Cómo adaptar tu negocio a la nueva LOPD - LEXblogger

Cómo adaptar tu negocio a la nueva LOPD 2019

Qué es la LOPD y cómo adaptarte:

 

¿Nueva LOPD? ¿Qué pasa ahora con el dichoso RGPD? ¿Tengo que hacer otra adaptación más?

Take it easy, en LEXblogger te lo explicamos todo.

Empecemos por lo básico ¿Por qué una nueva LOPD?

Se trata de una adaptación de nuestra regulación nacional al reglamento europeo, vamos, de la versión española de la regulación europea. La nueva LOPD, que ahora se conocerá como “LOPDGDD “nace con la misión de mejorar la privacidad de las personas en el nuevo entorno virtual.

Esta nueva LOPD sustituye a la actual la LOPD e implica una serie de cambios que afectan a la mayoría de empresas de nuestro país y seguramente, te afecta también a ti.

Ha tardado, 6 meses desde la aplicación del RGPD y ya por fin tenemos nuestra Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, es decir, la adaptación del RGPD que ha realizado España.

En este blog te explicamos cuáles eran las medidas que debías adoptar para adecuar tu blog al nuevo reglamento europeo. Ahora quiero informarte sobre los cambios más importantes de esta nueva LOPD.

No quiero que te líes entre una ley y otra. Para que nos entendamos, la ley europea es la que manda y la ley española está supeditada a esta. Por lo tanto, no se trata de cambios drásticos, sólo que la nueva LOPD adaptará las disposiciones del RGPD al territorio nacional.

El 17 de octubre 2018 el Congreso de los Diputados aprobó el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). El 21 de noviembre, el Senado aprobó el Proyecto de Ley de Protección de Datos y Derechos Digitales.

Para simplificarte la comprensión y porque para LEXblogger la pedagogía es esencial, hemos preparado este resumen con todo lo que debes saber sobre esta regulación para estar al día.

 

¿Que incluye la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales? 

Sólo a título informativo, debes saber que la nueva LOPD o LOPDGDD, consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.

Su principal objetivo es lograr la adaptación de la normativa española al Reglamento General de Protección de Datos y completar sus disposiciones.

Esta regulación se propone garantizar el derecho fundamental de las personas físicas a la protección de datos personales, uno de los derechos fundamentales regulado en la Constitución.

Cómo ves, el RGPD y la nueva LOPD pretenden acabar con la opacidad y arbitrariedad con que las empresas han utilizado nuestra información hasta ahora, a la vez, pretenden que como ciudadanos, seamos más conscientes y responsables a la hora de facilitar nuestra información personal y para ello, se les exige a las empresas que no sólo sean más cristalinas informando, también se les pide que abandonen las prácticas intrusivas de recabar datos y hagan un esfuerzo en el permiso, es decir, en asegurarse que solo el permiso inequívoco del usuario habilita el tratamiento.


Ya habrás visto como los formularios online empiezan a transformarse incluyendo cláusulas informativas visibles en un primer plano y mecanismos para recabar ese permiso, como check box de consentimiento.

 

Un poco de historia sobre la nueva LOPD

Mucho ha llovido desde la primera regulación en materia de protección de datos, allá en 1992, nace la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carácter personal, conocida como LORTAD.

La que fue sustituida por la Ley Orgánica 15/1999. Y el 25 de mayo del 2018 estaba previsto que se aplicará una nueva LOPD o LOPDGDD coincidiendo con la aplicación del  Reglamento UE 2016/679 conocido como RGPD, pero como ya te he comentado ha tardado 6 meses más.

El Reglamento Europeo tiene como uno de sus fundamentales objetivos unificar la fragmentación legislativa que existe en la comunidad europea y ajustar las normas de protección de datos a la realidad existente con el desarrollo tecnológico y a los cambios que se van produciendo en la sociedad de la información.

En España la protección de datos está recogida en la Constitución en el artículo 18.4 y constituye un derecho fundamental. Estableciendo que:

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”

La nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales será la adaptación de la legislación española a los cambios que introduce el Reglamento Europeo.

 

¿La nueva LOPD es sólo para España?

LOPD son las siglas de Ley Orgánica de Protección de datos, concretamente, se trata de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal existe cómo ves, desde 1999, unos años tiene la moza.

El RGPD, el Reglamento europeo de Protección de datos, entró en vigor en 2016, siendo de obligado cumplimiento desde el 25 de Mayo de 2018.

