Además de adaptarse al Reglamento General de Protección de Datos de la Unión Europea (RGPD), la norma introduce una serie de cuestiones relativas a los denominados derechos digitales.
Con la votación favorable el martes de 21 de noviembre por el Senado del proyecto de ley, queda definitivamente aprobado por las Cortes Generales el texto de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Al no haberse introducido ninguna enmienda en la Cámara Alta, no será necesaria la votación final en el Congreso, por lo que la ley será publicada en el Boletín Oficial del Estado en los próximos días, con entrada en vigor al día siguiente de su publicación.
La aprobación final tuvo 220 votos a favor y 21 votos en contra de los 241 senadores presentes, encontrándose ausentes 24. No fue una aprobación por unanimidad, como sí ocurrió en la votación en el Congreso, pero sí por una aplastante mayoría del 91,3%.
Aunque la ley surgió con la finalidad de concretar unos cuantos aspectos que el Reglamento General de Protección de Datos de la Unión Europea (RGPD) dejaba a la decisión de los Estados miembros, el legislador español ha decidido incluir también una serie de cuestiones relativas a los denominados derechos digitales: una serie de derechos nuevos relacionados con el uso de la tecnología en la vida privada y en el trabajo. A continuación señalamos algunas de las cuestiones más relevantes de esta norma, en lo que suponen novedades con respecto al RGPD.
En materia de videovigilancia, se incorporan a la LOPD-GDD las limitaciones y directrices que ya habían sido formuladas por la Agencia Española de Protección de Datos (AEPD) en su guía sobre esta materia. Como gran novedad, se regula la utilización de cámaras por parte de empleadores con la finalidad de control de los trabajadores o empleados públicos, estableciéndose los límites de este uso y determinadas prohibiciones.
Se regulan por primera vez los sistemas de información de denuncias internas, conocidos como canales éticos o de whistleblowing. En este ámbito, se establece la posibilidad de que las denuncias puedan ser anónimas y la necesidad de que se preserve la confidencialidad sobre las personas afectadas, especialmente la identidad del denunciante. También se configura un especial régimen de protección de la información dentro del seno de la organización, limitándose el número de personas y departamentos que pueden tener acceso a esta información, y unos plazos muy cortos para su eliminación o anonimización.
Contiene también la nueva ley un esquema de regulación de los sistemas de información crediticia, conocidos como ficheros de solvencia o de morosos, aunque en la práctica mantiene el esquema regulatorio que ya se derivaba de la anterior LOPD de 1999, con incorporación de los requisitos y metodología que la AEPD había configurado al efecto.
Se regula en la nueva ley los sistemas de exclusión publicitaria, conocidos como listas robinson, de forma que cualquier interesado que no desee que se le envíen comunicaciones comerciales o se le hagan llamadas no autorizadas previamente, se pueda inscribir en un fichero al efecto, que deberá ser consultado obligatoriamente por las empresas que realicen campañas de marketing directo.
En lo que respecta a los derechos de los interesados, la LOPD-GDD replica el catálogo de derechos ya previstos en el RGPD (acceso, rectificación, supresión o derecho al olvido, limitación, oposición y portabilidad), pero introduce una serie de nuevos derechos, o ampliación de los anteriores, como un especial derecho al olvido en búsquedas de internet y en redes sociales o el derecho a la portabilidad en redes sociales.
También en lo que respecta a los derechos de los interesados, la nueva norma introduce todo un catálogo de nuevos derechos, denominados conjuntamente derechos digitales, entre los que están el derecho de acceso universal a internet o el derecho a la neutralidad digital o el derecho.
También en este catálogo de nuevos derechos se incluyen otros que afectan a las relaciones entre empresas y trabajadores, como el derecho a la desconexión digital en el ámbito laboral o la regulación del derecho a la intimidad en relación con el uso de dispositivos digitales o de geolocalización en el ámbito laboral, derechos que modificarán, sin duda, las relaciones laborales y la negociación colectiva.
Por último, dentro de este catálogo de derechos digitales, se encuentran otros más controvertidos como el derecho de rectificación en internet o el derecho a la actualización de informaciones en medios de comunicación digitales.
Y ya para finalizar este rápido repaso a la nueva LOPD-GDD, resulta interesantísima la regulación por primera vez del denominado testamento digital, que consiste en la posibilidad de que cada persona establezca en vida el destino que quiere dar a la información que ha subido a redes sociales o que figura en internet para cuando fallezca, vinculando tanto a sus herederos y derechohabientes como a las empresas que disponen de esa información o explotan redes sociales.
Otras cuestiones muy controvertidas forman parte también de la nueva norma y darán mucho que hablar en el futuro, pero habrá que esperar a su evolución práctica. Nos referimos, por ejemplo, a la exención de sanciones económicas a las administraciones públicas que incumplan la normativa. O también a la tan debatida cuestión de la forma en que los partidos políticos pueden recabar y utilizar los datos personales con finalidades electorales, al introducir mediante Disposición Adicional un nuevo artículo 58 bis en la Ley Orgánica de Régimen Electoral General. Este asunto ya lo pusimos de manifiesto y debatimos el pasado mes de marzo, cuando se hizo pública la lista de enmiendas presentadas en la Comisión de Justicia del Congreso de los Diputados, en grupos de trabajo como el de FIDE (Fundación para la Investigación Derecho y Empresa), precisamente llamándole a la enmienda “efecto Cambridge Analytica”. Cabe decir que la primera redacción de la enmienda era todavía más extensa que la que ha quedado reflejada en el articulado final y, aunque permite interpretaciones diversas que no vamos a analizar en este momento, supone la primera incorporación a una ley de cuestiones realmente complejas relacionadas con el marketing digital y el perfilado.
No podemos sino saludar la llegada de esta nueva norma, tan esperada y debatida ya antes de su publicación en el BOE, en cuyo proceso de creación Garrigues ha tenido el honor de poder participar. Una norma que, si bien no está exenta de controversia, llega para completar el esquema regulatorio modificado por el RGPD a nivel europeo y, con la voluntad de todos los operadores públicos y privados, deberá permitir el cumplimiento de las dos finalidades previstas en esa norma comunitaria: la defensa del derecho fundamental de los ciudadanos a la protección de sus datos personales y la libre circulación de esos datos dentro del territorio de la Unión Europea.
