La LOPD 2018 y el RGPD: Impacto y Repercusiones para las Microempresas en España

La conocida como LOPD 2018 en España es en la práctica el Reglamento General de Protección de Datos (RGPD) a nivel europeo. Se trata por tanto de una normativa que regula la protección de datos del consumidor y que sustituye a la que actualmente está vigente. La entrada en vigor de la nueva normativa sobre protección de datos en Europa pone a las empresas españolas en una situación especialmente interesante.

Marco Normativo y Evolución de la Protección de Datos

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención.

A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales, conocida como LORTAD. La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales, a fin de trasponer a nuestro derecho a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Por otra parte, también se recoge en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea.

En los últimos años de la pasada década se intensificaron los impulsos tendentes a lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada. Así, se fueron adoptando en distintas instancias internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el germen de la posterior reforma del marco de la Unión Europea.

El Reglamento General de Protección de Datos (RGPD) pretende con su eficacia directa superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de datos personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rápida evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso fundamental de la sociedad de la información. El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios.

La adaptación al Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual. El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la ley orgánica, que es doble. Así, en primer lugar, se pretende lograr la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. Las comunidades autónomas ostentan competencias de desarrollo normativo y ejecución del derecho fundamental a la protección de datos personales en su ámbito de actividad y a las autoridades autonómicas de protección de datos que se creen les corresponde contribuir a garantizar este derecho fundamental de la ciudadanía.

Novedades y Cambios Clave para las Empresas

Hasta el 25 de mayo de 2018 estaban vigente dos reglamentos: la Ley orgánica de Protección de Datos (LOPD) y el Reglamento de desarrollo de la misma (RD 1720/2007) y el RGPD. El nuevo reglamento del LOPD 2018 entró en vigor el día 25 de mayo de 2016, sustituyendo a las normativas nacionales. En el caso de España a la antigua LOPD. Cabe destacar que no ha sido obligatorio cumplir con él hasta el 25 de mayo de 2018.

Esta normativa quiere otorgar mayor poder a los afectados acerca de la gestión de sus datos personales, tanto en el sector tecnológico (todo lo que afecta a móviles, Inteligencia Artificial, redes sociales), como en la tramitación burocrática con empresas y administración. El nuevo marco legal exige un mayor rigor a las empresas en la gestión de datos. Esto afecta no sólo en lo relativo al registro, sino también en lo referente a las cookies y otros elementos más sutiles. En definitiva, cualquier empresa de Internet que tome direcciones de correo electrónico, números de tarjetas de crédito o cualquier otra forma de información personal estará legalmente obligada a cumplir estas reglas.

Consentimiento del Usuario

Uno de los cambios importantes que llegan con la nueva normativa es la forma de pedir el consentimiento al usuario. El nuevo consentimiento ha de ser activo y verificable. Los usuarios tendrán derecho a que las empresas borren sus datos de sus registros internos si así se les reclama. Es otra de las novedades de la LOPD 2018.

Protección de Derechos Digitales y Tratamientos Específicos

La nueva LOPD ha contemplado un texto con una especial atención hacia internet y las nuevas tecnologías, otorgando una regulación y protección a los nuevos «derechos digitales». Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.

En el Título II, «Principios de protección de datos», se establece que a efectos del Reglamento (UE) 2016/679 no serán imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando el responsable los obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un intermediario o mediador o cuando los datos hubiesen sido obtenidos de un registro público. Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal. También en relación con el tratamiento de categorías especiales de datos, el artículo 9.2 consagra el principio de reserva de ley para su habilitación en los supuestos previstos en el Reglamento (UE) 2016/679.

Responsabilidad Activa y el Delegado de Protección de Datos

La mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación.

La obligación de designar un Delegado de Protección de Datos no afecta a todas las empresas, sino únicamente a determinados supuestos previstos en la normativa.

Aspectos Específicos para Microempresas

La LOPD se pone al día para desarrollar los contenidos del RGPD, por lo que todos los trabajos de adaptación al RGPD realizados por las empresas siguen siendo válidos. No obstante, sí incide en determinados aspectos que van a suponer cambios en el día a día de las empresas.

