2019. 
  13. «Palo a la 'ley espía' del Gobierno: el TC admite a trámite el recurso contra la nueva LOPD». elconfidencial. 12 de marzo de 2019. 
  14. Tribunal Constitucional (12 de marzo de 2019). «Nota informativa nº 29/2019» (PDF). Consultado el 21 de marzo de 2019. 
  15. Tribunal Constitucional (12 de marzo de 2019). «Providencia de admisión a trámite del recurso de inconstitucionalidad» (PDF). Consultado el 21 de marzo de 2019. 
  16. Tribunal Constitucional (22 de mayo de 2019). «Nota informativa nº 74/2019» (PDF). Consultado el 23 de mayo de 2019. 
  17. Tribunal Constitucional (22 de mayo de 2019). «Pleno. Sentencia 76/2019, de 22 de mayo de 2019. Recurso de inconstitucionalidad 1405-2019. Interpuesto por el Defensor del Pueblo respecto del apartado primero del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Protección de datos personales, principio de seguridad jurídica, vertiente negativa de la libertad ideológica y derecho a la participación política: nulidad del precepto legal que posibilita la recopilación por los partidos políticos de datos personales relativos a las opiniones políticas de los ciudadanos.». Consultado el 26 de junio de 2019. 

Enlaces externos

editar