La nueva LOPD, como ley de carácter nacional (España), se integró al RGPD, que unificó todas las regulaciones europeas de protección de datos bajo un mismo paraguas legal. De modo que todo ciudadano europeo cuente con los mismos derechos y garantías sobre la información personal.

La LOPD debe convertirse en la nueva LOPD, algo que debería haberse producido de forma simultánea con el RGPD, algo que ahora mismo está en proceso de tramitación parlamentaria y cuyo objetivo es facilitar la aplicación del RGPD. Esta nueva LOPD no puede contradecir al RGPD, solo definir y aterrizar localmente algunos aspectos (como la edad en que se exige el consentimiento de los padres del menor).

En esta universalidad radica una de las mayores ventajas del RGPD, es decir, al proteger los intereses de todos los europeos, no solo deben acatarlo las empresas o profesionales europeos, también todos aquellos que traten datos de los ciudadanos europeos aunque estén en América o Asia. Digo ventaja porque esta regulación acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook, los grandes emporios del dato que hasta ahora, se amparaban en regulaciones más laxas para hacer con nuestra información lo que mejor les venía a sus intereses, pues con el RGPD, el chollo legal se ha terminado.

La LOPD y ahora, la nueva LOPD adecuada al RGPD, aplica solo para España pero contiene toda la directiva europea, vamos, que es la versión del RGPD que tenemos los españoles.

 

¿Por qué un negocio digital debe cumplir con la nueva LOPD?

Esta es de las respuestas más obvias a contestar: debes atender a las regulaciones de protección de datos personales porque la materia prima de tu negocio son los datos personales.

Como profesional digital, estás llamado a tratar datos personales y a ser un gestor de información personal. ¿Te plantearías manipular alimentos sin conocer las normas sanitarias para una manipulación segura? con la información personal ocurre lo mismo, para procesarla de forma segura, debes conocer profundamente las normas que regulan su tratamiento y para eso, debes conocer la LOPD y el RGPD.

Todo negocio digital depende de la información personal de sus bases de datos, no ocuparse de proteger este activo es un suicidio en diferido, A menos que estés dispuesto a asumir riesgos económicos y reputacionales por vulnerar los derechos de clientes y usuarios…

Pero también, todo negocio digital se sujeta en la confianza que podemos proyectar, reducir la incertidumbre, el temor que producen los entornos digitales, aportar un clima de transparencia y una cultura de permisos sin duda mejoran notablemente esa imagen y mejoran la confianza de nuestra audiencia.

Estás dispuesto a asumir riesgos económicos y reputacionales por vulnerar los derechos de clientes y usuarios por no adecuarte correctamente al RGPDHaz click para twittear

Es cierto que hay profesionales que se lanzan a la aventura sin contemplar el impacto que pueden generar sus acciones en los usuarios, pero te prometo que si quieres ser un profesional digital, no puedes crecer si le das la espalda a aquellas regulaciones dedicadas a la defensa de usuarios y consumidores, te arriesgas a quedarte fuera de juego en cualquier momento.

Lo que no admite réplica es que toda empresa o profesional que recabe o gestione información personal de otros para prestar un servicio, debe conocer y aplicar los principios que garantizan la protección de los datos personales de sus clientes, empleados, colaboradores, etc.

Pero lo cierto, es que es mucho más que una obligación legal, un estudio ha revelado que “los marketeros que se adecuaron al #RGPD han visto cómo se han incrementado notablemente los niveles de confianza, lealtad y engagement de sus clientes.”

Los marketeros a los que no les "pilló el toro" con el nuevo RGPD - LEXblogger

Si no te apetece leerte el artículo, quédate también con este otro párrafo:

“Los marketeros metidos en el papel de hormigas contemplaron el RGPD como una oportunidad para dar fuelle a la “customer experience”

Ahí lo dejo…

 

¿Tengo que cumplir la nueva LOPD o el RGPD?

Supongo que tendrás un lío de siglas descomunal y no es para menos..

