LO 3/2018, de 5 de diciembre, de Protección de Datos ......LO 3/2018, de 5 de diciembre, de...

LO 3/2018, de 5 de diciembre, de

Protección de Datos Personales y garantía

de los derechos digitales

Tablas comparativas y breves notas sobre aspectos relevantes para el

Derecho del Trabajo y la Seguridad Social

Carlos Hugo Preciado Domènech

Magistrado especialista TSJ Catalunya.

Doctor en Derecho.

Autor: Carlos Hugo Preciado Domènech Magistrado Especialista de la Sala Social del TSJ de Catalunya

2

Título I. Disposiciones generales. .............................................................................. 7

Artículo 1 Objeto de la ley. .................................................................................................................................... 7 Artículo 2. Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94. ........................... 7 Artículo 3. Datos de las personas fallecidas. .................................................................................................. 9

Título II. Principios de protección de datos. ............................................................. 10

Artículo 4. Exactitud de los datos. ................................................................................................................... 10 Artículo 5. Deber de confidencialidad. .......................................................................................................... 11 Artículo 6. Tratamiento basado en el consentimiento del afectado. ............................................... 12 Artículo 7. Consentimiento de los menores de edad. ............................................................................... 13 Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos ........................................................................................................................................................................ 14 Artículo 9. Categorías especiales de datos. ................................................................................................. 15 Artículo 10. Tratamiento de datos de naturaleza penal ....................................................................... 18

Título III. Derechos de las personas. ........................................................................ 19

Capítulo I. Transparencia e información. .................................................................................................. 19

Artículo 11. Transparencia e información al afectado .......................................................................... 19 Capítulo II. Ejercicio de los derechos. ......................................................................................................... 21

Artículo 12. Disposiciones generales sobre ejercicio de los derechos. ............................................ 21 Artículo 13. Derecho de acceso. ........................................................................................................................ 23 Artículo 14. Derecho de rectificación. ............................................................................................................ 25 Artículo 15. Derecho de supresión. .................................................................................................................. 26 Artículo 16. Derecho a la limitación del tratamiento. ........................................................................... 27 Artículo 17. Derecho a la portabilidad. ......................................................................................................... 27 Artículo 18. Derecho de oposición. .................................................................................................................. 28

Título IV. Disposiciones aplicables a tratamientos concretos. .................................. 28

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. ......................................................................................................................................... 28 Artículo 20. Sistemas de información crediticia. ...................................................................................... 29 Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles. ................................................................................................................................................................ 32 Artículo 22. Tratamientos con fines de videovigilancia. ....................................................................... 33 Artículo 23. Sistemas de exclusión publicitaria. ....................................................................................... 36 Artículo 24. Sistemas de información de denuncias internas. ............................................................ 38 Artículo 25. Tratamiento de datos en el ámbito de la función estadística pública. ................. 40 Artículo 26. Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas. ................................................................................................................................. 42 Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas .... 42

Título V. Responsable y encargado del tratamiento. ............................................... 43

Capítulo I. Disposiciones generales. Medidas de responsabilidad activa. ................................... 43

Artículo 28. Obligaciones generales del responsable y encargado del tratamiento. ............... 43 Artículo 29. Supuestos de corresponsabilidad en el tratamiento. .................................................... 46 Artículo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea. .................................................................................................................. 46 Artículo 31. Registro de las actividades de tratamiento. ...................................................................... 47


3

Artículo 32. Bloqueo de los datos. .................................................................................................................... 48 Capítulo II. Encargado del tratamiento. ..................................................................................................... 50

Artículo 33. Encargado del tratamiento. ..................................................................................................... 50 Capítulo III. Delegado de protección de datos. ....................................................................................... 51

Artículo 34. Designación de un delegado de protección de datos. ................................................... 52 Artículo 35. Cualificación del delegado de protección de datos. ....................................................... 55 Artículo 36. Posición del delegado de protección de datos. ................................................................. 55 Artículo 37. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos ........................................................................................................ 57

Capítulo IV. Códigos de conducta y certificación ................................................................................... 58

Artículo 38. Códigos de conducta. ................................................................................................................... 58 Artículo 39. Acreditación de instituciones de certificación. ................................................................ 61

Título VI. Transferencias internacionales de datos. ................................................. 61

Artículo 40. Régimen de las transferencias internacionales de datos. ........................................... 61 Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos. ......... 62 Artículo 42. Supuestos sometidos a autorización previa de las autoridades de protección de datos. ............................................................................................................................................................................. 63 Artículo 43. Supuestos sometidos a información previa a la autoridad de protección de datos competente. ................................................................................................................................................... 65

Título VII. Autoridades de protección de datos ........................................................ 65

Capítulo I. La Agencia Española de Protección de Datos. ................................................................... 65

Sección 1.ª Disposiciones generales. .......................................................................................................... 66

Artículo 44. Disposiciones generales. ............................................................................................................. 66 Artículo 45. Régimen jurídico. ........................................................................................................................... 67 Artículo 46. Régimen económico presupuestario y de personal. ...................................................... 68 Artículo 47. Funciones y potestades de la Agencia Española de Protección de Datos. ........... 70 Artículo 48. La Presidencia de la Agencia Española de Protección de Datos. ............................ 72 Artículo 49. Consejo Consultivo de la Agencia Española de Protección de Datos. .................... 74 Artículo 50. Publicidad ......................................................................................................................................... 77

Sección 2.ª Potestades de investigación y planes de auditoría preventiva ................................ 77

Artículo 51. Ámbito y personal competente................................................................................................ 77 Artículo 52. Deber de colaboración. ............................................................................................................... 78 Artículo 53. Alcance de la actividad de investigación. ........................................................................... 82 Artículo 54. Planes de auditoría. ...................................................................................................................... 83 Sección 3.ª Otras potestades de la Agencia Española de Protección de Datos. .......................... 84 Artículo 55. Potestades de regulación. Circulares de la Agencia Española de Protección de Datos. ............................................................................................................................................................................ 84 Artículo 56. Acción exterior. ............................................................................................................................... 84

Capítulo II. Autoridades autonómicas de protección de datos. ....................................................... 87

Sección 1.ª Disposiciones generales ........................................................................................................... 87

Artículo 57. Autoridades autonómicas de protección de datos. ........................................................ 87 Artículo 58. Cooperación institucional.......................................................................................................... 88 Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679 ........................................... 88

Sección 2.ª Coordinación en el marco de los procedimientos establecidos en el Reglamento

(UE) 2016/679..................................................................................................................................................... 89

Artículo 60. Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de Datos. .............................................................................................................................................. 89 Artículo 61. Intervención en caso de tratamientos transfronterizos. ............................................. 90 Artículo 62. Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos. .............................................................................................................................................. 90


4

Título VIII. Procedimientos en caso de posible vulneración de la normativa de

protección de datos. ............................................................................................... 91

Artículo 63. Régimen jurídico. ........................................................................................................................... 91 Artículo 64. Forma de iniciación del procedimiento y duración. ...................................................... 92 Artículo 65. Admisión a trámite de las reclamaciones. ......................................................................... 95 Artículo 66. Determinación del alcance territorial. ................................................................................ 97 Artículo 67. Actuaciones previas de investigación. ................................................................................. 98 Artículo 68. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora. ............................................................................................................................................................ 99 Artículo 69. Medidas provisionales y de garantía de los derechos................................................ 100

Título IX. Régimen sancionador............................................................................. 102

Artículo 70. Sujetos responsables. ................................................................................................................ 102 Artículo 71. Infracciones. .................................................................................................................................. 102 Artículo 72. Infracciones consideradas muy graves. ........................................................................... 103 Artículo 73. Infracciones consideradas graves. ...................................................................................... 106 Artículo 74. Infracciones consideradas leves. ......................................................................................... 111 Artículo 75. Interrupción de la prescripción de la infracción. ........................................................ 116 Artículo 76. Sanciones y medidas correctivas. ........................................................................................ 116 Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento. .................................................................................................................................................... 118 Artículo 78. Prescripción de las sanciones................................................................................................ 121

Título X. Garantía de los derechos digitales. .......................................................... 122

Artículo 79. Los derechos en la Era digital............................................................................................... 123 Artículo 80. Derecho a la neutralidad de Internet. ............................................................................... 123 Artículo 81. Derecho de acceso universal a Internet. .......................................................................... 123 Artículo 82. Derecho a la seguridad digital. ............................................................................................ 124 Artículo 83. Derecho a la educación digital. ............................................................................................ 124 Artículo 84. Protección de los menores en Internet. ............................................................................ 126 Artículo 85. Derecho de rectificación en Internet. ................................................................................ 126 Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales. ................................................................................................................................................................... 127 Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. . 128 Artículo 88. Derecho a la desconexión digital en el ámbito laboral. ............................................ 130 Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. .......................................................................................... 132 Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral. ...................................................................................................................................................... 134 Artículo 91. Derechos digitales en la negociación colectiva. ........................................................... 134 Artículo 92. Protección de datos de los menores en Internet. ......................................................... 135 Artículo 93. Derecho al olvido en búsquedas de Internet. ................................................................. 135 Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes. ....... 136 Artículo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes........................................................................................................................................................................................ 138 Artículo 96. Derecho al testamento digital. ............................................................................................. 138 Artículo 97. Políticas de impulso de los derechos digitales .............................................................. 140

DISPOSICIONES ADICIONALES ............................................................................... 142

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público. ..... 142 Disposición adicional segunda. Protección de datos y transparencia y acceso a la información pública. ........................................................................................................................................... 142 Disposición adicional tercera. Cómputo de plazos. .............................................................................. 143


5

Disposición adicional cuarta. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes. ......................................................... 143 Disposición adicional quinta. Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos.................................... 143 Disposición adicional sexta. Incorporación de deudas a sistemas de información crediticia........................................................................................................................................................................................ 144 Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos ......................................................... 144 Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.145 Disposición adicional novena. Tratamiento de datos personales en relación con la notificación de incidentes de seguridad. ................................................................................................... 146 Disposición adicional décima. Comunicaciones de datos por los sujetos enumerados en el artículo 77.1............................................................................................................................................................ 146 Disposición adicional undécima. Privacidad en las comunicaciones electrónicas. ............... 146 Disposición adicional duodécima. ................................................................................................................ 147 Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público. ........................................................................................................................................................ 147 Disposición adicional decimotercera. Transferencias internacionales de datos tributarios........................................................................................................................................................................................ 148 Disposición adicional decimocuarta. Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE. ............................................................................................................................................ 148 Disposición adicional decimoquinta. Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores. ............................................................................................ 148 Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos........................................................................................................................................................................................ 149 Disposición adicional decimoséptima. Tratamientos de datos de salud. ................................... 150 Disposición adicional decimoctava. Criterios de seguridad. ............................................................ 154 Disposición adicional decimonovena. Derechos de los menores ante Internet. ...................... 154 Disposición adicional vigésima. Especialidades del régimen jurídico de la Agencia Española de Protección de Datos ...................................................................................................................................... 154 Disposición adicional vigésima primera. Educación digital. ........................................................... 155 Disposición adicional vigésima segunda. Acceso a los archivos públicos y eclesiásticos. .. 155

DISPOSICIONES TRANSITORIAS ............................................................................. 155

Disposición transitoria primera. Estatuto de la Agencia Española de Protección de Datos........................................................................................................................................................................................ 155 Disposición transitoria segunda. Códigos tipo inscritos en las autoridades de protección de datos conforme a la Ley Orgánica 15/1999, de 13 de diciembre. ................................................. 156 Disposición transitoria tercera. Régimen transitorio de los procedimientos. ......................... 156 Disposición transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680. .. 157 Disposición transitoria quinta. Contratos de encargado del tratamiento. ............................... 157 Disposición transitoria sexta. Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley. ............................................................................................................................................................................... 158

DISPOSICIONES DEROGATORIAS ........................................................................... 158

Disposición derogatoria única. Derogación normativa. .................................................................... 158

DISPOSICIONES FINALES ....................................................................................... 159

Disposición final primera. Naturaleza de la presente ley ................................................................. 159 Disposición final segunda. Título competencial..................................................................................... 160 Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. ............................................................................................................................. 161 art.39.2 ...................................................................................................................................................................... 161


6

art.58bis Utilización de medios tecnológicos y datos personales en las actividades electorales. ............................................................................................................................................................... 162 Disposición final cuarta. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. ...................................................................................................................................................................... 162 Art.58.3 ...................................................................................................................................................................... 162 art.74 .......................................................................................................................................................................... 163 Disposición final quinta. Modificación de la Ley 14/1986, de 25 de abril, General de Sanidad. .................................................................................................................................................................... 164 Artículo 105 bis. .................................................................................................................................................... 164 Disposición final sexta. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. ................................................................................................. 164 art.10.7 ...................................................................................................................................................................... 164 art.11.5 ...................................................................................................................................................................... 164 art.12.4 ...................................................................................................................................................................... 164 art.122ter ................................................................................................................................................................. 165 Disposición final séptima. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. ............................................................................................................................................................................ 166 Disposición final octava. Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. ........................................................................................................................................................ 168 Disposición final novena. Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. ....................................................................................................... 168 Disposición final décima. Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de Educación. ............................................................................................................................................................... 169 art.2.1 l) .................................................................................................................................................................... 169 Disposición final undécima. Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. ................................................ 169 Disposición final duodécima. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. ................................ 171 Disposición final decimotercera. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores. .................................................................................................................................................. 173 Disposición final decimocuarta. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público. ......................................................................................................................... 173 Disposición final decimoquinta. Desarrollo normativo. ..................................................................... 173 Disposición final decimosexta. Entrada en vigor. ................................................................................. 174 La presente ley orgánica entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado .................................................................................................................................................. 174


7

LEY ORGÁNICA 3/2018, de 5 de diciembre , de Protección de

Datos Personales y garantía de los derechos digitales DISPOSICIONES DE INTERÉS EN Dº TRABAJO Y SEGURIDAD SOCIAL

NOVEDAD ANTERIOR REGULACIÓN

(LO15/1999) NUEVA REGULACIÓN

(LO 3/18) Título I. Disposiciones generales. La regulación del objeto de la ley refleja el cambio de paradigma en la protección de datos personales (PDP), que tiene una triple proyección: - adapta y se somete al RGPD, y no a una Directiva. - Desarrollar el DFPD del art.18.4.CE, como DF con autonomía y entidad propia, no siempre relacionado con intimidad, honor u otros DF. - Crea un conjunto de nuevos derechos que denomina los Derechos Digitales de la ciudadanía, en desarrollo del art.18.4 CE.

Artículo 1. Objeto. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 1 Objeto de la ley. La presente ley orgánica tiene por objeto: a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones. El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.


8

Se amplía el ámbito de aplicación a cualquier tratamiento total o parcialmente automatizado, así como a tratamientos no automatizados en coincidencia con el art.2 del RGPD. En el ámbito de aplicación, se incluyen los supuestos excluidos, que abarcan: - los del art.2.2 RGPD .actividad fuera ámbito Dº UE . actividades de PEySC . actividades personales y domésticas p.f. . ámbito penal - DP fallecidos (art3) - materias clasificadas Se ha suprimido la referencia al terrorismo, pues ya está excluido al ser ámbito penal (art.22.d RGPD).

Artículo 2. Ámbito de aplicación 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privad Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. 2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. 3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación

Artículo 2. Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94.

1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. Esta ley orgánica no será de aplicación: a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo. b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3. c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas. 3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no


9

Se regula el régimen de los tratamientos sujetos a legislación específica, entre los que cuenta: - electoral - penitenciaria - RC, RP y RM El tratamiento de datos estadísticos, que no se contempla en el art.2.3 es también un tratamiento específico ahora regulado en el art.25 LOPD. Se sujeta de forma expresa el tratamiento realizado por los órganos judiciales y por la Oficina judicial al RGPD y a la LOPJ

estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles. 4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables

Se regula como novedad los datos de las personas fallecidas, legitimando a familiares y herederos para solicitar el acceso, rectificación o supresión, salvo prohibición expresa del fallecido o por disposición legal. Se deja siempre a salvo de los herederos el acceso a datos patrimoniales del causante.

Artículo 3. Datos de las personas

fallecidas. 1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al


10

El causante puede designar personas o instituciones y dejarles instrucciones, para el acceso, rectificación o supresión, remitiéndose a un RD que lo regule En caso de menores fallecidos estás facultades pueden también realizarlas los RRLL y el MF. En el caso de personas con discapacidad, quienes estén designados para funciones de apoyo.

derecho de los herederos a acceder a los datos de carácter patrimonial del causante. 2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos. 3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Título II. Principios de protección de datos. El principio de exactitud de los datos se contempla en el art.4 NLOPD y en el art.5.1. d) RGPD. En el apdto. 2 del art.4 se exime de responsabilidad al responsable del tratamiento por inexactitud de los

Art.4.3 . Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Artículo 4. Exactitud de los

datos. 1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán exactos y, si fuere necesario, actualizados. 2. A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable del tratamiento, siempre que este haya adoptado


11

datos, siempre que éste haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación la inexactitud de los datos personales, respecto de los fines para los que se tratan, cuando los datos se hubieran obtenido: - del afectado - de un mediador o intermediario - de otro responsable, conforme al art.20 RGPD. - de un registro público.

todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos: a) Hubiesen sido obtenidos por el responsable directamente del afectado. b) Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado. c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica. d) Fuesen obtenidos de un registro público por el responsable.


12

La NLOPD establece el deber de confidencialidad de responsables y encargados en el tratamiento de toda clase de datos, conforme al art.5.1f) RGPD, que establece los principios de integridad y confidencialidad. Esa confidencialidad, además, no excluye ni se solapa con el deber de secreto profesional, sino que lo complementa. De esta forma, la NLOPD distingue entre confidencialidad y deber de secreto. el primero deriva del DF a la PDP, y el segundo de otro tipo de situaciones (ej. derechos del paciente).

Artículo 10. Deber de secreto. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. art.7.6 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

Artículo 5. Deber de confidencialidad.

1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679. 2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable. 3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

El art.6 NLOPD define el consentimiento conforme al RGPD (art.4.11). En caso de tratamiento para varias finalidades se

Artículo 6 El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Artículo 6. Tratamiento basado en el consentimiento del afectado.

1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. 2. Cuando se pretenda fundar el tratamiento de los datos en el


13

exige consentimiento para cada todas ellas. - se prohíbe condicionar la ejecución de cualquier contrato (también el de trabajo), a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. En el caso del contrato de trabajo, hay que distinguir entre lo necesario para la ejecución del contrato y lo que constituye un mero interés legítimo del empresario. El art.6 NLOPD no se ocupa de las condiciones para el consentimiento que regula el art.7 RGPD, que impone la carga de la prueba de dicho consentimiento al responsable. La omisión legal es irrelevante pues el Reglamento tiene primacía sobre la norma interna.

consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. 3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.