Confidencialidad y Videovigilancia

El artículo 5 de la LOPD refuerza la obligación de las empresas en cuanto a confidencialidad (y secreto profesional si se aplica a la profesión). Esto clarifica un tanto la necesidad que tienen las empresas de exigir la confidencialidad de sus trabajadores. El artículo 22 es específico de tratamiento de Videovigilancia, haciendo referencia a los nuevos modelos de carteles informativos, donde la información de la «segunda capa» propuesta por la AEPD se realizará mediante el enlace a una dirección de internet.

Sistemas de Denuncias Internas

Se reconoce que se puedan llevar a cabo sistemas de denuncias internas, tanto si se trata de un canal anónimo o no, y los datos pueden ser tratados tanto por el personal que tenga encomendadas las funciones de control interno y cumplimiento, como el personal de Recursos Humanos si de la denuncia se puede iniciar algún procedimiento disciplinario. Esta función puede situar al trabajador en una situación contraria a los intereses de su empresario. Siendo de ello consciente el legislador, la LOPD trata de protegerlo en cierta manera, y se prohíbe que sea quitado de ese puesto, o incluso sancionado, por el hecho de desempeñar sus funciones.

Uso de Dispositivos Digitales y Desconexión Digital

Se obliga a los empresarios a establecer una normativa que establezca los criterios de utilización de los dispositivos digitales que se ponen a disposición del trabajador, respetando la intimidad de éste «de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente». Además, se señala expresamente que se debe especificar de forma precisa cuáles son los usos privados autorizados de esos dispositivos, y que se establezcan garantías para preservar la intimidad de los empleados. En último lugar, cabe indicar que se obliga por la norma a que los representantes de los trabajadores participen en la elaboración de estas normativas internas, si bien no indica expresamente que deba estar negociado y aceptado por los mismos. Por último, obliga al empleador a elaborar una política interna dirigida a los trabajadores, en la que se defina cómo se llevará a cabo el ejercicio del derecho a la desconexión digital, así como las distintas acciones de formación y sensibilización en esta materia. "Artículo 20 bis.

Para las pymes no especializadas en el tratamiento de datos, la mejor solución es cumplir la normativa a través de proveedores específicos que les proporcionen la tecnología, instrucciones y documentación necesaria para evitar cualquier tipo de problema futuro. La disposición adicional decimooctava establece que la Agencia Española de Protección de Datos desarrollará, con la colaboración, cuando sea precisa, de todos los actores implicados, las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa.

Brechas de Seguridad y Régimen Sancionador

La privacidad debe integrarse desde el inicio en cualquier tratamiento de datos. Ante cualquier brecha de seguridad (robo de datos, pérdida de dispositivos o errores humanos), autónomos y empresas deben notificar a la AEPD en un plazo máximo de 72 horas desde que tengan constancia del incidente. Las brechas de seguridad pueden producirse por diferentes causas, muchas de ellas relacionadas con errores humanos o fallos técnicos. La notificación de la brecha de seguridad a la AEPD es obligatoria cuando exista un riesgo para los derechos y libertades de las personas afectadas. ¡Ojo! La notificación debe realizarse en un máximo de 72 horas desde que se tiene conocimiento del incidente. Es fundamental formar a las personas trabajadoras en materia de ciberseguridad.

El incumplimiento de la normativa de protección de datos puede conllevar sanciones económicas importantes. En uno de los casos más recientes, una empresa del sector del alojamiento fue sancionada con 9.000 euros (reducidos a 5.400 euros tras el reconocimiento de responsabilidad) por escanear y almacenar los DNI de sus clientes como parte del proceso de registro.

Tabla de Sanciones por Incumplimiento de la LOPD/RGPD

Los usuarios, además de solicitar la eliminación de sus datos, podrán igualmente solicitar la supresión o limitación del tratamiento de sus datos, e incluso oponerse a su uso en determinados casos.