Que rija ahora el RGPD no significa que muera la LOPD, lo que significa es que como regulación nacional, debe integrarse en un marco común que establece nuevos principios, nuevos derechos, nuevas sanciones, etc. A partir del 25 de mayo de 2018, el nuevo RGPD europeo se aplica en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD, es decir, en tanto en cuanto no contravengan lo establecido en el RGPD, se deberá aplicar también la legislación estatal y autonómica sobre protección de datos (incluidos la LOPD y su Reglamento -RD 1720/2007-)

Las regulaciones no solo deben unificarse, también deben refrescarse y falta que les hacía, lo entenderás rápidamente: desde 1999, los sistemas de procesamiento de información han sufrido una transformación gigantesca, hablamos de big data, de machine learning, de inteligencia artificial, de algoritmos predictivos de comportamiento, de IoT y de millones de herramientas y tecnologías que permiten extraer toda clase de información personal y de conocimientos sobre esa información, era vital una nueva regulación que diera cuenta de esa evolución y respondiera a los nuevos dilemas éticos que presentan estos nuevos tratamientos. Así surge el RGPD, con 9 años de gestación, lo que significa que ya nace con un pequeño desfase respecto a los cambios en los procesamientos de información que se han generado desde entonces.

Con la aplicación del RGPD, cada país debe adecuar su propia regulación en materia de protección de datos a este nuevo marco europeo y por tanto, en España, tendremos una nueva LOPD que recoja todos los principios del RGPD. Como te contaba más atrás, se supone que la nueva LOPD debería haber estado lista, publicada y en vigor el 25 de mayo, junto con la fecha límite para implantar el RGPD. Pero como bien dice el refrán, ya sabemos a qué ritmo van las cosas de palacio, mucho más por estos lares, solo vimos publicado en el BOE el Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que ya ha quedado derogado.

En este real decreto se contemplaron las inspecciones, el régimen sancionador, infracciones, procedimientos, etc.

 

El Documento de Seguridad LOPD ahora se llama “Registro de tratamiento”

Otro cambio que trae el RGPD y la nueva LOPD es el registro de actividades de tratamiento que reemplaza al documento de seguridad exigido en la LOPD y la inscripción de ficheros.

La antigua LOPD establecía en su artículo 88 la obligatoriedad, por parte de los responsables del fichero, de contar con un documento de seguridad, por su parte, el RGPD, no menciona ese documento y en su lugar aparece el Registro de actividades de tratamiento (RAT).

En el documento de seguridad debían detallarse los ficheros de datos que tenía la empresa, así como una descripción de los soportes que almacenaban esos ficheros, los sistemas de seguridad que se aplicaban a esos ficheros, las funciones y obligaciones del personal, la descripción de los sistemas informáticos, etc.

Debes saber que con el RGPD y la nueva LOPD, también desaparecen los ficheros y la necesidad de inscribirlos en la Agencia Española de Protección de Datos. Ya no se habla de ficheros sino de tratamientos. La consecuencia práctica es que ya no tendrán que hacer ningún trámite o gestión de cara a la administración.

En el RGPD y la nueva LOPD, tanto el Responsable del tratamiento y en su caso, del Encargado, deben llevar a cabo un registro de actividades de tratamiento efectuadas bajo su responsabilidad.

La obligación de elaborar un registro de actividades de tratamiento, no se aplicará a aquellas empresas que empleen a menos de 250 personas, salvo que:

  • Pueda entrañar un riesgo para los derechos y libertades de los interesados.
  • No sea ocasional (con esto las incluye a todas).
  • O, incluya categorías especiales de datos personales.

El contenido básico del Registro de actividades de tratamiento debe ser el siguiente:

  • Nombre y datos de contacto del responsable y, en su caso del corresponsable, representante del responsable y del delegado de protección de datos.
  • Finalidades del tratamiento.
  • Categoría de interesados y categoría de datos personales.
  • Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como, terceros países u organizaciones internacionales.
  • Transferencias de datos personales a un tercer país o una organización internacional.
  • Plazos previstos para la supresión de los datos, cuando sea posible.
  • Descripción general de las medidas técnicas y organizativas de seguridad.

Los nuevos derechos en la nueva LOPD

Los derechos otorgados a los ciudadanos sobre su información personal no cambian, se amplían.

A los tradicionales derechos ARCO incluidos en la LOPD (Acceso, Rectificación, Cancelación y Oposición), se suman otros nuevos:

  • Derecho al olvido
  • Limitación
  • Portabilidad

Todo esto suena muy bien como literatura, pero muchas veces, cuesta comprender cómo se aplican estos nuevos derechos y en que nos benefician.

Para que puedas ver su aplicación práctica y cómo las empresas tuvieron que arremangarse, te voy a traer un ejemplo tan real como Facebook:

“Cómo puedo ejercer mis derechos en virtud del RGPD?