14

La NLOPD, en la línea del art.8 del RGPD regula las condiciones del consentimiento de los menores de edad. - Sólo es válido cuando sean >14 años - incluso en esos casos es nulo cuando se exija la asistencia de los titulares de la patria potestad o tutela (vid. art.7 ET). por tanto, el contrato de trabajo de >16 y menor de 18 años sin el consentimiento del RL supone la ilicitud del tratamiento de datos obtenido con consentimiento del >16. En caso de menores de 14 años sólo es válido el consentimiento si consta el del titular de la patria potestad o tutela. La NLOPD se mueve por encima del límite mínimo de 13 años que fija el RGPD en su art.8.1 cuando regula las condiciones del consentimiento del niño en relación con los servicios de la sociedad de la información.

Artículo 7. Consentimiento de los menores de edad.

1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. 2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.


15

El art. 8 de la NLOPD regula el tratamiento de DP por las bases jurídicas del art.6 RGPD, consistentes en: obligación legal (art.6.1c); interés público (art.6.1e); o ejercicio de poderes públicos (art.6.1e) El tratamiento para cumplir obligación legal exige norma de la UE o norma con rango de ley (excluye negociación colectiva) - el tratamiento para cumplir misión realizada en interés público exige una competencia atribuida por norma con rango de ley. La LOPD se limitaba a excluir de la necesidad de consentimiento los supuestos de tratamiento de datos para el ejercicio de competencias

art.6.2 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias Vid. también Cap IV título I " Ficheros de titularidad pública"

Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679. 2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.


16

propias de las AAPP y regulaba en capítulo aparte el tratamiento de datos en ficheros de titularidad publica. El RGPD amplía el catálogo de datos especialmente sensibles que contenía el art.7 LOPD. El art.9 de la NLOPD no cataloga los datos especialmente protegidos , por lo que rige el art. 9.1 del RGPD, que prohíbe el tratamiento de los mismos. La LOPD en uso de la habilitación que al legislador nacional confiere el art.9.2a) RGPD considera inhábil el solo consentimiento para enervar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, dejando fuera de dicha disposición y, por tanto, siendo posible el consentimiento explícito para el tratamiento de los datos : - que revelen el, las opiniones políticas, las, - datos genéticos, datos biométricos dirigidos a

Artículo 7. Datos especialmente protegidos. 1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas

Artículo 9. Categorías especiales de datos.

1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.


17

identificar de manera unívoca a una persona física, -- datos relativos a la salud o -datos relativos a la vida sexual o las orientación sexuales de una persona física. El art.9.2 NLOPD, exige norma con rango de ley (por tanto no es válido el convenio colectivo), para tratar datos en 3 supuestos : g) por razones de un interés público esencial, h) para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, ; i) por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o

competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.


18

productos sanitarios, Dicha ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte. En el art.10 la NLOPD desarrolla el art.10 del RGPD, que exige para el tratamiento de datos relativos a condenas e infracciones y condenas penales. - que se haga bajo la supervisión de las autoridades. - que lo establezca el Dª UE o de los EEMM. El art.10 sólo permite el tratamiento de datos penales para fines distintos a los de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, cuando se encuentre amparado en norma de Dº UE; LO o ley ordinaria.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad. 1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley. 2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. 3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

Artículo 10. Tratamiento de datos de naturaleza penal

1. El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.


19

El registro completo de datos referidos a condenas, procedimientos y MC o MS puede realizarse conforme a la regulación del Sistema de RAA AJ (cabe decir que debería exigirse norma con rango de ley). 3. Se prevé el tratamiento de datos de naturaleza penal por abogados y procuradores, cuando recojan información facilitada por sus clientes para el ejercicio de sus funciones.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme,

2. El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia. 3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Título III. Derechos de las personas.

Capítulo I. Transparencia e información.

El art.11 NLOPD regula la transparencia e información del afectado de acuerdo con los arts. 12, 13 y 14 del RGPD.

Artículo 5. Derecho de información en la recogida de datos. 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter

Artículo 11. Transparencia e información al afectado

1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar


20

A diferencia del antiguo art.5 de la LOPD la NLOPD no contiene un listado con los contenidos objeto de la información al interesado, por lo que regirá el contenido previsto en los arts. 13 y14 del RGPD. La NLOP pretende facilitar una información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. Se cumple así con el deber de transparencia en la información, previsto en el art.12 RGPD, que impone facilitar la misma en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. La información básica cuando los datos se han obtenido del interesado se refiere a (vid. art.13 RGPD): a) La identidad del responsable del

personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo. 5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines

cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. 2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso. b) La finalidad del tratamiento c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.


21

tratamiento y de su representante, en su caso. b) La finalidad del tratamiento c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. 3.- La información básica cuando los datos no se han obtenido del interesado se refiere a (vid. art.14 RGPD), deberá además incluir: a) Las categorías de datos objeto de tratamiento. b) Las fuentes de las que procedieran los datos

históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antiguedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En estos supuestos, la información básica incluirá también: a) Las categorías de datos objeto de tratamiento. b) Las fuentes de las que procedieran los datos..

Capítulo II. Ejercicio de los derechos.

El art.12 de la NLOPD contiene las DDGG sobre ejercicio de los derechos ARCO. La antigua LOPD, en su art.17 se remitía al desarrollo reglamentario y establecía con carácter general la gratuidad del ejercicio de los derechos ARCO.

Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación. 1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. 2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Artículo 12. Disposiciones generales sobre ejercicio de los derechos.

1. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse directamente o por medio de representante legal o voluntario. 2. El responsable del tratamiento estará


22

En resumen: 1) Ejercicio directo o por representante legal o voluntario 2)El responsable debe informar al interesado sobre los medios para ejercer sus derechos, que deben ser fácilmente accesibles y nunca impuestos al afectado, que puede optar por otro medio. 3) El encargado puede tramitar las solicitudes de ejercicio formuladas por los interesados, pero ello ha de constar en el contrato de encargo. 4) La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de DD es del responsable 5) Se estará a lo previsto en las leyes especiales que rigen determinados tratamientos 6) Los titulares de la patria potestad de menores de 14 años ejercitan los derechos ARCO en su nombre 7) Se impone la gratuidad de las actuaciones necesarias para

obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio. 3. El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule. 4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable. 5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto en aquellas. 6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica. 7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para


23

atender las solicitudes de ejercicio de derechos (como impone el art.12.5 RGPD) Se permite el cobro de canon o la negativa del responsable a facilitar la información en los supuestos del art.12.5 RGPD, es decir, solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo. La remisión al art.15.3 RGPD supone que El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común La remisión al art.13.3 de la

atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica.


24

NLOPD supone que se considera repetitivo el ejercicio del derecho de acceso en más de una ocasión en el plazo de 6 meses. La remisión al art.13.4 de la NLOPD supone que la elección de un medio con coste desproporcionado, la solicitud se considera excesiva, asumiendo el afectado el exceso de costes El art.13 NLOPD, en lugar de regular el objeto del derecho de acceso, como hacía el art.15 de la LOPD, se remite a lo establecido en el art.15 RGPD La nueva LOPD contempla la posibilidad de que el responsable solicite la especificación de a qué datos o actividades se refiere la solicitud cuando trata gran cantidad de datos del interesado. 2. La NLOPD permite cumplir con el acceso mediante sistema de acceso remoto, directo y seguro que garantice de modo permanente el acceso a la totalidad de datos. SE superan así los medios que

Artículo 15. Derecho de acceso. 1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. 2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

Artículo 13. Derecho de acceso.

1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679. Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud. 2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el


25

contenía el art.15.2 LOPD (escrito, copia, telecopia, totocopia...) Se prevé que el acceso en modo remoto no contemple toda la información referida a los extremos prevista en el art.15.1 del Reglamento, permitiendo que el interesado pida que se complete. Se impone una carga a los interesados que no se contempla en el RGPD, y por tanto, de dudosa validez. 3.- Se reduce el período de acceso de 12 meses a 6. El ejercicio del derecho más de 1 vez en ese período se considera repetitivo, salvo causa legítima. 4.- Se impnen al afectado los costes que resulten de un medio distinto al ofrecido cuando dichos costes sean desproporcionados.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho. No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto. 3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. 4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas.

En el art.14 de la NLOPD se regula el derecho de rectificación (art.16

Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer

Artículo 14. Derecho de rectificación.

Al ejercer el derecho de rectificación reconocido


26

RGPD). La NLOPD impone una vez más una carga al intereasdo que no contiene el art.16 del RGPD, pues le obliga a indicar a qué datos se refiere y la corrección que haya de realizarse. Además, le impone la aportación de la documentación justificativa de la inexactitud o carácter incompleto de los datos. Nada dice la NLOPD de un plazo, como hacía la antigua LOPD, por lo que la rectificación ha de realizarse conforme al art.16 RGPD sin dilación indebida.

efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

en el artículo 16 del Reglamento (UE) 2016/679, el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento

El art.15 de la NLOPD regula el derecho de supresión, que se corresponde con el antiguo derecho de cancelación contemplado en el art.16 LOPD. Una vez más la NLOPD se remite al RGPD (art.17) Si la supresión se deriva de la oposición al tratamiento para mercadotecnia, el

Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las

Artículo 15. Derecho de supresión.

1. El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE) 2016/679. 2. Cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir


27

responsable puede conservar datos identificativos del interesado para impedir tratamientos futuros para fines de mercadotecnia directa.

Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

tratamientos futuros para fines de mercadotecnia directa.

El art.16 NLOPD regula el novedoso derecho a la limitación del tratamiento, y se remite al régimen establecido en el art.18 RGPD. La limitación del tratamiento supone que datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

Artículo 16. Derecho a la limitación del tratamiento.

1. El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del Reglamento (UE) 2016/679. 2. El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.


28

2. La limitación de los datos ha de constar en los sistemas de información del responsable.

La NLOPD se limita, en su art.17, a remitirse al art.20 RGPD en cuanto a la portabilidad. El derecho a la portabilidad, consiste en el derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado

Artículo 17. Derecho a la portabilidad.

El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679.

La NLOPD en su art.18 regula el derecho de oposición y los derechos relaciones con las decisiones individuales automatizadas, que se regulan en los arts.21 y 22 RGPD.

Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación. 1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. 2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación

Artículo 18. Derecho de oposición.

El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679

Título IV. Disposiciones aplicables a tratamientos concretos. El art.19 NLOPD regula, como novedad, el tratamiento de datos de contacto, de empresarios individuales y profesionales liberales. En los 3 casos se establece presuntivamente como base jurídica del tratamiento el interés legítimo (art.6.1f RGPD); y ello con presunción iuris tantum, salvo prueba en contrario. En el caso de datos de contacto de personas físicas que presten sus ser vicios en una persona jurídica, se exige:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto


29

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional. b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. Los responsables o encargados pueden tratar los datos de contacto, de empresarios individuales y de profesionales liberales con la base jurídica de la obligación legal o la necesidad para el ejercicio de sus competencias (art.6.1 c RGPD)

en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos: a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional. b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. 2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas. 3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

El art.20 NLOPD regula los comúnmente conocidos como "ficheros de morosos", a los que protege de forma evidente, con una presunción iuris tantum de licitud.

Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito. 1. Quienes se dediquen a la prestación de servicios de información sobre la

Artículo 20. Sistemas de información crediticia.

1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos


30

En efecto, en primer lugar, parte de la presunción de licitud del tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, por sistemas comunes de información crediticia. Ahora bien, se sujeta dicha protección presuntiva a 6 requisitos: 1) Datos facilitados por el acreedor o por quien actúe por su cuenta 2) Datos referidos a deudas ciertas, vencidas y exigibles. No se cumple si hay reclamación admva. judicial o por arbitraje. 3) que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago, de la posibilidad de incluirle en dichos sistemas. En mi opinión la NLOPD consagra una excepción injustificada al deber de informar en el momento de obtención de los datos (art.13.1 RGPD), posibilitando una información a posteriori, de forma que los datos serán tratados para finalidad distinta a la que fue inicialmente objeto de información. (art.5.1b) RGPD) Se establece un segundo deber de información de la entidad que mantiene el SIC cuando se incluye al interesado en el sistema 4) Mantenimiento de los datos por un plazo máximo de 5 años. 5) Solo tienen acceso al SIC respecto un deudor determinado los que tengan una relación contractual con el afectado que implique abono de dinero, o el afectado haya solicitado celebrar un contrato de financiación, pago aplazado o facturación periódica.

solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con

al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés. b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe. La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo. d) Que los datos únicamente se mantengan en el sistema


31

El interesado puede ejercitar el derecho de limitación (art.18.1a) RGPD) y entonces el SIC sólo informa de esa circunstancia, pero no de los datos personales. (Esa información ya supone dar a conocer que el interesado está en el SIC, y excede, en mi opinión, de lo que autoriza el art.18 .2 RGPD respecto de las posibilidades de tratamiento de los datos sujetos a limitación. 6) Si se deniega la solicitud de celebración del contrato o no llega a celebrarse como consecuencia de la consulta en el SIC el consultante ha de informar al afectado del resultado de dicha consulta.

veracidad a la situación actual de aquéllos.

mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario. Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado. f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la


32

consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta. 2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud. 3. La presunción a la que se refiere el apartado 1 de este artículo no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.

El art. 21 NLOPD regula, como novedad, los tratamientos relativos a determinadas operaciones mercantiles, como modificación estructural de sociedades, o aportación o transmisión de negocios o ramas de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen la continuidad en la prestación de servicios. Este supuesto puede afectar, en el ámbito laboral, a los casos de sucesiones de empresas del art.44 ET o a los supuestos de subrogaciones convencionales, en que la

Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su


33

empresa entrante se subroga en las relaciones laborales de la saliente. En estos casos se presume lícito el tratamiento de datos y su comunicación previa, salvo prueba en contrario.

comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios. 2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.

El art.22 NLOPD regula de forma novedosa los tratamientos con fines de videovigilancia. Sin embargo, cuando se trate de videovigilancia en el ámbito laboral se aplica el art.89 NLOPD y no el art.22 (vid. art.22.8 NLOPD).En efecto, conforme al art.22.8 NLOPD, El tratamiento por el empleador de datos obtenidos a través de sistemas de cámaras o videocámaras se sujeta al art.89. 2. La NLOPD posibilita que personas, físicas, jurídicas, públicas o privadas traten datos de imágenes para preservar la seguridad de personas, bienes o instalaciones. La captación de datos en vía pública se restringe a los supuestos en que sea imprescindible para dicha finalidad, salvo en caso de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte., y nunca deben abarcar imágenes del interior de un domicilio privado. 3. El plazo de cancelación de los datos es de 1 mes desde su captación, salvo que hayan de ser conservados para acreditar actos que atenten contra integridad de personas, bienes o instalaciones. En tales casos han de ponerse a disposición de la autoridad en plazo máximo de 72 horas desde que se conoció la existencia de la grabación.

Artículo 22. Tratamientos con fines de videovigilancia.

1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. 2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar


34

4.- El deber de información se atenúa, siendo suficiente colocar un dispositivo en lugar suficientemente visible que identifique: - el tratamiento - identidad del responsable - psoibilidad de ejercitar los derechos ARCO. 5.- Se excluye de la aplicación de la ley el tratamiento por persona física de imágenes que solo capten el interior de su domicilio, salvo que dicha captación la haga una entidad de seguridad privada contratada para vigilar el domicilio y tenga acceso a las imágenes Este precepto puede ser problemático en los supuestos de videovigilancia y captación de imágenes de empleados/as de hogar. En estos casos, en mi opinión, debe aplicarse el art.89 NLOPD, pues prevalece la condición de empleador del dueño/a del domicilio. 6.- Se excluye del ámbito de aplicación de la NLOPD el tratamiento de datos procedentes e imágenes y sonidos obtenidos por cámaras y video cámaras de las FFCCS, que se rigen por la legislación que traspone la Diredtiva 2016/680, cuando el tratamiento tena por finlaidad la prevnción, investigación ,detección on enjuiciamiento de infracciones penales o de ejecución de sanciones penales. 7.- Lo previsto en la NLOPD no afecta a lo previsto en la Ley 5/2014, de 4 de abril de Seguridad Privada

la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado. 3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación. No será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica. 4. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información.


35

En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento. 5. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio. Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes. 6. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la


36

seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica. 7. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo. 8. El tratamiento por el empleador de datos obtenidos a través de sistemas de cámaras o videocámaras se somete a lo dispuesto en el artículo 89 de esta ley orgánica.

En el art.23 NLOPD se establece la novedad consistente en los sistemas de exclusión publicitaria, que posibilitan el tratamiento de DP para evitar el envío de comunicaciones publicitarias por quienes hayan manifestado su negativa u oposición a recibirlas. Desaparece de esta forma el censo promocional regulado en el art.31 LOPD, y se adopta un sistema inverso de sistemas de exclusión publicitaria. 2. Las entidades responsables de los SEP deben comunicar su creación a la autoridad de control y ésta debe publicar una relación de SEP . 3.- Cuando un afectado manifiesta a un responsable que no quiere que sus datos se traten para remisión de

Artículo 31. Censo promocional. 1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral. 2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público.

Artículo 23. Sistemas de exclusión publicitaria.

1. Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas. A tal efecto, podrán crearse sistemas de información, generales o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas.


37

comunicaciones comerciales, el responsable debe informarle de los SEP. 4.- Los que pretendan realizar comunicaciones de mercadotecnia directa deben consultar previamente los SEP que puedan afectar a su actuación, excluyendo del tratamiento los datos de los interesados que se hayan opuesto o negado al mismo. Dicha consulta no es precisa si el interesado ha prestado su consentimiento para recibir la comunicación a quien pretenda realizarla.

3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentariamente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. 4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático.

2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias. La autoridad de control competente hará pública en su sede electrónica una relación de los sistemas de esta naturaleza que le fueran comunicados, incorporando la información mencionada en el párrafo anterior. A tal efecto, la autoridad de control competente a la que se haya comunicado la creación del sistema lo pondrá en conocimiento de las restantes autoridades de control para su publicación por todas ellas. 3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente. 4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de


38

los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente. No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.

