Tras cinco meses del famoso 25 de mayo, el día de los Consentimientos, la LOPD cambiará su denominación para reflejar los nuevos derechos y llevará por título “Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales”. Su aprobación final en el Senado está apunto de realizarse y el redactado final no parece vaya a modificarse.
El proyecto de ley al que podemos ya bautizar como LOPD-GDD, pretende adaptar el ordenamiento normativo español al Reglamento europeo de Protección de Datos (RGPD 2016/679) y aprovechar la ocasión para regular los principios de una nueva era legal en España donde la seguridad digital se anuncia como un nuevo derecho hacia los ciudadanos y mayores obligaciones hacia los empresarios.
A continuación algunas de las novedades relevantes que en posteriores artículos iremos ampliando.
1. Declaraciones y políticas de privacidad
Respecto al deber de transparencia e información, el responsable debe poner a disposición y de manera accesible la información relativa al tratamiento que lleva a cabo. Para evitar cargas desproporcionadas se regula el método de información por capas, tan habitual en algunos tratamientos como la instalación de cookies o la videovigilancia. Se reduce la información que debe aparecer en la primera capa, que ahora, solo requerirá expresar la identidad del responsable, la finalidad del tratamiento y la posibilidad de los interesados de ejercer sus derechos. Implicando mayor sencillez en conocer qué tratamiento hacen de nuestros datos y cómo ejercer nuestros derechos.
2. Derechos de los afectados y Delegado de Protección de datos.
Además se regulan mayores detalles del Derecho al olvido y del Bloqueo de Datos, como opción de respuesta a la supresión. Se detalla qué tipo de organizaciones deben disponer por Ley de un Delegado de Protección de datos y se regula el proceso de reclamación desde los afectados, la Agencia y el DPD, enfatizando la certificación oficial de dicho rol.
3. Tratamientos de menores
En cuanto a los tratamientos fundados en el consentimiento de un menor, se establece como edad mínima los catorce años para prestar el consentimiento válido en consonancia con la actual LOPD. Esta enmienda modifica la primera versión del proyecto de Ley que había rebajado la edad hasta los trece años, con la intención de asimilarlo a otros Estados de la Unión Europea. Finalmente, el legislador ha optado por la opción más garantista para el menor.
4. La garantía de derechos digitales
La Garantía de derechos digitales se incorpora en un nuevo título dedicado a regular estos derechos. De esta forma el ámbito que abarca la LOPD y el RGPD se extiende, regulando cuestiones como el derecho de acceso universal a internet, la educación digital o el derecho a la seguridad de las comunicaciones. Además, se refuerza la privacidad en los entornos laborales, se consagra el concepto de desconexión digital de empleados y se establece la obligación del empresario de elaborar políticas internas que solucionen el riesgo de fatiga informática y garanticen los periodos de descanso. Se establece la ampliación de nuevos derechos fundamentales y se incorpora la desconexión digital con gran impacto en el mundo laboral. En el contexto más «social» se presentan los principios de Ayudas para acceder a Internet, el Derecho a la neutralidad de Internet y elDerecho al testamento digital
5. Modificaciones de otras Leyes
En las Disposiciones finales se modifican otras leyes con el fin de armonizarlas a los principios del RGPD. Estas modificaciones afectan, entre otros, a la conservación del historial clínico del paciente, la formación dentro de las escuelas y universidades en derechos y habilidades tecnológicas, la regulación de los datos censales o el derecho a la intimidad en el uso de los dispositivos facilitados por el empleador. Nuevamente se incide en el incremento de derechos de los ciudadanos.
6. Medidas de seguridad
Por último, el Esquema Nacional de Seguridad (ENS) merece especial atención la Disposición Adicional Primera porque consagra al ENS como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas privadas que operan en él, por lo que la certificación de empresas en este esquema junto con la existencia de un DPD se consagran como las mejores herramientas para poner en práctica el principio de protección de datos de seguridad demostrada.