De conformidad con el Reglamento General de Protección de Datos, tienes derecho a acceder a tus datos, rectificarlos y suprimirlos, así como a obtener su portabilidad. Obtén más información sobre estos derechos y consulta cómo puedes ejercerlos en la configuración de Facebook y de Instagram. Además, tienes derecho a oponerte al tratamiento de tus datos y a restringir el alcance de esta práctica, Estas opciones incluyen:

 

  • El derecho a oponerte al tratamiento de tus datos para fines de marketing directo. Puedes ejercer este derecho mediante el enlace “Cancelar suscripción” que figura en las comunicaciones de marketing.
  • El derecho a oponerte al tratamiento de tus datos cuando realicemos una misión en interés público o de intereses legítimos nuestros o de un tercero. Puedes ejercer este derecho en Facebook e Instagram.”

 

Facebook tuvo que habilitar mecanismos para ejercer nuestros derechos de forma directo, por ejemplo, el derecho a acceder u oponernos a un tratamiento, algo impensable antes del RGPD, de hecho, gracias a estas nuevas opciones, ahora podemos saber muchísimo más sobre la información que recaba la plataforma sobre nosotros y cómo la utiliza, también podemos tomar más decisiones.

Vemos cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información.

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

 

¿Qué pretenden los derechos de la nueva LOPD?

El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.

Aquí puedes aprender más sobre los derechos RGPD y cómo ejercerlos.

Verás como poco a poco van desapareciendo los pop-up o banner en dónde sólo debías incluir tu nombre y un correo para pertenecer a una lista o las casillas premarcadas para darte de alta en una herramienta o aceptar el envío de publicidad.

El RGPD pone fin a los consentimientos tácitos o por omisión para comunicaciones comerciales o cesiones de datos.

 

Nueva LOPD ¿merece la pena no cumplir?

Lo primero que tienes que considerar es el régimen sancionador en la nueva LOPD.

Aquí sí hay novedades ya que se vuelve a la clasificación de la antigua LOPD entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos establece al fijar la cuantía de las sanciones.

La clasificación de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción de las mismas.

Las sanciones previstas en el artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.

De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta.

  • El carácter continuado de la infracción.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
  • La afectación a los derechos de los menores.
  • Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
  • El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

Por otra parte, el RGPD también prevé en su artículo 82, el derecho de indemnización del afectado que transcribimos a continuación:

Artículo 82

UE RGPD

“Derecho a indemnización y responsabilidad”

=> razón: 146, 147

1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

=> Artículo: 28

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

=> Artículo: 5

4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

=> Artículo: 26, 28

5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

=> razón: 150

6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

=> razón: 150

 

Pero hay muchos otros riesgos derivados de la falta de adecuación:

Riesgos de la falta de adecuacion al RGPD - LEXblogger

¿Qué novedades nos trae la nueva LOPD?

Esta nueva LOPD trae novedades muy notables que debes conocer, una de ellas, muy pionera, una “carta de derechos digitales” en la ley como el derecho a la desconexión laboral (algo casi inviable para los que trabajamos por cuenta propia y de forma online).

En esto España ha tomado la delantera al resto de países de la unión europea y lo que persigue esta carta es que los trabajadores tengan derecho a tiempo libre y que no se les contacte por correo electrónico, wasaps o similares durante el tiempo libre del trabajador (ya veremos cuántos lo respetan)

También esta nueva LOPD no viene libre de polémicas, concretamente, la introducción del muy comentado artículo “58 bis”, que da carta blanca a los partidos para recoger y tratar datos de ciudadanos sobre opiniones políticas “obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral”, de hecho, las redes están alborotadas con este tema y parece que la nueva LOPD ha quedado reducido a ese artículo tan controvertido

Lo que permite este artículo es básicamente, que los partidos políticos puedan rastrear datos personales y opiniones políticas en redes sociales, saltándose a la torera el consentimiento del afectado y que además puedan elaborar perfiles ideológicos y personalizar la propaganda en campaña electoral, vamos, todo un chollo, que supone una vulneración grave de derechos para el resto de los mortales, es legal para los partidos políticos, toda una paradoja.

Ante el revuelo causado en medios y redes sociales con esta disposición, la AEPD se ha apresurado a explicar en una nota de prensa que “el texto del proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas” y “tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos”.

También se garantiza el derecho a la intimidad personal en el ámbito laboral, limitando el uso de videocámaras y dispositivos de audio en lugares de trabajo y además se prohíben estos en áreas de descanso como comedores u otros espacios similares para ocio de los trabajadores.