Una novedad reseñable de la NLOPD se da en su art. 24, en que se regulan los sistemas de información de denuncias internas (SIDI), en cuya virtud entidades privadas reciben denuncias, incluso anónimas, de la comisión en su seno o en relación con terceros que con ellas contratan, de actos o conductas que puedan ser contrarias a la normativa general o sectorial. Existe el deber de informar a los empleados y terceros de la existencia de estos sistemas de información. Se trata de sistemas de compliance que pueden llegar a jugar como elemento determinante de la exención de responsabilidad penal de personas jurídicas en ciertos casos (art.31bis.2 CP). Sin embargo su virtualidad no se agota en el ámbito penal. En el ámbito laboral, estos SIDI pueden tener una doble incidencia: - cuando el SIDI forme parte de un protocolo anti acoso - cuando del SIDI resulten hechos disciplinariamente relevantes para algún trabajador/a. 2.- Se limita el acceso a los SIDI a quienes realicen funciones de control interno Se permite el acceso o la comunicación de datos a terceros cuando sea preciso para la adopción de medidas disciplinarias o para procedimientos judiciales (hay que entender incluidos los laborales por despido.

Artículo 24. Sistemas de información de denuncias internas.

1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia


39

En cuanto al acceso a los datos del SIDI del personal con funciones de gestión y control de RRHH, el mismo será posible solo cuando pueda proceder la adopción de medidas disciplinarias contra un trabajador. 3. Se impone la garantía de la preservación de la identidad y la confidencialidad de los datos de los afectados por la información suministrada, en especial del denunciante. 4.- El plazo de conservación de datos se da por el tiempo imprescindible, y deben suprimirse en todo caso pasados 3 meses desde su introducción. las denuncias no cursadas sólo pueden constar anonimizadamente, sin que deban ser bloqueadas. transcurrido el plazo de 3 meses los datos pueden seguir siendo tratados a efectos disciplinarios (¿¡), para investigar los hechos , no conservándose en el SIDI. 5 .Se aplica a los SIDi de las AAPP

de estos sistemas de información. 2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos. 3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.


40

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica. Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas. 5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

El art. 25 de la NLOPD remite a un régimen específico el

Art.2.3

Artículo 25. Tratamiento de datos en el


41

tratamiento de datos en el ámbito de la función estadística pública, así como al RGPD y la NLOPD. En el sistema de fuentes que rige el tratamiento de datos en el ámbito de la estadística pública se añade el RGPD, que no aparecía en el art.2.3 de la LOPD. La base jurídica del tratamiento de datos con fines estadísticos es la del art.6.1e) RGPD, esto es, la necesidad para cumplir una misión realizada en interés púbico o en ejercicio de poderes públicos conferidos al responsable. Sin embargo, para que dicha base jurídica ampare el tratamiento se exige norma de la UE o que la información requerida se encuentre incluida nos instrumentos de programación estadísticos legalmente previstos. Ejemplos de norma de la UE, de relevancia en el ámbito laboral: Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70). En el caso de datos especialmente sensibles, la participación en la estadística es estrictamente voluntaria y exige el consentimiento expreso de los afectados. Hay que tener en cuenta que el listado de datos especialmente

3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

ámbito de la función estadística pública.

1. El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en el Reglamento (UE) 2016/679 y en la presente ley orgánica. 2. La comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del Reglamento (UE) 2016/679 en los casos en que la estadística para la que se requiera la información venga exigida por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística legalmente previstos. De conformidad con lo dispuesto en el artículo 11.2 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán recogerse previo consentimiento expreso de los afectados los datos a los que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679. 3. Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por


42

sensibles es más amplio en el art.9 RGPD que en el art.11 de la Ley 11.2 Ley 12/1989 pues el primero contiene el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. Al art.11.2 Ley 12/89, le faltan las convicciones filosóficas, la afiliación sindical los datos genéticos, los biométricos, los datos relativos a la vida sexual o a la orientación sexual. En el apartado 3 del art.25 se prevé la denegación por los afectados de los derechos ARCO cuando los datos se hallen afectados por las garantías del secreto estadístico.

los afectados de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación estatal o autonómica.

El art.26 NLOPD regula el tratamiento de datos con fines de archivo de interés público por las AAPP y declara su licitud, sometiéndolo al RGPD y a la Ley 16/85 de PHE y RD 1708/11 sobre sistema español de archivos.

Artículo 26. Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas.

Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica con las especialidades que se derivan de lo previsto en la Ley 16/1985, de 25 de


43

junio, del Patrimonio Histórico Español, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, así como la legislación autonómica que resulte de aplicación.

El art. 27 NLOPD limita el tratamiento de datos relativos a infracciones y sanciones administrativas a los supuestos en que los responsables del tratamiento tengan competencia sancionadora y que el tratamiento se limite estrictamente al los datos necesarios para tal fin. 2. Fuera de estos supuestos, el tratamiento de datos relativos a infracciones o sanciones administrativas exige el consentimiento del interesado o disposición legal habilitante. 3. También se permite el tratamiento de estos datos por abogados y procuradores en el ejercicio de sus funciones.

Art.7.5 LOPD Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras

Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas

1. A los efectos del artículo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá: a) Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones. b) Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel. 2. Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el


44

consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados. 3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

Título V. Responsable y encargado del tratamiento.

Capítulo I. Disposiciones generales. Medidas de responsabilidad activa.

El art.28 de la NLOPD regula las obligaciones generales del responsable y el encargado, con remisión al art.24 RGPD (responsabilidad del responsable) y art.25 RGPD( protección de datos desde el diseño y por defecto). Se incide en las medidas técnicas y organizativas apropiadas para poder garantizar, y ahora acreditar (responsabilidad proactiva) que el tratamiento es conforme con el RGPD, NLOPD, etc.

Artículo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan

Artículo 28. Obligaciones generales del responsable y encargado del tratamiento.

1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede


45

Se impone como obligación de Responsable y encargado la de valorar si procede hacer una EIPD. En el apartado 2 del art.28 NLOPD se prevén 9 indicadores de riesgos en el tratamiento, que se enumeran con carácter abierto, no taxativo: 1) situaciones de discriminación, usurpación de identidad o fraude 2) privar a los afectados de sus derechos y libertades 3) impedirles el ejercicio del control sobre sus datos 4) tratamiento no meramente incidental o accesorio de las categorías especiales de datos 5) Evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos 6) el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad 7)tratamiento masivo

las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento. 2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos: a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados. b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales. c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.


46

8) cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual , a terceros Estados 9)Cualesquiera otros apreciados por responsable o encargado

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos. e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad. f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales. g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección. h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

En el art.29 NLOPD se regulan los supuestos de corresponsabilidad en el tratamiento, contemplados en el art.26 RGPD, precisando que la determinación de las

Artículo 29. Supuestos de corresponsabilid


47

responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada corresponsables. En todo caso, dicha determinación habrá de conocerse por el interesado y plasmarse en el acuerdo entre corresponsables, en aras del principio de transparencia.

ad en el tratamiento.

La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento

El art.30 NLOPD regula los supuestos de representantes de responsables o encargados del tratamiento no establecidos en la UE a quinees se aplique el RGPD (at.3.2 RGPD) y afecte a interesados que se hallen en España, en tal caso la AEPD o la autonómica correspondinete puede imponer al representante solidariamente con el responsable o encargado las medidas previstas en el RGPD 2. En caso de responsabilidad e indemnización (art.82 RGPD), se impone la responsabilidad solidaria de responsables, encargados y representantes.

Artículo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea.

1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unión Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se refiera a afectados que se hallen en España, la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679. Dicha exigencia se entenderá sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable o al encargado del tratamiento y del ejercicio por el representante de la


48

acción de repetición frente a quien proceda. 2. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del Reglamento (UE) 2016/679, los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados.

El art.31 NLOPD incorpora la nueva obligación que impone el art.30 del RGPD, esto es, el registro de las actividades de tratamiento. La obligación de registro (art.30.5 RGPD) no se aplica a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. La información que contiene el registro es la que contempla el art.30.1 del RGPD, al que se remite la NLOPD. Los órganos constitucionales, jurisdiccionales, la AGE, los OOPP y EE DP vinculadas o dependientes de las AAPP, las Autoridades admvas. independiente, Banco de España, Corporaciones de Dª Público, Fundaciones del SP, Universidades públicas, Consorcios y Grupos parlamentarios CCGG y AALL CCAA deben hacer públicos un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que conste la información del art.30 RGPD y su base legal.

Artículo 31. Registro de las actividades de tratamiento.

1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5. El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro. 2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán


49

público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.

La NLOPD en su art.32 regula lo que denomina bloqueo de los datos, que en la terminología del RGPD se denomina limitación (art.18 RGPD), y se produce en los supuestos en que procede la rectificación o supresión de los datos. Se exceptúa, como ya hacía el art.16.3 LOPD, la puesta a disposición de los datos para tribunales, MF y AP, para exigencia de responabilidades por el plazo de prescripción, trascurrido el cual se deben suprimir. Salvo para ejercicio de acciones o exacción de responsabilidades los datos bloqueados no pueden ser tratados. 4. Se prevé una excepción al bloqueo, por

art.16.3 . La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

Artículo 32. Bloqueo de los datos.

1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión. 2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos. 3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior. 4. Cuando para el cumplimiento de esta obligación, la configuración del sistema


50

esfuerzo desproporcionado 5.- se habilita a las APD la fijación de excepciones a la obligación de bloqueo en supuestos de riesgo por conservación de los datos bloqueados.

de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo. 5. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

Capítulo II. Encargado del tratamiento.

En el art.33 de la NLOPD se regula el encargado del tratamiento, pero sólo en cuanto a determinados aspectos de su actividad. En primer lugar, el acceso a datos necesarios para prestar servicios al responsable, no se considera comunicaciónde datos.

Artículo 33. Encargado del tratamiento.

1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten


51

En segundo lugar, se considera responsable a quien obre como tal frente a los interesados, aunque tenga contrato de encargo con un responsable. Ello no se aplica a los encargos de tratamiento en el marco de la LCSP. En tercer lugar, corresponde al responsable decidir el destino de los datos una vez concluido el encargo: destrucción devolución o entrega nuevo encargado.

necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo. 2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público. Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades. 3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado. No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser


52

4.- El encargado ha de conservar los datos bloqueados mientras puedan exigírsele responsabilidades derivadas de su relación con el responsable. 5. En el SP el encargo puede atribuirse a órganos de la AGE, CCAA o AL, o a los Organismos vinculados o dependientes a través de la nroma que regule sus competencias.

devueltos al responsable, que garantizará su conservación mientras tal obligación persista. 4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. 5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.

Capítulo III. Delegado de protección de datos.

El art.34 NLOPD regula la nueva figura del delegado de protección de datos, introducida por el art.37 RGPD. El precepto se remite a los supuestos previstos en el art.37 RGPD (AAPP, observación de interesados a gran escala y datos sensibles) para designación de DPD, pero establece 16 supuestos de obligada designación.

Artículo 34. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del


53

Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades: a) Los colegios profesionales y sus consejos generales. b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio. e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito. f) Los establecimientos financieros de crédito. g) Las entidades aseguradoras y reaseguradoras. h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural. j) Las entidades responsables de ficheros comunes para la


54

evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo. k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas. n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego. ñ) Las empresas de seguridad privada.


55

2.- Se prevé la designación voluntaria de DPD por parte de responsables o encargados no obligados a ello. 3.- Se prevé la comunicación a las APD de la designación, nombramiento y cese de DPD 4.- Se prevé el mantenimiento de una lista actualizada de DPD. 5.- El DPD podrá serlo a tiempo completo o tiempo parcial.

o) Las federaciones deportivas cuando traten datos de menores de edad. 2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica. 3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria. 4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos. 5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación


56

completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.

El art.35 NLOPD prevé , conforme al art.37.5 RGPD que el DPD sea p. física o jurídica, podrá demostrar la formación y capacitación necesaria mediante mecanismos voluntarios de certificación, que tendrán en cuenta la titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.

Artículo 35. Cualificación del delegado de protección de datos.

El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.

El art.36 NLOPD regula la posición del DPD, como también hace el art.38 RGPD. Le atribuye funciones de interlocución del responsable o encargado ante las APD y de inspección de procedimientos de tratamiento.

Artículo 36. Posición del delegado de protección de datos.

1. El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el


57

2. Se establece la prohibición de remoción o sanción del DPD salvo dolo o negligencia grave en su ejercicio y se impone garantizar su independencia dentro de la organización. 3.- Se garantiza el DPD al acceso a los datos, incluso los que se hallen bajo confidencialidad o secreto. 4.- Se impone al DPD el deber de documentar y comunicar al responsable o el encargado cualquier vulneración relevante en materia de PDP.

ámbito de sus competencias. 2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses 3. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica. 4. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.


58

Entre las funciones del DPD, el art.38.4 RGPD contempla que los interesados puedan ponerse en contracto con el DPD en lo que atañe a sus datos personales. A tal propósito, el art.37 NLOPD, contempla una especie de reclamación previa potestativa, que el DPD habrá de responder en el plazo máximo de 2 meses a contar desde la recepción de la reclamación. Así mismo, cuando las APD reciban una reclamación del afectado, podrán remitir la misma al DPD para que responda en el plazo de 1 mes, durante el que parece que se suspende el procedimiento. El procedimiento es el del Título VIII NLOPD (arts. 63-69)

Artículo 37. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos

1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. 2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes. Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la


59

reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo. 3. El procedimiento ante la Agencia Española de Protección de Datos será el establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo. Asimismo, las comunidades autónomas regularán el procedimiento correspondiente ante sus autoridades autonómicas de protección de datos.

Capítulo IV. Códigos de conducta y certificación

El art.38 NLOPD regula los códigos de conducta, que se contemplan en los arts.40 y 41 RGPD. Dichos códigos, además de las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento (art.40.2 RGPD), pueden ser promocidos por empresas o grupos de empreass, así como por responsables o encargados del art. 77 NLOPD (órganos constitucionales, órganos jurisdiccionales, AAPP, etc.). También pueden promovoerse por

Artículo 32. Códigos tipo. 1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo. 2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

Artículo 38. Códigos de conducta.

1. Los códigos de conducta regulados por la sección 5.ª del Capítulo IV del Reglamento (UE) 2016/679 serán vinculantes para quienes se adhieran a los mismos. Dichos códigos podrán dotarse de mecanismos de resolución extrajudicial de conflictos. 2. Dichos códigos podrán promoverse, además de por las asociaciones y organismos a los que se refiere el artículo 40.2 del Reglamento (UE) 2016/679, por empresas o grupos de empresas así como por los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica. Asimismo, podrán ser promovidos por los organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el


60

organismos o entidades que asuman las ufnciones de supervisión y resolución extrajudicial de conflictos. Los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no somete la reclamación a su decisión, el afectado podrá formularla ante la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos.

3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

artículo 41 del Reglamento (UE) 2016/679. Los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación, sin perjuicio de lo dispuesto en el artículo 37 de esta ley orgánica. Además, sin menoscabo de las competencias atribuidas por el Reglamento (UE) 2016/679 a las autoridades de protección de datos, podrán voluntariamente y antes de llevar a cabo el tratamiento, someter al citado organismo o entidad de supervisión la verificación de la conformidad del mismo con las materias sujetas al código de conducta. En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no somete la reclamación a su decisión, el afectado podrá formularla ante la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos. La autoridad de protección de datos competente verificará


61

3.- Los CC se aprueban por las APD 4.- Las APD soometerán los proyectos de CC al mecanismo de coherencia del art.63 RGPD 5.- las APD deben mantener registros de CC aprobados 6. Se remite a RD el contenido del registro y las especialidades del pcto. de aprobación de CC.

que los organismos o entidades que promuevan los códigos de conducta han dotado a estos códigos de organismos de supervisión que reúnan los requisitos establecidos en el artículo 41.2 del Reglamento (UE) 2016/679. 3. Los códigos de conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente. 4. La Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos someterán los proyectos de código al mecanismo de coherencia mencionado en el artículo 63 de Reglamento (UE) 2016/679 en los supuestos en que ello proceda según su artículo 40.7. El procedimiento quedará suspendido en tanto el Comité Europeo de Protección de Datos no emita el dictamen al que se refieren los artículos 64.1.b) y 65.1.c) del citado reglamento. Cuando sea una autoridad autonómica de protección de datos la que someta el proyecto de código al mecanismo de coherencia, se estará a lo dispuesto en el artículo 60 de esta ley orgánica. 5. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán registros de los códigos de conducta


62

aprobados por las mismas, que estarán interconectados entre sí y coordinados con el registro gestionado por el Comité Europeo de Protección de Datos conforme al artículo 40.11 del citado reglamento. El registro será accesible a través de medios electrónicos. 6. Mediante real decreto se establecerán el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta.

El art.39 NLOPD contempla la acreditación de las instituciones e certificación por la Entidad Nacional de Acreditación, que habrá de comunicar a las AP las concesiones, denegaciones o revocaciones de las acreditaciones y su motivación.

Artículo 39. Acreditación de instituciones de certificación.

Sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación.

Título VI. Transferencias internacionales de datos.

El Título VI de la NLOPD (arts.40-43) regula las

Artículo 33. Norma general. 1. No podrán realizarse transferencias temporales ni definitivas de datos de

Artículo 40. Régimen de las transferencias


63

transferencias internacionales de datos, que el RGPD contempla en sus arts.44-50. La antigua LOPD los regulaba en los arts.33 y 34. El art. 40 NLOPD se remite al régimen del RGPD, la NLOPD, los reglamentos y las circulares de las APD, como fuentes de las TID.

carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

internacionales de datos.

Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Española de Protección de Datos y de las autoridades autonómicas de protección de datos, en el ámbito de sus respectivas competencias. En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos.

El art.41 NLOPD contempla los supuestos de adopción de cláusulas contractuales tipo para la realización de TID, sometidas a previo dictamen del CEPD del art.64

Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos.

1. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del Comité Europeo de


64

2. Se permite a las APD la aprobación de normas corporativas vinculantes para los grupos de empresas, conforme al art.47 RGPD , lo que será importante para empresas o grupos de empresas, multinacionales, en relación con los datos de sus trabajadores.

Protección de Datos previsto en el artículo 64 del citado reglamento. 2. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679. El procedimiento se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de nueve meses. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen al que se refiere el artículo 64.1.f) del Reglamento (UE) 2016/679, y continuará tras su notificación a la Agencia Española de Protección de Datos o a la autoridad autonómica de protección de datos competente.

El art.42 NLOPD regula los supuestos en que se exige autorización previa de la AEPD,

Artículo 42. Supuestos sometidos a autorización previa de las autoridades de protección de datos.

1. Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una


65

previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos: a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679. b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento. El procedimiento tendrá una duración máxima de seis meses. 2. La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del Reglamento (UE) 2016/679. La remisión del expediente al citado comité implicará la suspensión del procedimiento hasta que el dictamen sea


66

notificado a la Agencia Española de Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.

En el art.43 NLOPD se contemplan los supuestos sometidos a información previa a las APD, que se dan cuando se pretendan llevar a cabo por los responsables sobre la base de la necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679.

Artículo 43. Supuestos sometidos a información previa a la autoridad de protección de datos competente.

Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos. Esta información deberá facilitarse con carácter previo a la realización de la transferencia Lo dispuesto en este artículo no será de aplicación a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos, de acuerdo con el artículo 49.3 del Reglamento (UE) 2016/679


67

Título VII. Autoridades de protección de datos

Capítulo I. La Agencia Española de Protección de Datos.

Sección 1.ª Disposiciones generales.

En la NLOPD el art.44 muda la naturaleza jurídica de la AEPD, que pasa de ser un ente de derecho público a una autoridad administrativa independiente de las previstas en el la Ley 40/15. Se varía su denominación oficial, que pasa a ser: AEPD AAI. Se relaciona con el Gobierno a través del MJU.

Artículo 35. Naturaleza y régimen jurídico. 1. La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. (Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.) 2.- (...) vid art. 45 3.- (...) vid art.46 4.- (...) vid. art 46

Artículo 44. Disposiciones generales.

1. La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, será «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente». Se relaciona con el Gobierno a través del Ministerio de Justicia.


68

En el CEPD (antiguo GT 29), la AEPD es el representante de las APD españolas. 3. Se establece la colaboración entre la AEPD y el CGPJ en el ejercicio de las competencias que la LOPJ atribuye en materia de protección de datos personales (arts. 236 bis a 236 decies LOPJ)

2. La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos. 3. La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.


69

El régimen jurídico de la AEPD se compone del RGPD, la NLOPD y disposiciones de desarrolo. Supletoriamente se rige por (Art.110.1 LSPE): Ley de creación, sus estatutos y la legislación especial de los sectores económicos sometidos a su supervisión y, supletoriamente y en cuanto sea compatible con su naturaleza y autonomía, por lo dispuesto en esta Ley, en particular lo dispuesto para organismos autónomos, la Ley del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 47/2003, de 26 de noviembre, el Real Decreto Legislativo 3/2011, de 14 de noviembre, la Ley 33/2003, de 3 de noviembre, así como el resto de las normas de derecho administrativo general y especial que le sea de aplicación. En defecto de norma administrativa, se aplicará el derecho común. 2.- El Estatuto AEPD se aprobará por RD del Gobierno.

art.35.1 pfo.2 (Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.) Art.35.2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contratación estará sujeta al derecho privado.

Artículo 45. Régimen jurídico.

1. La Agencia Española de Protección de Datos se rige por lo dispuesto en el Reglamento (UE) 2016/679, la presente ley orgánica y sus disposiciones de desarrollo. Supletoriamente, en cuanto sea compatible con su plena independencia y sin perjuicio de lo previsto en el artículo 63.2 de esta ley orgánica, se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 2. El Gobierno, a propuesta de la Agencia Española de Protección


70

de Datos, aprobará su Estatuto mediante real decreto.

El art. 46.1 de la NLOPD se corresponde con el art.35.5 de la anterior ley y atribuye autonomía presupuestaria a la AEPD. 2.- El régimen de modificaciones y vinculación de créditos será el previsto en su estatuto. El Pdte. autoriza lass modificaciones. que impliquen hasta un 3% del Presupuesto total de gastos, siempre que no incremente. El art. 46.3 NLOPD regula los medios con que cuenta la AEPD para cumplir con sus fines, añadiendo a los que ya preveía el art.34.3 de la LOPD los ingresos ordinarios y extraordinarios derivados del

art.35. 5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado. art.34.4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos: a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado. b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.

Artículo 46. Régimen económico presupuestario y de personal.

1. La Agencia Española de Protección de Datos elaborará y aprobará su presupuesto y lo remitirá al Gobierno para que sea integrado, con independencia, en los Presupuestos Generales del Estado. 2. El régimen de modificaciones y de vinculación de los créditos de su presupuesto será el establecido en el Estatuto de la Agencia Española de Protección de Datos. Corresponde a la Presidencia de la Agencia Española de Protección de Datos autorizar las modificaciones presupuestarias que impliquen hasta un tres por ciento de la cifra inicial de su presupuesto total de gastos, siempre que no se incrementen los créditos para gastos de personal. Las restantes modificaciones que no excedan de un cinco por ciento del presupuesto serán autorizadas por el Ministerio de Hacienda y, en los demás casos, por el Gobierno. 3. La Agencia Española de Protección de Datos contará para el cumplimiento de sus fines con las asignaciones que se establezcan con cargo a los Presupuestos Generales del Estado, los bienes y valores que constituyan su patrimonio y los ingresos, ordinarios y


71

ejercicio de sus actividades, incluidos los derivados del ejercicio de la potestad de investigación, correctiva, de autorización y consultiva (vid. art.58 RGPD). 4.- Los resultados positivos se destinan a reservas. El art. 46.5 NLOPD, igual que hacía el art.35.3 LOPD, establece que el personal al servicio de la AEPD será personal funcionario o laboral. 6. la AEPD elabora y aprueba su RPT conforme a los criterios del MEH.

c) Cualesquiera otros que legalmente puedan serle atribuidos. 5. (...) (vid comentario art.46) art.35.3. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

extraordinarios derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidos en el artículo 58 del Reglamento (UE) 2016/679. 4. El resultado positivo de sus ingresos se destinará por la Agencia Española de Protección de Datos a la dotación de sus reservas con el fin de garantizar su plena independencia. 5. El personal al servicio de la Agencia Española de Protección de Datos será funcionario o laboral y se regirá por lo previsto en el texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, y demás normativa reguladora de los funcionarios públicos y, en su caso, por la normativa laboral. 6. La Agencia Española de Protección Datos elaborará y aprobará su relación de puestos de trabajo, en el marco de los criterios establecidos por el Ministerio de Hacienda, respetando el límite de gasto de personal establecido en el presupuesto. En dicha relación de puestos de trabajo constarán, en todo caso, aquellos puestos que deban ser desempeñados en


72

7. La AEPD en lo que a su gestión económico-financiera se refiere, está sujeta al control de la Intervención de la AGE.

exclusiva por funcionarios públicos, por consistir en el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de potestades públicas y la salvaguarda de los intereses generales del Estado y de las Administraciones Públicas. 7. Sin perjuicio de las competencias atribuidas al Tribunal de Cuentas, la gestión económico-financiera de la Agencia Española de Protección de Datos estará sometida al control de la Intervención General de la Administración del Estado en los términos que establece la Ley 47/2003, de 26 de noviembre, General Presupuestaria.

La NLOPD, en su art.47, regula las funciones y potestades de la AEPD, remitiéndose para ello, respectivamente a los arts.57 y 58 del RGPD, en lugar de enumerarlas, como hacía en el art.37 LOPD.

Artículo 37. Funciones. 1. Son funciones de la Agencia de Protección de Datos: a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias. c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.

Artículo 47. Funciones y potestades de la Agencia Española de Protección de Datos.

Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del mismo reglamento, en la presente ley orgánica y


73

Le atribuye también las que provengan de otras leyes o normas de Derecho de la UE.

e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones. g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones. j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine. k) Redactar una memoria anual y remitirla al Ministerio de Justicia. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los

en sus disposiciones de desarrollo. Asimismo, corresponde a la Agencia Española de Protección de Datos el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea.

El art.48 NLOPD regula la figura de la Presidencia, antes denominada "Director", por el art.36 LOPD.

Artículo 36. El Director. 1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

Artículo 48. La Presidencia de la Agencia Española de Protección de Datos.

1. La Presidencia de la Agencia Española de Protección de Datos la


74

el mandado pasa de 4 a 5 años y se regula ahora de forma detallada el proceso de designación, tanto de la Presidencia, como de su adjunto/a.

2. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones. 3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. 4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias. 2. Las resoluciones de la Agencia Española de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un fichero o tratamiento en el Registro General de Protección de Datos ni a aquéllas por las que se

dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices. 2. La Presidencia de la Agencia Española de Protección de Datos estará auxiliada por un Adjunto en el que podrá delegar sus funciones, a excepción de las relacionadas con los procedimientos regulados por el Título VIII de esta ley orgánica, y que la sustituirá en el ejercicio de las mismas en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño. Les será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado. 3. La Presidencia de la Agencia Española de Protección de Datos y su Adjunto serán nombrados por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos. Dos meses antes de producirse la expiración del mandato o, en el resto de las causas de cese, cuando se haya producido éste, el Ministerio de Justicia ordenará la publicación en el Boletín Oficial del Estado de la convocatoria pública de candidatos.Previa evaluación del mérito,


75

resuelva la inscripción en el mismo de los Códigos tipo, regulados por el artículo 32 de esta ley orgánica.

capacidad, competencia e idoneidad de los candidatos, el Gobierno remitirá al Congreso de los Diputados una propuesta de Presidencia y Adjunto acompañada de un informe justificativo que, tras la celebración de la preceptiva audiencia de los candidatos, deberá ser ratificada por la Comisión de Justicia en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes. 4. La Presidencia y el Adjunto de la Agencia Española de Protección de Datos serán nombrados por el Consejo de Ministros mediante real decreto. 5. El mandato de la Presidencia y del Adjunto de la Agencia Española de Protección de Datos tiene una duración de cinco años y puede ser renovado para otro período de igual duración. La Presidencia y el Adjunto solo cesarán antes de la expiración de su mandato, a petición propia o por separación acordada por el Consejo de Ministros, por: a) Incumplimiento grave de sus obligaciones,


76

b) incapacidad sobrevenida para el ejercicio de su función, c) incompatibilidad, o d) condena firme por delito doloso. En los supuestos previstos en las letras a), b) y c) será necesaria la ratificación de la separación por las mayorías parlamentarias previstas en el apartado 3 de este artículo. 6. Los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

El art.49 NLOPD regula el consejo consultivo, como lo hacía el art.38 LOPD, introduciendo algunas novedades.

Artículo 38. Consejo Consultivo. El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros: Un Diputado, propuesto por el Congreso de los Diputados. Un Senador, propuesto por el Senado.

Artículo 49. Consejo Consultivo de la Agencia Española de Protección de Datos.

1. La Presidencia de la Agencia Española de Protección de Datos estará asesorada por un Consejo Consultivo compuesto por los siguientes miembros: a) Un Diputado, propuesto por el Congreso de los Diputados. b) Un Senador, propuesto por el Senado. c) Un representante designado por el Consejo


77

Un representante de la Administración Central,designado por el Gobierno. (...) Un representante de cada Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma. Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias. (...) Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente. Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

General del Poder Judicial. d) Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia. e) Un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma. f) Un experto propuesto por la Federación Española de Municipios y Provincias. g) Un experto propuesto por el Consejo de Consumidores y Usuarios. h) Dos expertos propuestos por las Organizaciones Empresariales. i) Un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados. j) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el Capítulo IV del Título V, propuesto por el Ministro de Justicia. k) Un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas. l) Un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las


78

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

diferentes profesiones colegiadas, propuesto por el Ministro de Justicia. m) Un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados. n) Un experto en transparencia y acceso a la información pública propuesto por el Consejo de Transparencia y Buen Gobierno. ñ) Dos expertos propuestos por las organizaciones sindicales más representativas. 2. A los efectos del apartado anterior, la condición de experto requerirá acreditar conocimientos especializados en el Derecho y la práctica en materia de protección de datos mediante el ejercicio profesional o académico. 3. Los miembros del Consejo Consultivo serán nombrados por orden del Ministro de Justicia, publicada en el Boletín Oficial del Estado. 4. El Consejo Consultivo se reunirá cuando así lo disponga la Presidencia de la Agencia Española de Protección de Datos y, en todo caso, una vez al semestre. 5. Las decisiones tomadas por el Consejo Consultivo no tendrán en ningún caso carácter vinculante. 6. En todo lo no previsto por esta ley orgánica, el régimen, competencias y funcionamiento del Consejo Consultivo serán los establecidos en el Estatuto Orgánico de la


79

Agencia Española de Protección de Datos.

El art. 50 NLOPD, igual que hacía la derogada DA 2ª del RD-Ley 5/2018, establece la publicación de: - resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamac- las que archiven las actuaciones previas de investigación, - las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de esta ley orgánica, (Entidades Sector público) - las que impongan medidas cautelares y las demás que disponga su Estatuto ión,

Disposición adicional segunda RD-Ley 5/2018. Publicación de resoluciones de la Agencia Española de Protección de Datos. La Agencia Española de Protección de Datos publicará las resoluciones de su Director que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las que impongan medidas cautelares y las demás que disponga su Estatuto.

Artículo 50. Publicidad La Agencia Española de Protección de Datos publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto.

Sección 2.ª Potestades de investigación y planes de auditoría preventiva

El art.51 NLOPD regula el ámbito y personal competente para ejercer las potestades de investigación, así como los planes de auditoría preventivas. 2. La investigación se lleva a cabo por funcionarios de la AEPD o ajenos pero habilitados por su Pdte, que tendrán la consideración de agentes de la autoridad.

Artículo 51. Ámbito y personal competente.

1. La Agencia Española de Protección de Datos desarrollará su actividad de investigación a través de las actuaciones previstas en el Título VIII y de los planes de auditoría preventivas. 2. La actividad de investigación se llevará a cabo por los funcionarios de la Agencia Española de Protección de Datos o por funcionarios ajenos a ella habilitados


80

3. Se contempla la posibilidad de colaboración entre EEMM de la UE en actividades de investigación.

expresamente por su Presidencia. 3. En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia Española de Protección de Datos ejercerá sus facultades con arreglo a lo previsto en la presente ley orgánica y bajo la orientación y en presencia del personal de esta. 4. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.

El art.52 NLOPD establece el deber de colaboración de las AAPP, tributarias y de la SS, así como los particulares, con la AEPD

Artículo 52. Deber de colaboración.

1. Las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación. Cuando la información contenga datos personales la comunicación de dichos datos estará amparada por lo dispuesto en el artículo 6.1 c) del


81

2.- se prevé la cesión de datos a la AEPD por las AAPP, incluidas tributarias y de SS para identificar a los responsables. 3.- Se prevé que la AEPD, con fines de investigación, recabe datos delos operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información. Así, por ejemplo, número de origen de la llamada de teléfono móvil con nº ocultado

Reglamento (UE) 2016/679. 2. En el marco de las actuaciones previas de investigación, cuando no haya podido realizar la identificación por otros medios, la Agencia Española de Protección de Datos podrá recabar de las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, las informaciones y datos que resulten imprescindibles con la exclusiva finalidad de lograr la identificación de los responsables de las conductas que pudieran ser constitutivas de infracción del Reglamento (UE) 2016/679 y de la presente ley orgánica. En el supuesto de las Administraciones tributarias y de la Seguridad Social, la información se limitará a la que resulte necesaria para poder identificar inequívocamente contra quién debe dirigirse la actuación de la Agencia Española de Protección de Datos en los supuestos de creación de entramados societarios que dificultasen el conocimiento directo del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgánica. 3. Cuando no haya podido realizar la identificación por otros medios, la Agencia Española de Protección de Datos podrá recabar de los operadores que presten servicios de comunicaciones


82

etc. Estos datos serán cedidos previo requerimiento motivado de la AEPE en el marco de actuaciones de investigación derivadas de denuncia de un afectado El resto de cesiones de datos exigirán autorización judicial.

electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información los datos que obren en su poder y que resulten imprescindibles para la identificación del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgánica cuando se hubiere llevado a cabo mediante la utilización de un servicio de la sociedad de la información o la realización de una comunicación electrónica. A tales efectos, los datos que la Agencia Española de Protección de Datos podrá recabar al amparo de este apartado son los siguientes: a) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de telefonía fija o móvil: 1.º El número de teléfono de origen de la llamada en caso de que el mismo se hubiese ocultado. 2.º El nombre, número de documento identificativo y dirección del abonado o usuario registrado al que corresponda ese número de teléfono. 3.º La mera confirmación de que se ha realizado una llamada específica entre dos números en una determinada fecha y hora. b) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de la sociedad de la información: 1.º La identificación de la dirección de protocolo de Internet desde la que se hubiera llevado a cabo la


83

conducta y la fecha y hora de su realización. 2.º Si la conducta se hubiese llevado a cabo mediante correo electrónico, la identificación de la dirección de protocolo de Internet desde la que se creó la cuenta de correo y la fecha y hora en que la misma fue creada. 3.º El nombre, número de documento identificativo y dirección del abonado o del usuario registrado al que se le hubiera asignado la dirección de Protocolo de Internet a la que se refieren los dos párrafos anteriores. Estos datos deberán ser cedidos, previo requerimiento motivado de la Agencia Española de Protección de Datos, exclusivamente en el marco de actuaciones de investigación iniciadas como consecuencia de una denuncia presentada por un afectado respecto de una conducta de una persona jurídica o respecto a la utilización de sistemas que permitan la divulgación sin restricciones de datos personales. En el resto de los supuestos la cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales cuando resultara exigible. Quedan excluidos de lo previsto en este apartado los datos de tráfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservación


84

de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, cuya cesión solamente podrá tener lugar de acuerdo con lo dispuesto en ella, previa autorización judicial solicitada por alguno de los agentes facultados a los que se refiere el artículo 6 de dicha ley.

En el art.53 NLOPD se desarrolla el alcance de la actividad de investigación, en la línea que hacía el art.40 LOPD, que fue derogado por el RD-ley 5/2018 de 27 de julio, vigente a partir de 31/07/2018. Este RD-ley ha sido derogado, a su vez, por la DD única de la NLOPD. En este precepto se sigue la misma línea que en el art.2 del RD-Ley 5/18. . Se reglan los poderes investigadores - se fijan sus límites en las investigaciones en domicilios: que exigen consentimiento del titular o autorización judicial

Artículo 40 LOPD. Potestad de inspección.(Derogado). Artículo 2 RD-Ley 5/2018 Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa.

Artículo 53. Alcance de la actividad de investigación.

1. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 2. Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigación al domicilio constitucionalmente protegido del inspeccionado, será preciso contar con su consentimiento o haber obtenido la correspondiente autorización judicial.