Otro de los derechos en favor de la intimidad de los trabajadores se refiere a la limitación de los sistemas de geolocalización en el trabajo. Por ejemplo en el caso de trabajadores con sistemas GPS integrados en sus vehículos u otros colectivos cuyos equipos de trabajo pueden incluir sistemas o sensores que detecten en tiempo real su ubicación.

 

Más novedades que debes conocer

Menores de edad:

La edad de consentimiento para el tratamiento de datos se establece en los 14 años en relación con la normativa de otros países europeos .Sólo en caso de los menores de 14 años se requerirá el consentimiento de los padres o tutores.

Recordemos que el RGPD da margen a los Estados para fijarla en una franja desde los 13 a los 16 años. Por tanto, si recoges o tratas datos de menores de 14 años, deberás asegurarte de que cuentas con el consentimiento de sus padres o tutores legales.

 

Principio de Transparencia:

Este principio regula el derecho de los afectados a ser informados por parte de los responsables acerca del tratamiento que se realizará de su información de manera previa al tratamiento.

Para simplificar la comprensión se regula el método de información por capas. En numerosas ocasiones hemos hablado en otros post de este blog sobre esa primera capa informativa.

¿Qué implica esto para ti? Básicamente deberás asegurarte que antes de requerir cualquier información, te aseguras de informar a esa persona todo lo relativo al tratamiento que harás de su información, incluyendo el responsable, las finalidades, los derechos, etc.

 

Reducción de exigencias informativas:

Unido al punto anterior, la nueva LOPD regula qué se tiene que informar de forma obligada para cumplir con el principio de transparencia, pues bien, esto te encantará porque se reducen bastantes elementos informativos respecto al RGPD, algo que generó más de un disgusto a nuestros clientes que detestaban ese “chorizo legal” en sus formularios que debían informar acerca de todas estas cuestiones en cada uno de sus formularios:

Pop ups de formularios adecuados al RGPD - LEXblogger

Con la nueva LOPD, sólo requerirá indicar la identidad del responsable, la finalidad del tratamiento y la posibilidad de los interesados de ejercer sus derechos, implicando mayor sencillez en conocer qué tratamiento hacen de nuestros datos y cómo ejercer nuestros derechos, vamos, que ese “chorizo legal” quedará reducido a 3 puntos muy concretos.

 

El consentimiento expreso:

Aquí no hay cambios, se mantiene el mandato del RGPD y por tanto, se excluye la figura del consentimiento tácito que se reemplaza por una acción afirmativa y expresa por parte del afectado.

  • Este consentimiento además debe estar separado: Debe obtenerse de forma separada del resto de términos y condiciones.
  • Inequívoco y Afirmativo. Exigirá una conducta activa (“active opt-in“). Esto excluye las casillas las casillas premarcadas autorizando el tratamiento y los consentimientos por omisión (si no haces nada entiendo que aceptas).
  • Granular: Diferenciado para los distintos tratamientos.
  • Acreditable: Documentado. Es preciso poder acreditar a posteriori quién consintió, cuándo y cómo lo hizo y de qué se le informó.
  • Revocable: Será igual de fácil prestar el consentimiento que revocarlo.

 

Los tratamientos excepcionales basados en interés legítimo:

Lo del interés legítimo es complejo porque es lo bastante ambiguo como para que se preste a ser usado como un cajón desastre para legitimar el tratamiento de datos cuando no se cuenta con otra base legal.

Pues no, en la nueva LOPD, se establecen una serie de tratamientos concretos que podrán incluirse dentro del interés legítimo. Esto permitirá realizar tratamientos amparados en el interés legítimo de forma legal, como el de datos contacto en el ámbito profesional, la consulta de ficheros de exclusión publicitaria o los sistemas de denuncias internas. Vamos, que facilita ciertos tratamientos basados en esta base legal pero no todo lo que carezca de otra base legal.

 

Derechos a los afectados:

Ninguna modificación a los ya establecidos por el RGPD, deberás ser capaz de atender a los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.

 

Control del cumplimiento a otro derivado del principio de responsabilidad activa:

Tampoco hay novedades en este punto que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas adecuadas en función del nivel de riesgo.

 

Datos de especial protección:

Con el objetivo de impedir circunstancias discriminatorias, se conserva la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. Cuando estén presentes alguno de estos datos, el solo consentimiento del interesado no basta para que sea posible el tratamiento de los datos.