85

En el caso de órganos judiciales las facultades de investigación de la AEPD se van a ejercer a través y por mediación del CGPJ.

Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.

3. Cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.

La NLOPD regula los planes de auditoría en su art.54. El acuerdo sobre su realización corresponde al Presidente para sectores concretos de actividad. 2. A raíz de los planes el Pdte. puede dictar directrices generales o específicas para un concreto responsable o encargado 3.- Las directrices serán de obligado cumplimiento.

Artículo 54. Planes de auditoría.

1. La Presidencia de la Agencia Española de Protección de Datos podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría. 2. A resultas de los planes de auditoría, la Presidencia de la Agencia Española de Protección de Datos podrá dictar las directrices generales o específicas para un concreto responsable o encargado de los tratamientos precisas para asegurar la plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgánica. En la elaboración de dichas directrices la Presidencia de la Agencia Española de Protección de Datos podrá solicitar la


86

colaboración de los organismos de supervisión de los códigos de conducta y de resolución extrajudicial de conflictos, si los hubiere. 3. Las directrices serán de obligado cumplimiento para el sector o responsable al que se refiera el plan de auditoría.

Sección 3.ª Otras potestades de la Agencia Española de Protección de Datos.

La NLOPD, en su art.55, regula las potestades de regulación de la Presidencia de la AEPD, que se concretan en circulares, expresión normativa de dicha potestad.

Artículo 55. Potestades de

regulación. Circulares de la Agencia Española de Protección de Datos.

1. La Presidencia de la Agencia Española de Protección de Datos podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, que se denominarán «Circulares de la Agencia Española de Protección de Datos». 2. Su elaboración se sujetará al procedimiento establecido en el Estatuto de la Agencia Española de Protección de Datos, que deberá prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados. 3. Las circulares serán obligatorias una vez publicadas en el Boletín Oficial del Estado.


87

La NLOPD regula en su art.56 la acción exterior de la AEPD A las CCAA y sus APD les compete ejercitar sus competencias como sujetos de la acción exterior conforme a lo dispuesto en la Ley 2/2014, de 25 de marzo de Acción y Servicio Exterior del Estado, pudiendo celebar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional. 2. La AEPD es el organismo competente para la protección de las personas físicas en lo que atañe al tratamiento de datos personales derivado de la aplicación de Convenios internacionales

Artículo 56. Acción

exterior. 1. Corresponde a la Agencia Española de Protección de Datos la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos. Asimismo a las comunidades autónomas, a través de las autoridades autonómicas de protección de datos, les compete ejercitar las funciones como sujetos de la acción exterior en el marco de sus competencias de conformidad con lo dispuesto en la Ley 2/2014, de 25 de marzo, de la Acción y del Servicio Exterior del Estado, así como celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional y acuerdos no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia en el marco de la Ley 25/2014, de 27 de noviembre, de Tratados y otros Acuerdos Internacionales. 2. La Agencia Española de Protección de Datos es el organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales derivado de la aplicación de cualquier Convenio Internacional en el que sea parte el Reino de España que atribuya a


88

3.- la AEPD debe informar a las CCAA de su acción exterior y participa a nivel internacional en reuniones y foros, organizaciones internacionales competentes en protección de datos.

una autoridad nacional de control esa competencia y la representante común de las autoridades de Protección de Datos en el Comité Europeo de Protección de Datos, conforme a lo dispuesto en el artículo 68.4 del Reglamento (UE) 2016/679. La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia. 3. Sin perjuicio de lo dispuesto en el apartado 1, la Agencia Española de Protección de Datos: a) Participará en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos. b) Participará, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el


89

marco de la acción exterior del Estado. c) Colaborará con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.


90

Capítulo II. Autoridades autonómicas de protección de datos.

Sección 1.ª Disposiciones generales


91

El art.57 NLOPD delimita el ámbito competencial de las autoridades autonómicas de protección de datos, con remisión a los arts.57 y 58 del RGPD, que regulan los poderes y funciones de las Autoridades de control.

Artículo 41. Órganos correspondientes de las Comunidades Autónomas. 1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido. 2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. 3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

Artículo 57. Autoridades autonómicas de protección de datos.

1. Las autoridades autonómicas de protección de datos personales podrán ejercer, las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a: a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta. b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local. c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía. 2. Las autoridades autonómicas de protección de datos podrán dictar, en relación con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos para la Agencia Española de Protección de Datos en el


92

artículo 55 de esta ley orgánica.

En el art.58 de la NLOPD se articula la cooperación institucional entre la AEPD y las APD autonómicas, sea a iniciativa de la AEPD, sea a iniciativa de las APD autonómicas.

Artículo 58. Cooperación institucional.

La Presidencia de la Agencia Española de Protección de Datos convocará, por iniciativa propia o cuando lo solicite otra autoridad, a las autoridades autonómicas de protección de datos para contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y de la presente ley orgánica. En todo caso, se celebrarán reuniones semestrales de cooperación. La Presidencia de la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán solicitar y deberán intercambiarse mutuamente la información necesaria para el cumplimiento de sus funciones y, en particular, la relativa a la actividad del Comité Europeo de Protección de Datos. Asimismo, podrán constituir grupos de trabajo para tratar asuntos específicos de interés común

En el art.59 NLOPD se regula el control de la AEPD sobre las APD autonómicas cuando éstas lleven a cabo alguna vulneración del Reglamento 679/2016. Se prevé un requerimiento, y transcurrido 1 mes sin atenderlo se abre la vía contencioso-administrativa.

Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679

Cuando la Presidencia de la Agencia Española de Protección de Datos considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonómicas de protección de datos


93

vulnera el Reglamento (UE) 2016/679 podrá requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesación. Si la autoridad autonómica no atendiere en plazo el requerimiento o las medidas adoptadas no supusiesen la cesación en el tratamiento ilícito, la Agencia Española de Protección de Datos podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa.

Sección 2.ª Coordinación en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679.

La Sección 2ª del Cap II (Autoridades autonómicas de PD), restula en sus arts. 60 a 62 los mecanismos sde coordinación en el marco de los procedimientos establecidos en el RGPD, en concreto, en los supuestos de emisión de dictamen por el CEPD (art.64 RGPD).; intervención en el marco de tratamientos transfronterizos, y coordinación en caso de resolución de conflictos por el CEPD. (art. 65 RGOD) El CEDP se regula en el art.68 RGPD y sustituye al antiguo GT 29, con más funciones y competencias.

Artículo 60. Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de Datos.

Se practicarán por conducto de la Agencia Española de Protección de Datos todas las comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando éstas, como autoridades competentes, deban someter su proyecto de decisión al citado comité o le soliciten el examen de un asunto en virtud de lo establecido en los apartados 1 y 2 del artículo 64 del Reglamento (UE) 2016/679. En estos casos, la Agencia Española de Protección de Datos será asistida por un representante de la


94

Autoridad autonómica en su intervención ante el Comité.

Artículo 61. Intervención en caso de tratamientos transfronterizos.

1. Las autoridades autonómicas de protección de datos ostentarán la condición de autoridad de control principal o interesada en el procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679 cuando se refiera a un tratamiento previsto en el artículo 57 de esta ley orgánica que se llevara a cabo por un responsable o encargado del tratamiento de los previstos en el artículo 56 del Reglamento (UE) 2016/679, salvo que desarrollase significativamente tratamientos de la misma naturaleza en el resto del territorio español. 2. Corresponderá en estos casos a las autoridades autonómicas intervenir en los procedimientos establecidos en el artículo 60 del Reglamento (UE) 2016/679, informando a la Agencia Española de Protección de Datos sobre su desarrollo en los supuestos en que deba aplicarse el mecanismo de coherencia.

Artículo 62. Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos.

1. Se practicarán por conducto de la Agencia Española de Protección de Datos todas las


95

comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando estas, como autoridades principales, deban solicitar del citado Comité la emisión de una decisión vinculante según lo previsto en el artículo 65 del Reglamento (UE) 2016/679. 2. Las autoridades autonómicas de protección de datos que tengan la condición de autoridad interesada no principal en un procedimiento de los previstos en el artículo 65 del Reglamento (UE) 2016/679 informarán a la Agencia Española de Protección de Datos cuando el asunto sea remitido al Comité Europeo de Protección de Datos, facilitándole la documentación e información necesarias para su tramitación. La Agencia Española de Protección de Datos será asistida por un representante de la autoridad autonómica interesada en su intervención ante el mencionado comité.

Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos.

El art.63 NLOPD (antiguo art.7 RDL 5/18, de 27 de julio) regula el régimen jurídico de los procedimientos tramitados por la AEPD en los que un afectado reclame por vulneración de sus derechos o en

Artículo 7. RDL 5/2018 Régimen jurídico. 1. Las disposiciones de este capítulo serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE)

Artículo 63. Régimen jurídico.

1. Las disposiciones de este Título serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido


96

los que se investigue si hay una infracción del RGPD y de la normativa española 2. El régimen jurídico de los procedimientos no varía 3. Se añade respecto del RDL 5/2018 la potestad reglamentaria del gobierno a través de RD para regular los procedimientos tramitados por la AEPD.

2016/679, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos. 2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.

atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquella investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y en la presente ley orgánica. 2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos. 3. El Gobierno regulará por real decreto los procedimientos que tramite la Agencia Española de Protección de Datos al amparo de este Título, asegurando en todo caso los derechos de defensa y audiencia de los interesados.

el art.64 NLOPD regula la forma de iniciación del procedimiento y su duración y se corresponde con el art. 8 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

Artículo 8 RDL 5/2018 Forma de iniciación del procedimiento y duración. 1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente.

Artículo 64. Forma de iniciación del procedimiento y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido


97

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación. 2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación. Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, ésta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo siguiente. Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 de este real decreto-ley.

en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación. 2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación. Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica. Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdode inicio de procedimiento sancionador, del que se dará conocimiento formal


98

Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este real decreto-ley. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones. 3. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2.

al interesado a los efectos previstos en el artículo 75 de esta ley orgánica. Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones. 3. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo


99

4. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulado por el apartado 5 del artículo siguiente y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 de este real decreto-ley, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2. 4. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación previstos en el artículo 67.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

el art.65 NLOPD regula la admisión a trámite de las reclamaciones y se corresponde con el art.9 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

Artículo 9 RD-Ley 5/2018 Admisión a trámite de las reclamaciones 1. Cuando se presentase ante la Agencia Española de Protección de datos una reclamación, ésta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo. 2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento,

Artículo 65. Admisión a trámite de las reclamaciones.

1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo. 2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones


100

sean abusivas o no aporten indicios racionales de la existencia de una infracción. 3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias: a) Que no se haya causado perjuicio al afectado. b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas. 4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes.

de protección de datos personales, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción. 3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia Española de Protección de Datos, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias: a) Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artículo 74 de esta ley orgánica. b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas. 4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.


101

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes. 5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este capítulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes. 5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este Título a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

el art.66 NLOPD regula la determinación del ámbito territorial y se corresponde con el art.10 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

Artículo 10. Determinación del alcance territorial. 1. Salvo en los supuestos a los que se refiere el artículo 8.3 de este real decreto-ley, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus

Artículo 66. Determinación del alcance territorial.

1. Salvo en los supuestos a los que se refiere el artículo 64.3 de esta ley orgánica, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el


102

modalidades, del procedimiento a seguir. 2. Si la Agencia considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación. El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.

comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir. 2. Si la Agencia Española de Protección de Datos considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia Española de Protección de Datos notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación. El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia Española de Protección de Datos se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.

el art.67 NLOPD regula las actuaciones previas de investigación y se corresponde con el art.11 del RD-Ley 5/2018, salvo las

Artículo 11. RD-Ley 5/2018 Actuaciones previas de investigación. 1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a

Artículo 67. Actuaciones previas de investigación.

1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la


103

modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tratamiento masivo de datos personales. 2. Las actuaciones previas de investigación se someterán a lo dispuesto en el capítulo I y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 8.3 de este real decreto-ley.

reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tráfico masivo de datos personales. 2. Las actuaciones previas de investigación se someterán a lo dispuesto en la Sección 2.ª del Capítulo I del Título VII de esta ley orgánica y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.3 de esta ley orgánica.

El art.68 NLOPD regula la el acuerdo de inicio del proceimientoy se corresponde con el art.12 del RD-Ley 5/2018, salvo las

Artículo 12. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora. 1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la

Artículo 68. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá a la Presidencia de la


104

modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción. 2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción. 2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

el art.69 NLOPD regula las medidas provisionales y de garantía de derechos y se corresponde con el art.13 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

Artículo 13. Medidas provisionales 1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Artículo 69. Medidas provisionales y de garantía de los derechos

1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la


105

2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización. 3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.

obligación inmediata de atender el derecho solicitado. 2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos personales, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de incumplirse por estos dichos mandatos, proceder a su inmovilización. 3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las


106

cuestiones objeto de la reclamación.

Título IX. Régimen sancionador.

El art.70 NLOPD regula la sujetos responsables y se corresponde con el art.3 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD.

Artículo 3 RDL 5/2018. Sujetos responsables. 1. Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos: a) Los responsables de los tratamientos. b) Los encargados de los tratamientos. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. d) Las entidades de certificación. e) Las entidades acreditadas de supervisión de los códigos de conducta. 2. No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia.

Artículo 70. Sujetos responsables.

1. Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica: a) Los responsables de los tratamientos. b) Los encargados de los tratamientos. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. d) Las entidades de certificación. e) Las entidades acreditadas de supervisión de los códigos de conducta. 2. No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título.

el art.70 NLOPD regula la sujetos responsables y se corresponde con el

Artículo 4. RDL 5/2018 Infracciones. Constituyen infracciones las vulneraciones del Reglamento (UE)

Artículo 71. Infracciones. Constituyen infracciones los actos y conductas a las que se refieren los


107

art.3 del RD-Ley 5/2018, salvo las modificaciones precisas para la adaptación al nuevo articulado de la NLOPD. Añade que constituyen infracciones las contrarias a la NLOPD.

2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83.

apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica.

El art.72 NLOPD regula las infracciones muy graves, que se contemplan en el art.83.5 y 6 del RGPD y antes en el art.4 (por remisión) del RDL 5/2018 y contempla también la prescripción de dichas infracciones a los 3 años, que antes se contemplaba en el art.5.1 RD L 5/2018

Artículo 4. Rd-L 5/2018 Infracciones. Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83. Artículo 5. Prescripción de las infracciones. 1. Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años. 2. Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años. 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.

Artículo 72. Infracciones consideradas muy graves.

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento. d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.


108

e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica. f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de esta ley orgánica. g) El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de esta ley orgánica. h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica. i) La vulneración del deber de confidencialidad establecido en el artículo 5 de esta ley orgánica. j) La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artículo 12.5.


109

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. l) La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679. m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679. n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible. ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación. o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.


110

p) La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados. 2. Tendrán la misma consideración y también prescribirán a los tres años las infracciones a las que se refiere el artículo 83.6 del Reglamento (UE) 2016/679.

El art.73 NLOPD regula las infracciones graves, que se contemplan en el art.83.4 del RGPD y antes en el art.4 (por remisión) del RDL 5/2018 y contempla también la prescripción de dichas infracciones a los 2 años, que antes se contemplaba en el art.5.2 RD L 5/2018


Artículo 73. Infracciones consideradas graves.

En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679. b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679. c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión,


111

limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación. d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679. e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679. f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679. g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1


112

del Reglamento (UE) 2016/679. h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el artículo 27 del Reglamento (UE) 2016/679. i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados. j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679. k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679. l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.


113

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento. n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679. ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del Reglamento (UE) 2016/679. o) No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de esta ley orgánica. p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica. q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento. r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33


114

del Reglamento (UE) 2016/679. s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del Reglamento (UE) 2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación. t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible. u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligación de llevar a cabo esa consulta. v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica. w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos


115

personales, no respaldarlo o interferir en el desempeño de sus funciones. x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado. y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento (UE) 2016/679. z) El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de esta ley orgánica. aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 de Reglamento (UE) 2016/679. ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679 reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente. ac) La falta de adopción por parte de los organismos acreditados de supervisión de un


116

código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.

El art.74 NLOPD regula las infracciones leves, que se contemplan como las que son meramente formales de los arts. mencionados en los apartados en el art.83.4 y 5 del RGPD y antes en el art.4 (por remisión) del RDL 5/2018 y contempla también la prescripción de dichas infracciones al año, que antes se contemplaba en el art.5.2 RD L 5/2018


Artículo 74. Infracciones consideradas leves.

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes: a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679. b) La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada. c) No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)


117

2016/679, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica. d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica. e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del Reglamento (UE) 2016/679. f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento. g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica. h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto


118

al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las mismas. i) No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del Reglamento (UE) 2016/679. j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del Reglamento (UE) 2016/679 o de esta ley orgánica, conforme a lo exigido por el artículo 28.3 del citado reglamento. k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al Reglamento (UE) 2016/679 y a la presente ley orgánica o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.


119

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679. m) La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679. n) El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679. ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del Reglamento (UE) 2016/679, salvo que resulte de aplicación lo previsto en el artículo 73 s) de esta ley orgánica. o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del Reglamento (UE) 2016/679. p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la


120

autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica. q) El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del Reglamento (UE) 2016/679. r) El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.

El art. 75 NLOD, regula la interrupción de la prescripción en el mismo sentido que lo hacía el derogado art.5.3 RD-ley 5/2018

Art.5.3 RD-Ley 5/2018 3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio

Artículo 75. Interrupción de la prescripción de la infracción.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.


121

que sea sometido a las autoridades de control interesadas.

Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.

El art.76 NLOPD regula las sanciones por remisión a los aptados.4,5 y 6 del Art.8 RGPD y los criterios de graduación, por remisión al art.83.2 RGPD. 2. En el apartado 2 se contemplan otros criterios de graduación.

Artículo 76. Sanciones y medidas correctivas.

1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción. b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción,


122

que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado. 3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679. 4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica. Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación.

El art.77 NLOPD exonera de sanciones reales y efectivas a determinadas categorías de responsables (Sector Público), a quienes en caso de cometer las infracciones previstas en los arts.72-74, se les sanciona sólo con apercibimiento.