 

Tratamiento de los datos a las personas fallecidas:

Un elemento novedoso que está comprendido en esta nueva ley, es que los herederos de personas fallecidas podrán solicitar el tratamiento de datos que incluye el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido. Cuestión que está fuera del ámbito de aplicación de la Ley Orgánica 15/1999.

 

Exclusión publicitaria:

Esto es algo que deberás tener muy en cuenta ya que la nueva LOPD introduce la posibilidad de que cada persona seleccione qué tipo de publicidad quiere recibir.

Además de los servicios de exclusiones generales o sectoriales, la nueva LOPD añade la posibilidad de incluir sistemas de preferencia para que los ciudadanos limiten la recepción de comunicaciones comerciales de forma personalizada o las procedentes de determinadas empresas. Esto te obligará a ofrecer información clara sobre el tipo de comunicaciones comerciales que vas a enviar y ofrecer mecanismos para que cada usuario/cliente, establezca sus preferencias.

Ejemplo:
Imagina que mandas un boletín a tu lista de suscriptores de forma periódica sobre diferentes categorías de temas (deportes, moda, cocina, viajes, etc). Deberías crear un sistema que permita al usuario elegir el tipo de categorías que le interesan. Un ejemplo podría ser el del consentimiento granular, es decir, incluir varios check box que permitan gestionar diferentes listas en función a las preferencias seleccionadas.

 

La neutralidad de la Red

Esto nos encanta si es que es posible sostener tan quimera, pero nos entusiasma el acceso universal o los derechos a la seguridad y educación digital y que los proveedores de servicios de internet deban proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos, se les exige que no cobren a los usuarios una tarifa dependiendo del contenido, página web, plataforma o aplicación a la que accedan.

También se les exige garantizar la seguridad de las comunicaciones que los usuarios reciban o transmitan a través de la red.

 

Denuncias internas anónimas:

Al loro con esto, porque la nueva LOPD introduce la posibilidad de que se puedan realizar denuncias internas anónimas. La empresas tendrán que habilitar un canal de denuncias y admitir este tipo de denuncias relacionadas con la protección de datos, esto puede ser muy interesante desde el punto de vista de los ciudadanos pero al mismo tiempo, obligará a las empresas a investigar todas las denuncias que se presenten en estos canales, con el tiempo y costo que pueden suponer las denuncias falsas.

 

Ley de competencia desleal

Se regula como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones, algo que hemos denunciado muchos consultores, igual que las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ y que yo personalmente bauticé como las “fastLOPD”, aludiendo a su condición de consultorías basura, low cost y escasa calidad. Este articulado intenta desterrar asesoramientos de ínfima calidad a las empresas y evitar prácticas desleales.

Esta medida también la aplaudimos desde LEXblogger.

 

El delegado en protección de datos y su papel

La figura del delegado de protección de datos toma una gran importancia en el Reglamento (UE) 2016/679 y así lo recoge también la nueva LOPD. Su función puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

Para designar a un delegado de protección de datos se le informará a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.

El Delegado de Protección de Datos debe poseer aptitudes y para su acreditación se utilizarán sistemas de certificación y títulos universitarios que demuestren sus conocimientos en Derecho y protección de datos y otras orientadas a reforzar su independencia frente al responsable. Además, en el Ley se establecen hasta dieciséis sectores donde el empresario deberá nombrar de manera obligatoria a un DPO si no quiere incurrir en infracciones administrativas. Es primordial la acreditación de las aptitudes e independencia del DPO.

Debes saber que como blogger, en el 99% de los casos, NO estás obligado a designar un delegado en protección de datos. El anteproyecto de ley de la nueva LOPD, en su artículo 35 en correspondencia con el Reglamento Europeo, en su artículo 37.1, establecen las entidades que tendrán que nombrar un delegado en protección de datos. Y en la mayoría de los supuestos están exentos, no obstante te aconsejo siempre la consulta.

 

El nuevo rol de la AEPD

La  Agencia Española de Protección de Datos (AEPD) tendrá el rol de autoridad administrativa independiente, cuyas relaciones con el Gobierno se realizarán a través del Ministerio de Justicia.

La AEPD trabajará en cooperación con las autoridades de protección de datos autonómicas. Además la AEPD deberá resolver cuestiones concretas que el RGPD remite a las autoridades nacionales de control.

 

Conclusión ¿merece la pena cumplir con la nueva LOPD?