Artículo 77. Régimen aplicable a determinadas categorías de responsables o


123

En este punto, cabe preguntarse si dicha exoneración cumple con lo dispuesto en el art.84 del RGPD, que exige que "Dichas sanciones serán efectivas, proporcionadas y disuasorias." Dicha cuestión sólo cabe responderla afirmativamente si se entiende que la admonición de responsabilidades disciplinarias, supera la mera propuesta de la AEPD a la Administración correspondiente y supone que la Administración esté obligada al inicio de actuaciones disciplinarias.

encargados del tratamiento.

1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales. 2. Cuando los responsables o encargados enumerados en el apartado 1


124

cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido. La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso. 3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación. Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que


125

se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda. 4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo. 6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.

El art.79 NLOPD regula la prescripción de las sanciones, del mismo modo que

Artículo 6. RDL 5/2018 Prescripción de las sanciones. 1. Las sanciones impuestas en aplicación del Reglamento (UE)

Artículo 78. Prescripción de las sanciones

1. Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 y de esta ley orgánica


126

hacía el RDL 5/2018 en su art. 6

2016/679 prescriben en los siguientes plazos: a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años. 2. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. 3. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

prescriben en los siguientes plazos: a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años. c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años. 2. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla 3. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor..


127

Título X. Garantía de los derechos digitales.

ElTítulo X NLOPD no regula la PDP, sino que conforme explica la EM acomete la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. Por tanto, se trataría en un principio de legislación de desarrollo del derecho fundamental del art.18.4 CE, conforme al art.81.1 CE. Sin embargo, no todos los derechos reconocidos son desarrollo del art.18.4 CE, porque conforme a la DF 1ª tienen la naturaleza de ley ordinaria y, por tanto, constituyen regulación de su ejercicio: los artículos 79 (derechos de la Era digital), 80 (neutralidad), 81 (acceso universal a internet), 82 (seguridad digital), 88 (desconexión digital en el ámbito laboral) , 95 (portabilidad) , 96 (testamento digital) y 97 (políticas de impulso) del Título X . De esta forma quedan como desarrollo del Derecho Fundamental del art.18.4 CE en el ámbito digital: Artículo 83. Derecho a la educación digital. Artículo 84. Protección de los menores en Internet. Artículo 85. Derecho de rectificación en Internet. Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales. Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral. Artículo 91. Derechos digitales en la negociación colectiva. Artículo 92. Protección de datos de los menores en Internet. Artículo 93. Derecho al olvido en búsquedas de Internet. Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes. Se reconocen como derechosla neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales El art.79 NLOPD señala internet como un ámbito de aplicación de los DDFF y los DDHH, y atribuye a los prestadores de servicios de la sociedad de la información y los proveedores de servicios de internet la obligación de contribuir a garantizar su aplicación. Este precepto no tiene naturaleza de ley orgánica, pues no se refiere al desarrollo de los DDFF (art.81.1 CE), sino sólo a la regulación de su

Artículo 79. Los derechos

en la Era digital. Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son


128

ejercicio, en tanto que se refiere al modo, tiempo o lugar de ejercicio del derecho fundamental (vid. STC 292/00 F.11; y STC 53/09, F.12), señalando internet como un espacio de vigencia de los DDFF, o dicho de otro modo, internet no es una franca de DDFF.

plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación

El art.80 NLOPD reconoce el derecho a la neutralidad en internet, que consiste en proporcionar a los usuarios una oferta transparente y no discriminatoria por motivos técnicos o económicos. Se trata de un precepto con naturaleza de ley ordinaria, y que por tanto no desarrolla un DF, sino que solo regula su ejercicio. Este derecho parece que pueda ejercitarse frente a los proveedores de servicios, a quienes se exige transparencia en a oferta y no discriminación por motivos técnicos o económicos Por tanto, parece que dichos motivos no habrían de impedir la contratación de servicios de internet. Secitan como motivos de discriminación los técnicos y los económicos, que bien pueden encajar en la cláusula de "cualquier otra condición o circunstancia personal o social" (vid. STC 62/08, de 26 de mayo, F. 5 ), puesto que se trata de criterios de naturaleza particularmente odiosa utilizados como medio de segregación. En efecto, al igual que la imprenta supuso la relevancia social del analfabetismo y la segregación de quienes lo sufrían, la Era digital conlleva que la falta de acceso a la red o la falta de medios, económicos o técnicos para ello, supongo sumir a quien sufre dicha exclusión en una suerte de "analfabetismo digital".

Artículo 80. Derecho a la neutralidad de Internet.

Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores de servicios de Internet proporcionarán una oferta transparente de servicios sin discriminación por motivos técnicos o económicos

El art.81 reconoce el derecho de todos a acceder a internet, con independencia de su condición personal, social, económica o geográfica. Dicho derecho debe garantizar un acceso universal, asequible, de calidad y no discriminatorio para toda la población. En los apartados 3 a 6 el art.81 se ocupa del acceso universal respecto de colectivos vulnerables: - género - personas mayores - entornos rurales. - personas con necesidades especiales En este punto, la proliferación de la tramitación digital de los procedimientos administrativos, impulsada por las leyes más recientes (art.37 Ley 39/15 y ley 11/2007, de 22 de

Artículo 81. Derecho de acceso universal a Internet.

1. Todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica. 2. Se garantizará un acceso universal, asequible, de calidad y no discriminatorio para toda la población. 3. El acceso a Internet de hombres y mujeres procurará la superación de la brecha de género tanto en el ámbito personal como laboral. 4. El acceso a Internet procurará la superación de la brecha generacional mediante


129

junio1) debería tener en cuenta el nivel de acceso a internet y la pertenencia de los interesados a alguno o varios de las personas, de lo contrario, la propia actuación de las administración puede suponer la vulneración del derecho al acceso universal.

acciones dirigidas a la formación y el acceso a las personas mayores. 5. La garantía efectiva del derecho de acceso a Internet atenderá la realidad específica de los entornos rurales. 6. El acceso a Internet deberá garantizar condiciones de igualdad para las personas que cuenten con necesidades especiales.

El art.82 reconoce el Dº a la seguridad digital de las comunicaciones que se transmitan y reciban a través de Internet. En mi opinión es un derecho que ha de integrarse tanto en el derecho al secreto de las comunicaciones del art.18.3 CE, por un lado; como, por otro, lado, en el derecho a la PDP del art.18.4 CE. El art.82 tiene naturaleza de ley ordinaria, por lo que sería una mera regulación del ejercicio de dichos derechos.

Artículo 82. Derecho a la seguridad digital.

Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.

El art.83 tiene carácter de Ley Orgánica y resulta, por tanto, desarrollo del derecho a la educación del art.27 CE. Se impone la educación en la sociedad digital, para el uso de los medios digitales respetuoso con la dignidad humana y los valores constitucionales, así como los DDFF, con especial mención de intimidad y PDP.

Artículo 83. Derecho a la educación digital.

1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el

1 Norma derogada, con efectos de 2 de octubre de 2016, por la disposición derogatoria única.2.b) de la Ley 39/2015, de 1 de octubre. Ref. BOE-A-2015-10565. No obstante, hasta que, de acuerdo con lo dispuesto en la disposición final séptima, en la redacción dada por el art. 6 del Real Decreto-ley 11/2018, de 31 de agosto. Ref. BOE-A-2018-12131, produzcan efectos las previsiones relativas al registro electrónico de apoderamientos, registro electrónico, punto de acceso general electrónico de la Administración y archivo único electrónico, que será a partir del día 2 de octubre de 2020, se mantendrán en vigor los artículos relativos a las materias mencionadas.


130

Se hace también mención de que la educación sea inclusiva para alumnos/as con necesidades especiales. Se impone a las AA educativas el diseño de las asignaturas de libre configuración, teniendo en cuenta la competencia digital, y las situaciones de riesgo derivadas del uso de las TiC, en especial la violencia en la red. El aptdo.2 del art.83 impone la formaci´n del profesorado en las competencias digitales 3.- También los planes de estudios de los títulos universitarios, en especial los que habiliten para ser formador del alumnado, han de garantizar la formación en el uso y seguridad de los medios digitales 4.- Los temarios de oposiciones de acceso a cuerpos superiores de las AAPP y de los que impliquen el acceso a datos personales (casi todos), han de incorporar el tema de los derechos digitales y la protección de datos.

respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales. Las Administraciones educativas deberán incluir en el diseño del bloque de asignaturas de libre configuración la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red. 2. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior. 3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet. 4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones


131

que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.

El art.84 NLOPD impone a los responsables y RRLL de los menores que procuren un uso equilibrado y responsable de los dispositivos digitales y de los SSI, a fin de preservar el libre desarrollo de la personalidad y preservar su dignidad y sus DDFF. La utilización o difusión de imágenes o información personal de menores en redes sociales y SSI que supongna intromisión ilegítima en sus DDFF supondrá la intervención del MF en protección de menores, conforme al art.4 de la LO 1/1996 de protección jurídica del menor.

Artículo 84. Protección de los menores en Internet.

1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales. 2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

El art.85 NLOPD es una norma con carácter orgánico que desarrolla el derecho a la libertad de expresión en internet, así como el derecho de rectificación (vid. LO 2/1984, de 26 de marzo). Se garantiza el dº a la rectificación frente a los responsables de redes sociales y servicios equivalentes, en los casos en

Artículo 85. Derecho de rectificación en Internet.

1. Todos tienen derecho a la libertad de expresión en Internet. 2. Los responsables de redes sociales y servicios


132

que otros usuarios difundan contenidos que atenten contra el honor, intimidad y el dº a comunicar o recibir información veraz, con remisión a la LO 2/1984. Se impone a los medios de comunicación digitales deban atender a una solicitud de rectificación habrán de publicarla en sus archivos digitales mediante un aviso aclaratorio que manifieste que la noticia original no refleja la situación actual del individuo, que ha de aparecer en lugar visible. Parece que el artículo se refiere a la inexactitud "dinámica" de lo publicado, es decir , cuando la situación actual difere de lo publicado en la noticia original. (ej, imputado luego absuelto). Sin embargo el derecho de rectificación, tal y como se contempla en la LO 2/84 abarca no sólo inexactitudes dinámicas, sino de todo tipo, siempre que puedan causar perjuicio al interesado. Por tanto ese "aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo" , quizás hubiera ido mejor encuadrada en el Dº a la actualización de informaciones en medios de comunicación digitales del art.86 NLOPD.

equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación. Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.

El art.86 NLOPD, con carácter de Ley orgánica, garantiza a toda persona (no distingue físicas de jurídicas) el dereco a solicitar de los medios de comunicación digitales avisos de actualización en supuestos de noticias desfasadas. Ej: investigado luego absuelto, sancionado administrativamente luego absuelto, etc. Se trata, en mi opinión, de un derecho de rectificación instrumental que desarrolla el derecho al honor y a la información veraz.

Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales.

Toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la


133

Se garantiza dicho derecho, en particular, cuando la información origina se refiera a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado por resoluciones posteriores. En tales casos, el aviso ha de referirse a la resolución posterior.

información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio. En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior

El art.87 NLOPD regula, con carácter de LO el derecho a la intimidad y uso de dispositivos laborales en el ámbito laboral. Parece ser que el legislador pretende, de esta forma, dar cumplimiento al art.88 RGPD. Sin embargo, dicha regulación se hace sólo en aras de garantizar el ejercicio de potestades empresariales de control de la prestación laboral, como confirma el nuevo art.20bis ET introducido por la DA 13ª de la NLOPD. El art.87.2 NLOPD posibilita que el acceso del empleador a los contenidos derivados del uso de medios digitales por los trabajadores , con una doble limitación: - sólo a los facilitados a los trabajadores por la empresa ; - sólo con la finalidad de controlar el cumplimiento de las obligaciones laborales o estatutarias y garantizar la integridad de dichos dispositivos. No aclara si dichos "contenidos" comprenden también comunicaciones, pues en tal caso, tanto el art.18.3 CE exige resolución judicial, por lo que hay que entender que entre los contenidos derivados del uso de medios digitales no figuran las comunicaciones. El art.87.3 Impone un deber a los empleadores, consistente en establecer criterios de utilización de los dispositivos

Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.

1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador. 2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. 3. Los empleadores deberán establecer


134

digitales, respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y derechos constitucionales y legales En la elaboración de dichos criterios han de participar los RRTT. No parece que se exija su negociación, y no se aclara qué ocurre en los habituales supuestos de inexistencia de RLT. El acceso al contendio de los dispositivos digitales en los que se haya admitido su uso con fines privados exije que se especifique de modo preciso los usos autorizados y se establezcan garantías para la intimidad, como por ejemplo la determinación de los períodos de uso El art.87.3 impone la información a los trabajadores de los criterios de utilización El artículo presenta diversos problemas. El primero es la determinación del difuso concepto de " los contenidos derivados del uso de medios digitales" . Su delimitación con lo que constituye comunicación, y por tanto sujeta a secreto, resultará esencial En segundo lugar, nada se dice de qué ocurrirá y qué valor probatorio podrá tener el acceso del empleador a los contenidos derivados del uso de medios digitales cuando: - cuando el empleador infrinja el deber de elaborar criterios de utilización - cuando el empleador infrinja el deber de informar a los trabajadores de dichos criterios En mi opinión, la infracción de cualquiera de los dos deberes determinaría la vulneración del derecho a la intimidad del trabajador y/o de su derecho a la PDP, lo que habría de determinar la ilicitud de la prueba así obtenida.

criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores. El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados. Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado..


135

Otro problema, desde el prisma colectivo, viene dado por la participación de los RRTT, parece ser que como mínimo exigiría la consulta y la consiguiente emisión de un informe, aunque no parece que se exija la negociación o el acuerdo para la adopción de los criterios de utilización. Sin embargo, tampoco resuelve el precepto qué ocurre en los supuestos de adopción de criterios sin participación de los RRTT. El art.88 NLOPD regula el novedoso derecho a la desconexión digital en el ámbito laboral, si bien no le confiere la naturaleza de ley orgánica, sino solo de ley regulación del ejercicio del derecho a la intimidad, y la conciliación de la vida personal, familiar y laboral, así como de cumplimiento de determinados principios rectores de la política social, como el respeto al tiempo de descanso, permisos y vacaciones. (art.40.2 CE). El apartado 2 del art, 88 sujeta las modalidades del ejercicio del derecho a la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores, atendiendo a la naturaleza y objeto de la relación laboral y potenciando el dº a la conciliación. Aunque exista esta remisión a la negociación colectiva o al acuerdo entre empresa y RRTT (que también es un producto de la negociación colectiva), lo cierto es que la interpretación del apartado 1 y el 2 sugieren que no se trata de un derecho requerido de desarrollo por negociación, salvo para lo que atañe a las modalidades de ejercicio, pues lo que el art.87.1 garantiza el derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. Por tanto, si no hay regulación convencional, intimidad personal y familiar, descanso, vacaciones y permiso, son derechos de naturaleza legal, el primero un DF, que gozan de eficacia e impiden la obligación de atender a comunicaciones del empresario en dichos supuestos, sin que ello pueda causar perjuicio alguno al trabajador/a.

Artículo 88. Derecho a la desconexión digital en el ámbito laboral.

1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. 2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.


136

El art.87.3, establece el deber del empleador de elaborar una política interna dirigida a los trabajaodres, incluidos directivos, que definan las modalidades de ejercicio del dº a la dexconexión, y las acciones de fomración y sensibilización sobre un uso razonalbe de las tic. que evite el riesgo de fatiga informática Se impone el deber de preservar el dº a la desconexión en supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado. En Francia, la Loi 2016-1088, de 8 de agosto de 2016, conocida como LoiTravail oLoi El Khomri, ya introdujo un nuevo apartado 7 al artículo L-2242-82; que da carta de naturaleza al "derecho a la desconexión", imponiéndose como materia de obligada negociación colectiva, y con un enfoque no sólo -o no tanto- desde la intimidad y el secreto de comunicaciones, como de la conciliación de la vida familiar y laboral y la igualdad entre mujeres y hombres.

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas

2 "7° Les modalités du plein exercice par le salarié de son droit à la déconnexion et la mise en place par l'entreprise de dispositifs de régulation de l'utilisation des outils numériques, en vue d'assurer le respect des temps de repos et de congé ainsi que de la vie personnelle et familiale. A défaut d'accord, l'employeur élabore une charte, après avis du comité d'entreprise ou, à défaut, des délégués du personnel. Cette charte définit ces modalités de l'exercice du droit à la déconnexion et prévoit en outre la mise en œuvre, à destination des salariés et du personnel d'encadrement et de direction, d'actions de formation et de sensibilisation à un usage raisonnable des outils numériques."


137

El art.89, NLOPD, pese a ser un claro desarrollo, y no sólo una regulación del ejercicio del DFPD, carece inexplicablemente de la condición de Ley Orgánica. En el art.89.1 se faculta a los empleadores para tratar imágenes obtenidas por cámaras o videocámaras para el ejercicio de funciones de control de los trabajadores o los empleados públicos. Condiciona el ejercicio de esta facultar a que la misma se realiza en el marco legal del art.20.3 ET y legislación de función publica y con los límites inherentes al mismo En este precepto esos "límites", hay que entenderlos referidos al principio de proporcionalidad y al contenido esencial, pues la geolocalización afecta a la privacidad del trabajador/a. Se impone la obligación al empleador de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores, empleados públicos y, en su caso, a los representantes, acerca de esta medida. En los casos de captación de la comisión flagrante de un acto ilícito por los trabajadores o EEPP se entiende cumplido el deber de informar cuando exista el dispositivo a que se refiere el art.22.4 de la LO. Se sigue así la línea marcada por la STC 39/2016, aunque queda pendiente de resolver si dicha línea es respetuosa con el art.8 CEDH, conforme a la interpretación dada en el Caso López Ribalta c. España (STEDH 09 enero 2018), pendiente de Sentencia de la Gran Sala del TEDH. Por otro lado, existen supuestos de utilización de la videovigilancia que aunque sirvan para controlar la prestación del servicio pueden ser desproporcionados: ej. tratamiento de imágenes con programa de reconocimiento facial para evaluar la "simpatía" en la atención al cliente.

Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.

1. Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida. En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica. 2. En ningún caso se admitirá la instalación de sistemas de grabación de


138

Parece así seguirse la doctrina del TS sentada en las SSTS 31 enero 2017 Rec 3331/15; STS 1 febrero 2017, Rec 3252/15 y STS 2 feberro 2017, rec 554/16. Se prohíbe de forma absoluta la instalación de sistemas de grabación de sonidos o videovigilancia en lugares de descanso o esparcimiento de os trabajadores o EEPP, como vestuarios, aseos, comedores y análogos. 3.- En cuanto a la grabación de sonidos en el lugar de trabajo se admite sólo cuando haya riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad, y siempre con respeto al principio de proporcionalidad Sorprende constatar como éste capital principio no aparece hasta el apartado 3º del art.89 La supresión de sonidos se realizará conforme al art.22.3 NLOPD, esto es, en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. Se trata de un precepto que, más que garantizar el DPDP, lo que hace es franquear el ejercicio del poder empresarial de vigilancia y control, sin que se cumpla así con la imposición del art.88 NLOPD que obliga a que la norma nacional garantice la protección de los derechos y libertades en relación con el tratamiento de DP de los trabajadores. Así, por ejemplo, la grabación de imágenes se permite incluso con una información escueta como la prevista en el art.22.4 LOPD (colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679). Nada se dice de la proporcionalidad en el uso de la videovigilancia, lo que contrasta con su mención en el caso de grabación de sonido. Quizás se está reflejando la doctrina del TC en el caso Casino La Toja (STC 98/00), sin embargo la proporcionalidad en la limitación del derecho a la protección de datos no puede excluirse, como tampoco limitarse al supuesto de captación de sonidos, pues la proporcionalidad es un límite respecto de cualquier limitación o restricción de los DDFF.

sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos. 3. La utilización de sistemas similares a los referidos en los apartados anteriores para la grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores. La supresión de los sonidos conservados por estos sistemas de grabación se realizará atendiendo a lo dispuesto en el apartado 3 del artículo 22 de esta ley.


139

El art.90 NLOPD tiene naturaleza de LO y regula el derecho a la intimidad ante la utilización de sistemas de geolocalización. Se faculta a los empleadores para que a través de sistemas de geolocalización controlen a los trabajadores y EEPP siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo En este precepto esos "límites", hay que entenderlos referidos al principio de proporcionalidad y al contenido esencial, pues la geolocalización afecta a la privacidad del trabajador/a. Se impone, igual que en la videovigilancia, el deber de información expresa, clara, pero a diferencia de la vigilancia no ha de ser una información concisa, sino inequívoca, sin que haya ninguna explicación lógica a la exclusión del carácter inequívoco de la información del supuesto de la videovigilancia y su exigencia en la geolocalización, pues el requisito de claridad de la información (que excluye la información equívoca) se predica de toda información (art.12 RGPD). El contenido de la información previsto en el art.89,2 debiera abarcar la totalidad de la contenida en el art.13, sin que la NLOPD pueda restringirla.

Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. 2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

El art.91 NLOPD habla de los derechos digitales en la negociación colectiva. En primer lugar, el convenio no puede restringir dichos derechos, sino sólo suplementarlos y mejorar las garantías legales, como permite el art.88 RGPD. Por tanto, no podrá el convenio suprimir o cercenar los derechos ARCO, ni exceptuar los mismos en determinados supuestos. Las referencias a la negociación colectiva se omiten en el acceso a los dispositivos digitales (art.87 NLOPD)

Artículo 91. Derechos digitales en la negociación colectiva.

Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los


140

trabajadores y la salvaguarda de derechos digitales en el ámbito laboral.

El art.92 NLOPD, con carácter de LO, regula la protección de datos de los menores en internet, lo que hay que poner en relación con el art.7 LO

Artículo 92. Protección de datos de los menores en Internet.

Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información. Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica

El art.93 NLOPD, con carácter de LO, regula el derecho al olvido en búsquedas de internet. Dicho derecho garantiza que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

Artículo 93. Derecho al olvido en búsquedas de Internet.

1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no


141

Se regula en el art.17 del RGPD y hay que tener en cuenta la STJUE 123 mayo 2014, Caso Google Spain c. AEPD. Este derecho suponne impedir que la búsqueda por nombre en el motor de búsqueda arroje determinados resultados de las listas que proporciona el buscador, pero no impide el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos que el nombre

actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet. Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo. 2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

El art.94 NLOPD regula el derecho al olvido en redes sociales y servicios equivalentes. Se establece el derecho de toda persona, por la simple solicitud, a la supresión de los datos personales que hubiere facilitado para su publicación en redes sociales

Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes.

1. Toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad


142

2.- También se garantiza el derecho a la supresión cuando los datos personales hayan sido facilitados por terceros para su publicación en redes sociales, cuando los datos sean inadecuados, inexactos, no pertinentes no actualizados, excesivos o hubieran devenido como tales poreltrasncurso del tiempo También han de suprimirse cuando las circunstancias personales del afectado supongan la prevalencia de sus derechos sobre el mantenimiento de los mismos. Este derecho no se aplica a los datos que hubiesen sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas

de la información equivalentes. 2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. Del mismo modo deberá procederse a la supresión de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio. Se exceptúan de lo dispuesto en este apartado los datos que hubiesen sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas. 3. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de


143

que concurran las circunstancias mencionadas en el apartado 2.

El art.95 NLOPD establece el derecho de portabilidad en servicios de redes sociales lo que supone que los prestadores de servicios transmitan directamente los datos a otro prestador designado por el usuario, siempre que ello sea técnicamente posible. Se permite a los prestadores conservación de copia que no pueden difundir, con el solo fin de cumplir obligaciones legales.

Artículo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.

Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible. Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal.

El art.96 NLOPD permite a las personas disponer mortis causa de los derechos ARCO en relación con los contenidos en servicios de la sociedad de la información. Si no hay testamento digital, Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán ejercitar los derechos que le correspondieran al causante respecto de tales contenidos. lSi hay testamento vital y así lo dispone, o así lo contempla la ley, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto.

Artículo 96. Derecho al testamento digital.

1. El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas se regirá por las siguientes reglas: a) Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones


144

que estimen oportunas sobre su utilización, destino o supresión. Como excepción, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto. b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones. c) En caso de personas fallecidas menores de edad, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. d) En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo si tales facultades se entendieran


145

comprendidas en las medidas de apoyo prestadas por el designado. 2. Las personas legitimadas en el apartado anterior podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones. El responsable del servicio al que se le comunique, con arreglo al párrafo anterior, la solicitud de eliminación del perfil, deberá proceder sin dilación a la misma. 3. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones y, en su caso, el registro de los mismos, que podrá coincidir con el previsto en el artículo 3 de esta ley orgánica. 4. Lo establecido en este artículo en relación con las personas fallecidas en las comunidades autónomas con derecho civil, foral o especial, propio se regirá por lo establecido por estas dentro de su ámbito de aplicación

El art.97 NLOPD regula las políticas de impulso de los derechos digitales, que deben tener como objetivos: a) facilitar el acceso a internet a colectivos vulnerables

Artículo 97. Políticas de impulso de los derechos digitales

1. El Gobierno, en colaboración con las


146

b) impulsar espacios de conexión de acceso públiico c) fomentar educación y formación en competencias y habilidades digitales básicas a personas y colectivos en riesgo de exclusión digital. s. Se prevé un Plan de Actuación para promover formación, difusión y concienciación del uso equilibrado por los menores de internet y de los dispositivos digitales. Se prevé la presentación de un informe anual por el Gobierno ante la comisión parlamentaria correspondiente

comunidades autónomas, elaborará un Plan de Acceso a Internet con los siguientes objetivos: a) superar las brechas digitales y garantizar el acceso a Internet de colectivos vulnerables o con necesidades especiales y de entornos familiares y sociales económicamente desfavorecidos mediante, entre otras medidas, un bono social de acceso a Internet; b) impulsar la existencia de espacios de conexión de acceso público; y c) fomentar medidas educativas que promuevan la formación en competencias y habilidades digitales básicas a personas y colectivos en riesgo de exclusión digital y la capacidad de todas las personas para realizar un uso autónomo y responsable de Internet y de las tecnologías digitales. 2. Asimismo se aprobará un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales. 3. El Gobierno presentará un informe anual ante la


147

sobre la evolución de los derechos garantías y mandatos previstos en el Título X de la NLOPD

comisión parlamentaria correspondiente del Congreso de los Diputados en el que se dará cuenta de la evolución de los derechos, garantías y mandatos contemplados en el presente Título y de las medidas necesarias para promover su impulso y efectividad.

DISPOSICIONES ADICIONALES

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.

1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

Disposición adicional segunda. Protección de datos y


148

transparencia y acceso a la información pública.

La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buengobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Disposición adicional tercera. Cómputo de plazos.

Los plazos establecidos en el Reglamento (UE) 2016/679 o en esta ley orgánica, con independencia de que se refieran a relaciones entre particulares o con entidades del sector público, se regirán por las siguientes reglas: a) Cuando los plazos se señalen por días, se entiende que estos son hábiles, excluyéndose del cómputo los sábados, los domingos y los declarados festivos. b) Si el plazo se fija en semanas, concluirá el mismo día de la semana en que se produjo el hecho que determina su iniciación en la semana de vencimiento. c) Si el plazo se fija en meses o años, concluirá el mismo día en que se produjo el hecho que determina su iniciación en el mes o el año de vencimiento. Si en el mes de vencimiento no hubiera día equivalente a aquel en que comienza el cómputo, se entenderá que el plazo expira el último día del mes. d) Cuando el último día del plazo sea inhábil, se entenderá prorrogado al primer día hábil siguiente.

Disposición adicional cuarta. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.

Lo dispuesto en el Título VIII y en sus normas de desarrollo será de aplicación a los procedimientos que la


149

Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes

Disposición adicional quinta. Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos.

1. Cuando una autoridad de protección de datos considerase que una decisión de la Comisión Europea en materia de transferencia internacional de datos, de cuya validez dependiese la resolución de un procedimiento concreto, infringiese lo dispuesto en el Reglamento (UE) 2016/679, menoscabando el derecho fundamental a la protección de datos, acordará inmediatamente la suspensión del procedimiento, a fin de solicitar del órgano judicial autorización para declararlo así en el seno del procedimiento del que esté conociendo. Dicha suspensión deberá ser confirmada, modificada o levantada en el acuerdo de admisión o inadmisión a trámite de la solicitud de la autoridad de protección de datos dirigida al tribunal competente. Las decisiones de la Comisión Europea a las que puede resultar de aplicación este cauce son: a) aquellas que declaren el nivel adecuado de protección de un tercer país u organización internacional, en virtud del artículo 45 del Reglamento (UE) 2016/679; b) aquellas por las que se aprueben cláusulas tipo de protección de datos para la realización de transferencias internacionales de datos, o c) aquellas que declaren la validez de los códigos de conducta a tal efecto. 2. La autorización a la que se refiere esta disposición solamente podrá ser concedida si, previo planteamiento de cuestión prejudicial de validez en los términos del artículo 267 del Tratado de Funcionamiento de la Unión Europea, la decisión de la Comisión Europea cuestionada fuera declarada inválida por el Tribunal de Justicia de la Unión Europea.


150

Disposición adicional sexta. Incorporación de deudas a sistemas de información crediticia.

No se incorporarán a los sistemas de información crediticia a los que se refiere el artículo 20.1 de esta ley orgánica deudas en que la cuantía del principal sea inferior a cincuenta euros. El Gobierno, mediante real decreto, podrá actualizar esta cuantía.

Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse. Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de


151

extranjero, pasaporte o documento equivalente. 2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos, con la participación de los órganos con competencia en la materia

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

Disposición adicional novena. Tratamiento de datos personales en relación con la notificación de incidentes de seguridad.

Cuando, de conformidad con lo dispuesto en la legislación nacional que resulte de aplicación, deban notificarse incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad, podrán tratar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante incidentes y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado.

Disposición adicional décima. Comunicaciones de datos


152

por los sujetos enumerados en el artículo 77.1.

Los responsables enumerados en el artículo 77.1 de esta ley orgánica podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en lossolicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artículo 6.1 f) del Reglamento (UE) 2016/679.

Disposición adicional undécima. Privacidad en las comunicaciones electrónicas.

Lo dispuesto en la presente ley orgánica se entenderá sin perjuicio de la aplicación de las normas de Derecho interno y de la Unión Europea reguladoras de la privacidad en el sector de las comunicaciones electrónicas, sin imponer obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación en ámbitos en los que estén sujetas a obligaciones específicas establecidas en dichas normas.

La DA 12 establece normas específicas de los tratamientos de los registros de personal del sector público 1.- En tales casos -sin distinguir personal laboral de funcionario- dichos tratamientos se hacen con la base jurídica del art.6.1 e), es decir, cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Disposición adicional duodécima. Disposiciones específicas aplicables a

los tratamientos de los registros de personal del sector público.

1. Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento (UE) 2016/679. 2. Los registros de personal del sector público podrán tratar datos personales


153

Dicha base jurídica es aceptable respecto del personal estatutario o funcionario, pero no respecto del personal laboral, a los que la base jurídica aplicable es la del art.6.1b), es decir, que el tratamiento es necesario para la ejecución de un contrato. 2.- Se habilita a los registros de personal del sector público para el tratamiento de datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas. 3. se prevé, de forma cuestionable, el tratamiento de datos que han sido limitados, para el desarrollo de los procedimientos de personal. No puede sostenerse que cualquier procedimiento de personal (la ley no precisa) pueda considerarse como una "razón de interés público importante de las previstas en el art.18.2 RGPD),

relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines. 3. De acuerdo con lo previsto en el artículo 18.2 del Reglamento (UE) 2016/679, y por considerarlo una razón de interés público importante, los datos cuyo tratamiento se haya limitado en virtud del artículo 18.1 del citado reglamento, podrán ser objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal

Disposición adicional decimotercera. Transferencias internacionales de datos tributarios.

Las transferencias de datos tributarios entre el Reino de España y otros Estados o entidades internacionales o supranacionales, se regularán por los términos y con los límites establecidos en la normativa sobre asistencia mutua entre los Estados de la Unión Europea, o en el marco de los convenios para evitar la doble imposición o de otros convenios internacionales, así como por las normas sobre la asistencia mutua establecidas en el Capítulo VI del Título III de la Ley 58/2003, de 17 de diciembre, General Tributaria.

Disposición adicional decimocuarta. Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE.

Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la


154

protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.

Disposición adicional decimoquinta. Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.

Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión o inspección, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales. Quedan excluidos de lo previsto en este apartado los datos de tráfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.


155

Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos.

A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes: a) Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados. b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios. c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales. d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente. e) Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.


156

Disposición adicional decimoséptima. Tratamientos de datos de salud.

1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo: a) La Ley 14/1986, de 25 de abril, General de Sanidad. b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias. f) La Ley 14/2007, de 3 de julio, de Investigación biomédica. g) La Ley 33/2011, de 4 de octubre, General de Salud Pública. h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio. j) El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre. 2. El tratamiento de datos en la investigación en salud se regirá por los siguientes criterios: a) El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica. Tales finalidades podrán abarcar categorías relacionadas con áreas


157

generales vinculadas a una especialidad médica o investigadora. b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública. c) Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial. En tales casos, los responsables deberán publicar la información establecida por el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, en un lugar fácilmente accesible de la página web corporativa del centro donde se realice la investigación o estudio clínico, y, en su caso, en la del promotor, y notificar la existencia de esta información por medios electrónicos a los afectados. Cuando estos carezcan de medios para acceder a tal información, podrán solicitar su remisión en otro formato. Para los tratamientos previstos en esta letra, se requerirá informe previo favorable del comité de ética de la investigación. d) Se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica. El uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica requerirá: 1.º Una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y


158

conserven la información que posibilite la reidentificación. 2.º Que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando: i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación. ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados. Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria. e) Cuando se traten datos personales con fines de investigación en salud, y en particular la biomédica, a los efectos del artículo 89.2 del Reglamento (UE) 2016/679, podrán excepcionarse los derechos de los afectados previstos en los artículos 15, 16, 18 y 21 del Reglamento (EU) 2016/679 cuando: 1.º Los citados derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados. 2.º El ejercicio de tales derechos se refiera a los resultados de la investigación. 3.º La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley.f) Cuando conforme a lo previsto por el artículo 89 del Reglamento (UE) 2016/679, se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica se procederá a: 1.º Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en los


159

supuestos previstos en el artículo 35 del Reglamento (UE) 2016/679 o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos. 2.º Someter la investigación científica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena práctica clínica. 3.º Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados. 4.º Designar un representante legal establecido en la Unión Europea, conforme al artículo 74 del Reglamento (UE) 536/2014, si el promotor de un ensayo clínico no está establecido en la Unión Europea. Dicho representante legal podrá coincidir con el previsto en el artículo 27.1 del Reglamento (UE) 2016/679. g) El uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica deberá ser sometido al informe previo del comité de ética de la investigación previsto en la normativa sectorial. En defecto de la existencia del mencionado Comité, la entidad responsable de la investigación requerirá informe previo del delegado de protección de datos o, en su defecto, de un experto con los conocimientos previos en el artículo 37.5 del Reglamento (UE) 2016/679. h) En el plazo máximo de un año desde la entrada en vigor de esta ley, los comités de ética de la investigación, en el ámbito de la salud, biomédico o del medicamento, deberán integrar entre sus miembros un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes del Reglamento (UE) 2016/679 cuando se ocupen de actividades de investigación que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados.


160

Disposición adicional decimoctava. Criterios de seguridad.

La Agencia Española de Protección de Datos desarrollará, con la colaboración, cuando sea precisa, de todos los actores implicados, las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el Título IV del Reglamento (UE) 2016/679 y en el Título V de esta ley orgánica. Disposición adicional decimonovena.

Derechos de los menores ante Internet.

En el plazo de un año desde la entrada en vigor de esta ley orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías. Disposición adicional vigésima.

Especialidades del régimen jurídico de la Agencia Española de Protección de Datos

1. No será de aplicación a la Agencia Española de Protección de Datos el artículo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 2. La Agencia Española de Protección de Datos podrá adherirse a los sistemas de contratación centralizada establecidos por las Administraciones Públicas y participar en la gestión compartida de servicios comunes prevista en el artículo 85 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.


161

Disposición adicional vigésima primera. Educación digital.

Las Administraciones educativas darán cumplimiento al mandato contenido en el párrafo segundo del apartado 1 del artículo 83 de esta ley orgánica en el plazo de un año a contar desde la entrada en vigor de la misma Disposición adicional vigésima

segunda. Acceso a los archivos públicos y eclesiásticos.

Las autoridades públicas competentes facilitarán el acceso a los archivos públicos y eclesiásticos en relación con los datos que se soliciten con ocasión de investigaciones policiales o judiciales de personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas a las que se realicen las peticiones de acceso

DISPOSICIONES TRANSITORIAS

Disposición transitoria primera. Estatuto de la Agencia Española de Protección de Datos.