Creo que la respuesta es bastante sencilla: merece mucho la pena por muchas razones:

  • Por respeto a tu audiencia, a tus colaboradores, a tus clientes.
  • Por responsabilidad: gestionar información personal es gestionar identidades digitales, debes garantizar su protección.
  • Por credibilidad: ser respetuoso y asumir el compromiso con la información personal te hará ganar mucha credibilidad.
  • Por competitividad: pretender crecer desatendiendo los derechos de tu audiencia es de una inocencia insoportable. Garantizarlos, te dará una importante ventaja competitiva.
  • Por supervivencia: dicen que no sobrevive el más fuerte sino el que mejor se adapta y en este caso, se trata de una adaptación clave a los nuevos paradigmas de la era digital.

Conclusión: no merece la pena hacerse el sueco con el RGPD, ya, ¿pero cómo lo resuelvo sin complicaciones?

Has podido ir transitando por los cambios y novedades que introduce la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, adaptando la legislación española al Reglamento General de Protección de Datos Europeo.

“A estas alturas ya te habrás percatado que la nueva LOPD nos afecta a tod@s”

Seas autónomo o empresa, usuario que se registra en Amazon para comprar algo, blogger que tiene sus usuarios y suscriptores a los que les dan valor con sus contenidos y que deben cumplir con la normativa. Te dediques a lo que sea, la nueva LOPD te tocará de cerca de una forma u otra.

Si estás aquí, sabrás que en LEXblogger te ayudamos a cumplir con todos estos requisitos de forma sencilla y eficiente y rigurosa.

Descubre como la herramienta de LEXblogger puede facilitarte la vida con la nueva LOPD y el RGPD.

 

 

Foto principal de Artem Sapegin en Unsplash

 

15 comentarios en “Cómo adaptar tu negocio a la nueva LOPD 2019”

  1. Buenos días,

    tengo una duda con la nueva LOPD, es lo mismo que el RGPD? Hay que cumplir las dos, o son lo mismo?

    En mi caso, vivo y trabajo desde Francia, pero me dirijo a público en España. Entonces, a la hora de cumplir leyes, cuales tengo que seguir? EL RGPD al ser europeo evidentemente sí, pero la LOPD si no es lo mismo, también me toca?
    En el caso de haber variaciones en cuanto a algunos detalles del RGPD (que confirmo que los hay), ¿debo seguir el “modelo francés” o el español?. Mi miedo es que se pueda considerar una infracción el no cumplir con la ley, porque estoy siguiendo la del país que no debo..
    Muchas gracias.

    1. Hola Ana,
      Como bien dicen mis compañeros, el reglamento europeo es de obligatorio cumplimiento para todos los países de la UE y para todos los que traten datos de ciudadanos europeos estén donde estén. En tu caso además de la normativa europea, tienes que cumplir la normativa francesa si Francia es el país donde tienes tu empresa y tributas fiscalmente.
      Muchas gracias y para cualquier duda estoy a tu disposición.
      Un abrazo

  2. Hola Ana, la LOPD es una regulación Española, el RGPD es la regulación europea que nace con el objetivo unificar los regímenes de todos los Estados Miembros sobre la materia. La actual LOPD debe adaptarse al RGPD que es el que se impone en todos los estados miembros.

    En tu caso, claramente debes acatar el RGPD que es la normativa común de todos los países de la UE, y tanto si cumples el modelo francés o el español, valdrá en cualquier caso ya que las disposiciones básicas son las mismas, luego cada órgano controlador establece algunos matices sobre la norma, pero en lo esencial, están sometidos al mismo mandado legal.

    Un abrazo

  3. Hola, he visto que en el tratamiento de archivos de solvencia crediticia el tiempo para estar incluido era de 6 años, ahora con la nueva ley son 5, esta modificacion es con caracter retroactivo? es decir si alguien lleva 5 años y 3 meses cuando la ley entre en vigor deben de quitarla o se le aplica la anterior ley y tiene que estar los 6 años?

    Gracias y saludos.

    1. Hola Mariano,

      Con respecto a tu pregunta en la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales en su artículo 20 regula los “Sistemas de información crediticia”. Es importante que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
      La retroactividad es la aplicación de nuevas normas a actos jurídicos, hechos pasados o previos a la ley. Debido al principio de seguridad jurídica que protege la certidumbre sobre los derechos y obligaciones, por regla general la ley no es retroactiva y solo regula hechos posteriores a su sanción. Sin embargo una ley puede ser retroactiva y regular hechos anteriores a su sanción, cuando así lo disponga expresamente. En esta nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales en ninguno de sus apartados se hace referencia.

      Muchas gracias

      Un saludo 🙂

      1. Mariano Martin Maroto

        OK, muchas gracias por tu respuesta, entiendo que no tiene retroactividad y que si figuro en uno de estos ficheros desde hace mas de 5 años y menos de 6 deben de borrarme.

        Un saludo

  4. Pedro Serrano Grima

    Buenos días, tengo una empresa muy pequeña de compra venta y alquiler de pisos y locales. Dos trabajadores. Mi pregunta es sobre la obligatoriedad de mantener un DPO, por la actividad somos sujetos pasivos en la Ley de Prevención de Blanqueo de Capitales, aunque realmente en la práctica no la he aplicado.
    Pedro

    1. Hola Pedro, respecto a la designación del DPO, el Reglamento (en su artículo 37) establece los supuestos en los que se exige la designación del DPO:

      1. Autoridad u Organismo Público, excepto los Tribunales de justicia que actúan en el ejercicio de su función judicial.

      2. Observación habitual y sistemática de interesados: Cuando se realiza un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de sus datos.

      3. Categorías especiales de datos: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

      4. Datos relativos a condenas e infracciones penales: Datos relativos a condenas e infracciones penales o medidas de seguridad afine.

      En el caso que comentas, entendemos que nos sería necesaria la presencia de un DPO.
      Un abrazo y gracias por visitarnos.

  5. Hola
    Muchas gracias por compartir tus conocimientos, ha quedado un artículo fantástico y se entiende a la perfección para alguien que entiende lo justo del tema como yo.

    Me queda la duda de si ahora con tanto cambio, es legal hacer un directorio en el que se listen ofertas de empleo de otros sitios web, a los que enlazaría indicando claramente la fuente original.

    En caso de ser posible y necesitar algún texto legal concreto para ello, me podrías enviar un presupuesto al email del comentario porfa ?

    Muchas gracias

    1. Hola Daniel, gracias por tu comentario. En caso de los directorios, mientras no incluyan datos personales, no están afectados por el RGPD, es decir si solo parecen ofertas, no sería necesaria ninguna adecuación extra otra cosa es que recabes datos de candidatos, en ese caso, si vas a necesitas cláusulas informativas concretas y mecanismos para recabar el consentimiento e los usuarios.
      Si necesitas ayuda en este tema o con la adecuación portal al rgpd, puedes escribirnos a info@lexblogger.com

      Un abrazo

  6. Buenas tardes. Tengo en mente crear un blog con mis posts en Blogger sin formularios de contacto ni comentarios. Escribiría mi correo electrónico por si alguien quiere contactar conmigo para colaborar en el blog. Por esta razón, en un principio, no voy a añadir publicidad de Adsense ni voy a registrarme en Analytics. Lo que sí pondría, sería botones para redes sociales y compartir, pero me imagino que eso ya se rige por cada red social. ¿Son necesarios RGPD y LSSICE? Mil gracias.

    1. Hola Gabriel, a menos que utilices el blog para un ámbito estrictamente personal, aplica la LSSI y deberás incluir un aviso legal que identifique al responsable, la LSSI no tiene nada que ver con la recopilación de información personal, si el RGPD, que aplica incluso a las cookies de analitycs, por tanto, aunque no tengas ningún formulario, deberás incluir una política de cookies, una política de privacidad básica y un aviso legal.
      Un abrazo

  7. Llega a ser muy confuso el entender todo esto del cambio en reglamentos que se deben seguir dentro de la Unión Europea por como deben aplicarse junto con las leyes locales. Sin duda es un tema importante por que tiene que ver con la protección de la privacidad del usuario pero deberían hacerlo más fácil de entender para quien debe aplicarlo.
    Gracias por desmenuzarlo tan bien y ayudarnos a entender toda esta movida 😀

    1. Hola Antonio!

      Gracias por pasarte por el blog y comentar.

      Así es, la legislación está en constante cambio. Es por ello que en la app de LEXblogger hemos implementado una nueva funcionalidad: El Generador de URL. El sistema crea urls personalizadas de tus textos legales. Sólo tendrás que poner el link a dichas urls. Ya no tendrás que descargarte los textos legales cada vez que:

      – Realicemos una actualización en la herramienta por cambios legislativos exigidos.
      – Tú realices cualquier modificación de datos en la herramienta debido por ejemplo a un cambio de hosting, funcionalidades, etc.

      Además evitamos así que google te penalice en SEO por similitud de textos.

      Un fuerte abrazo

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.