1. El Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, continuará vigente en lo que no se oponga a lo establecido en el Título VIII de esta ley orgánica. 2. Lo dispuesto en los apartados 2, 3 y 5 del artículo 48 y en el artículo 49 de esta ley orgánica se aplicará una vez expire el mandato de quien ostente la condición de Director de la Agencia Española de Protección de Datos a la entrada en vigor de la misma. .

Disposición transitoria segunda. Códigos tipo inscritos en las


162

autoridades de protección de datos conforme a la Ley Orgánica 15/1999, de 13 de diciembre.

Los promotores de los códigos tipo inscritos en el registro de la Agencia Española de Protección de Datos o en las autoridades autonómicas de protección de datos deberán adaptar su contenido a lo dispuesto en el artículo 40 del Reglamento (UE) 2016/679 en el plazo de un año a contar desde la entrada en vigor de esta ley orgánica. Si, transcurrido dicho plazo, no se hubiera solicitado la aprobación prevista en el artículo 38.4 de esta ley orgánica, se cancelará la inscripción y se comunicará a sus promotores

Disposición transitoria tercera. Régimen transitorio de los procedimientos.

1. Los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado. 2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.


163

Disposición transitoria cuarta. Tratamientos sometidos a la Directiva (UE) 2016/680.

Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposicionesde desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva

Disposición transitoria quinta. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.


164

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.

Disposición transitoria sexta. Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley.

Se considerará lícita y compatible la reutilización con fines de investigación en salud y biomédica de datos personales recogidos lícitamente con anterioridad a la entrada en vigor de esta ley orgánica cuando concurra alguna de las circunstancias siguientes: a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado consentimiento. b) Que, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial.

DISPOSICIONES DEROGATORIAS

Disposición derogatoria única.


165

Derogación normativa.

1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. 3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica

DISPOSICIONES FINALES

Disposición final primera. Naturaleza de la presente ley

La presente ley tiene el carácter de ley orgánica. No obstante, tienen carácter de ley ordinaria: – El Título IV, – el Título VII, salvo los artículos 52 y 53, que tienen carácter orgánico, – el Título VIII, – el Título IX, – los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X, – las disposiciones adicionales, salvo la disposición adicional segunda y la disposición


166

adicional decimoséptima, que tienen carácter orgánico, – las disposiciones transitorias, – y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.

Disposición final segunda. Título competencial.

1. Esta ley orgánica se dicta al amparo del artículo 149.1.1.ª de la Constitución, que atribuye al Estado la competencia exclusiva para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales. 2. El Capítulo I del Título VII, el Título VIII, la disposición adicional cuarta y la disposición transitoria primera sólo serán de aplicación a la Administración General del Estado y a sus organismos públicos. 3. Los artículos 87 a 90 se dictan al amparo de la competencia exclusiva que el artículo 149.1.7.ª y 18.ª de la Constitución reserva al Estado en materia de legislación laboral y bases del régimen estatutario de los funcionarios públicos respectivamente. 4. La disposición adicional quinta y las disposiciones


167

finales séptima y sexta se dictan al amparo de la competencia que el artículo 149.1.6.ª de la Constitución atribuye al Estado en materia de legislación procesal. 5. La disposición adicional tercera se dicta al amparo del artículo 149.1.18.ª de la Constitución. 6. El artículo 96 se dicta al amparo del artículo 149.1.8.ª de la Constitución.

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

El art.39.3 LOEG contempla la oposición de los electores a su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral.

art.39.3 3. Dentro del plazo anterior, cualquier persona podrá formular reclamación dirigida a la Delegación Provincial de la Oficina del Censo Electoral sobre sus datos censales, si bien sólo podrán ser tenidas en cuenta las que se refieran a la rectificación de errores en los datos personales, a los cambios de domicilio dentro de una misma circunscripción o a la no inclusión del reclamante en ninguna Sección del Censo de la circunscripción pese a tener derecho a ello. No serán tenidas en cuenta para la elección convocada las que reflejen un cambio de residencia de una circunscripción a otra, realizado con posterioridad a la fecha

art.39.2 «3. Dentro del plazo anterior, cualquier persona podrá formular reclamación dirigida a la Delegación Provincial de la Oficina del Censo Electoral sobre sus datos censales, si bien solo podrán ser tenidas en cuenta las que se refieran a la rectificación de errores en los datos personales, a los cambios de domicilio dentro de una misma circunscripción o a la no inclusión del reclamante en ninguna Sección del Censo de la circunscripción pese a tener derecho a ello. También serán atendidas las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral. No serán tenidas en cuenta para la elección convocada las que reflejen un cambio de residencia de una circunscripción a otra, realizado con posterioridad a la fecha de cierre del censo para cada elección,


168

de cierre del censo para cada elección, debiendo ejercer su derecho en la sección correspondiente a su domicilio anterior.

debiendo ejercer su derecho en la sección correspondiente a su domicilio anterior.

El art.58bis es de dudosa adecuación al RGPD. Permite a los partidos políticos recopilar datos personales relativos a las opiniones políticas que, conforme al art.9,1 RGPD son datos de tratamiento prohibido. El art.58bis ampara dicha práctica, a mi entender de forma incorrecta, en el art.9.2g) RGPD donde se exceptúa la prohibición de tratamiento del art.9.1 cuando el mismo es necesario por razones de un interés público esencial. En primer lugar, la obtención de datos se produce de páginas web y otras fuentes de acceso público, sin que los intersados sean advertidos de que la cesión de sus datos a esas web y "otras fuentes" se puedan utilizar para la realización de actividades políticas. Ello supone la posibilidad de utilizar tecnologías "big data", sin evaluaciones de impacto, y con datos especialmente sensibles, con una base sumamente endeble, pues la propaganda política de cada partido sólo puede considerarse como un interés público esencial en un ejercicio de cinismo jurídico. Se excluye, por otro lado, de esta forma a entidades privadas, como los partidos, de los límites que para la mercadotecnia directa que impone a quienes pretendan hacerla la consulta previa a los sistemas de exclusión publicitaria (art.23 NLOPD). Se facilita al interesado el ejercicio del derecho de oposición, sin embargo, ni se le informa cuando se captan los datos de esa finalidad concreta, ni se impone a los partidos que usan tales datos respetar la decisión del interesado. A parte de ello, es obvio, con tecnologías big data pueden hacerse listados de perfiles ideológicos, lo que choca frontalmente no sólo con el art.18.4 CE y art.9 RGPD, sino con el art.16,2 CE.

art.58bis Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas. 2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral. 3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial 4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral. 5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»


169

Disposición final cuarta. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

Se añade un nuevo art.58.3 a la LOPJ que confiere la competencia a la Sala III del TS para conocer de la Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos, contemplada en la DA 5ª NOLPD, cuando la solicitud la formule el CGPJ.

Art.58.3 Tercero. De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por el Consejo General del Poder Judicial.»

se añade una letra f) al art.66 LOPJ que le confiere competencia a la Sala Contencioso Administrativa de la AN para conocer de la Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos, contemplada en la DA 5ª NOLPD, cuando la solicitud la formule la AEPD

Art.66. f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos.

Se añaden una letra k) al apartado 1 y un nuevo apartado 7 al artículo 74. El 74.1k) confiere competencia a la Sala Contencioso Administrativa del TSJ para conocer de la Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos, contemplada en la DA 5ª NOLPD, cuando la solicitud la formule la APD de la CA El art.74.7 confiere competencia a la Sala Contencioso Administrativa del TSJ para conocer del requerimiento de información por parte de autoridades autonómicas de protección de datos a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica.

art.74 1. […] k) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva. […] 7. Corresponde a las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia autorizar, mediante auto, el requerimiento de información por parte de autoridades autonómicas de protección de datos a los operadores que presten servicios de comunicaciones


170

electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica.»

Se añade un nuevo apartado 7 al artículo 90: para conocer del requerimiento de información por parte de la Agencia Española de Protección de Datos y otras autoridades administrativas independientes de ámbito estatal a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica

«7. Corresponde a los Juzgados Centrales de lo Contencioso-administrativo autorizar, mediante auto, el requerimiento de información por parte de la Agencia Española de Protección de Datos y otras autoridades administrativas independientes de ámbito estatal a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica.»

Disposición final quinta. Modificación de la Ley 14/1986, de 25 de abril, General de Sanidad.

Se añade un nuevo Capítulo II al Título VI de la Ley 14/1986, de 25 de abril, General de Sanidad

Artículo 105 bis. El tratamiento de datos personales en la investigación en salud se regirá por lo dispuesto en la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.»

Disposición final sexta. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Se añade un nuevo apartado 7 al artículo 10, que modifica la competencia de las SaslasCont-Admvas de los TSJ para la solicitud de autorización judicial conforme a una decisión de la Comisión Europea en materia de transferencia internacional pedida por la APD de la CA

art.10.7 Conocerán de la solicitud de autorización al amparo del artículo 122 ter, cuando sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva.

Se añade un nuevo apartado 5 al artículo 11: que modifica la competencia de la Sala Cont-Admva de la AN para la solicitud de autorización judicial conforme a una

art.11.5 Conocerá de la solicitud de autorización al amparo del artículo 122 ter, cuando sea


171

decisión de la Comisión Europea en materia de transferencia internacional pedida por la APD de la CA

formulada por la Agencia Española de Protección de Datos

Se añade un nuevo apartado 4 al artículo 12:que modifica la competencia de la Sala Cont-Admva del TS para la solicitud de autorización judicial conforme a una decisión de la Comisión Europea en materia de transferencia internacional pedida por el CGPJ

art.12.4 4. Conocerá de la solicitud de autorización al amparo del artículo 122 ter, cuando sea formulada por el Consejo General del Poder Judicial

Se introduce un nuevo artículo 122 ter, que regula el procedimiento de autorización judicial de conformidad con una decisión de la comisión Europea en materia de transferencia internacional de datos.

art.122ter 1. El procedimiento para obtener la autorización judicial a que se refiere la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, se iniciará con la solicitud de la autoridad de protección de datos dirigida al Tribunal competente para que se pronuncie acerca de la conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos con el Derecho de la Unión Europea. La solicitud irá acompañada de copia del expediente que se encontrase pendiente de resolución ante la autoridad de protección de datos. 2. Serán partes en el procedimiento, además de la autoridad de protección de datos, quienes lo fueran en el procedimiento tramitado ante ella y, en todo caso, la Comisión Europea. 3. El acuerdo de admisión o inadmisión a trámite del procedimiento confirmará, modificará o levantará la suspensión del procedimiento por posible vulneración de la normativa de protección de datos tramitado ante la autoridad de protección de datos, del que trae causa este procedimiento de autorización judicial. 4. Admitida a trámite la solicitud, el Tribunal competente lo notificará a la autoridad de protección de datos a fin de que dé traslado a quienes interviniesen en el procedimiento tramitado ante la misma para que se personen en el plazo de tres días. Igualmente, se dará traslado a la Comisión Europea a los mismos efectos. 5. Concluido el plazo mencionado en la letra anterior, se dará traslado de la solicitud de autorización a las partes personadas a fin de que en el plazo de diez días aleguen lo que estimen procedente, pudiendo solicitar en ese momento la práctica de las pruebas que estimen necesarias.


172

6. Transcurrido el período de prueba, si alguna de las partes lo hubiese solicitado y el órgano jurisdiccional lo estimase pertinente, se celebrará una vista. El Tribunal podrá decidir el alcance de las cuestiones sobre las que las partes deberán centrar sus alegaciones en dicha vista. 7. Finalizados los trámites mencionados en los tres apartados anteriores, el Tribunal competente adoptará en el plazo de diez días una de estas decisiones: a) Si considerase que la decisión de la Comisión Europea es conforme al Derecho de la Unión Europea, dictará sentencia declarándolo así y denegando la autorización solicitada. b) En caso de considerar que la decisión es contraria al Derecho de la Unión Europea, dictará auto de planteamiento de cuestión prejudicial de validez de la citada decisión ante el Tribunal de Justicia de la Unión Europea, en los términos del artículo 267 del Tratado de Funcionamiento de la Unión Europea. La autorización solamente podrá ser concedida si la decisión de la Comisión Europea cuestionada fuera declarada inválida por el Tribunal de Justicia de la Unión Europea. 8. El régimen de recursos será el previsto en esta ley.»

Disposición final séptima. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Se modifica el art.15bis LEC y se introducen los procesos de protección de datos

art.15bisIntervención en procesos de defensa de la competencia y de protección de datos 1. La Comisión Europea, la Comisión Nacional de la Competencia y los órganos competentes de las Comunidades Autónomas en el ámbito de sus competencias podrán intervenir, sin tener la condición de parte, por propia iniciativa o a instancia del órgano judicial, mediante la aportación de información

«Artículo 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos. 1. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas en el ámbito de sus competencias podrán intervenir en los procesos de defensa de la competencia y de protección de datos, sin tener la condición de parte, por propia iniciativa o a instancia del órgano judicial, mediante la aportación de información o


173

o presentación de observaciones escritas sobre cuestiones relativas a la aplicación de los artículos 81 y 82 del Tratado de la Comunidad Europea o los artículos 1 y 2 de la Ley de Defensa de la Competencia. Con la venia del correspondiente órgano judicial, podrán presentar también observaciones verbales. A estos efectos, podrán solicitar al órgano jurisdiccional competente que les remita o haga remitir todos los documentos necesarios para realizar una valoración del asunto de que se trate. La aportación de información no alcanzará a los datos o documentos obtenidos en el ámbito de las circunstancias de aplicación de la exención o reducción del importe de las multas previstas en los artículos 65 y 66 de la Ley de Defensa de la Competencia. 2. La Comisión Europea, la Comisión Nacional de la Competencia y los órganos competentes de las Comunidades Autónomas aportarán la información o presentarán las observaciones previstas en el número anterior diez días antes de la celebración del acto del juicio a que se refiere el artículo 433 de esta Ley o dentro del plazo de oposición o impugnación del recurso interpuesto.

presentación de observaciones escritas sobre cuestiones relativas a la aplicación de los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea o los artículos 1 y 2 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia. Con la venia del correspondiente órgano judicial, podrán presentar también observaciones verbales. A estos efectos, podrán solicitar al órgano jurisdiccional competente que les remita o haga remitir todos los documentos necesarios para realizar una valoración del asunto de que se trate. La aportación de información no alcanzará a los datos o documentos obtenidos en el ámbito de las circunstancias de aplicación de la exención o reducción del importe de las multas previstas en los artículos 65 y 66 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia. 2. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas aportarán la información o presentarán las observaciones previstas en el número anterior diez días antes de la celebración del acto del juicio a que se refiere el artículo 433 o dentro del plazo de oposición o impugnación del recurso interpuesto. 3. Lo dispuesto en los anteriores apartados en materia de procedimiento será asimismo de aplicación cuando la Comisión Europea, la Agencia Española de Protección de


174

Datos y las autoridades autonómicas de protección de datos, en el ámbito de sus competencias, consideren precisa su intervención en un proceso que afecte a cuestiones relativas a la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.»

Disposición final octava. Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.

Se incluye una nueva letra l) en el apartado 2 del artículo 46 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, con el contenido siguiente

«l) La formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.»

Disposición final novena. Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Se modifica el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Art.16.3 3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

«Artículo 16. […] 3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptúan los supuestos de investigación previstos en


175

Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso. Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, General de Salud Pública podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso. Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.»


176

Disposición final décima. Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de Educación.

Se incluye una nueva letra l) en el apartado 1 del artículo 2 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación, que queda redactado como sigue:

art.2.1 l) «l) La capacitación para garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente, con el respeto y la garantía de la intimidad individual y colectiva.»

Disposición final undécima. Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

Se añade un nuevo artículo 6 bis, Artículo 6 bis. Registro de actividades de tratamiento. Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.»

El apartado 1 del artículo 15 se modifica. art.15.1 . Si la información solicitada contuviera datos especialmente protegidos a los que se refiere el apartado 2 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre (RCL 1999, 3058) , de Protección de Datos de Carácter Personal, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.

Art.15. 1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.


177

Si la información incluyese datos especialmente protegidos a los que se refiere el apartado 3 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, o datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso sólo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquél estuviera amparado por una norma con rango de Ley.

Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.

Disposición final duodécima. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Se modifica el art.28.2 y 3 de la Ley 39/2015 de PACAP

art.128 2. Los interesados no estarán obligados a aportar documentos que hayan sido elaborados por cualquier Administración, con independencia de que la presentación de los citados documentos tenga carácter preceptivo o facultativo en el procedimiento de que se trate, siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento

Artículo 28.[_…]_ 2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.


178

su oposición expresa o la ley especial aplicable requiera consentimiento expreso. En ausencia de oposición del interesado, las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto. Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, éstos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente. 3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario. Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante que órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto. Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente. 3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario. Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través


179

electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto. Se presumirá que esta consulta es autorizada por los interesados, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso, debiendo, en ambos casos, ser informados previamente de sus derechos en materia de protección de datos de carácter personal. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.»

Disposición final decimotercera. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.

Se añade un nuevo artículo 20 bis al texto refundido de la Ley del Estatuto de los Trabajadores, Se utiliza la técnica de remisión de la ley ordinaria a la LO en materia de DF. Sin embargo: - el derecho de la intimidad , se limitan al uso de dispositivos digitales del empleador (no los propios). - se enumeran los derechos a la desconexión digital, y a la intimidad frente al uso de dispositivos de videovigilancia y de geolocalización, pero ninguno de ellos se incluyen entre los derechos básicos de los trabajadores del art.4 ET, que no se modifica. Ninguna modificación se hace en el ET respecto de la negociación colectiva en materia de derechos digitales, por lo que no rige en esta materia la prioridad del convenio de empresa.

«Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión. Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.»


180

Disposición final decimocuarta. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.

Se añade una nueva letra j bis) en el artículo 14 del texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, que quedará redactada como sigue

«art. 14 j bis)A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.»

Disposición final decimoquinta. Desarrollo normativo.

Se habilita al Gobierno para desarrollar lo dispuesto en los artículos 3.2, 38.6, 45.2, 63.3, 96.3 y disposición adicional sexta, en los términos establecidos en ellos.

Disposición final decimosexta. Entrada en vigor.

La ley entró en vigor el 7 de diciembre de 2018 La presente ley orgánica entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado

LO 3/2018, de 5 de diciembre, de Protección de Datos ......LO 3/2018, de 5 de diciembre, de...

Documents

Transcript of LO 3/2018, de 5 de diciembre, de Protección de Datos ......LO 3/2018, de 5 de diciembre, de...