Estamos a final de Julio y Agosto asoma. Me he prometido no dejar de escribir y, aunque algunos estáis más en el chiringuito que delante del ordenador –o el móvil- he querido hablaros sobre la normativa de protección de datos vigente en la actualidad en España. Sí, lo sé, llevamos desde Mayo aproximadamente hablando del tema. Pero siempre es lo mismo. En esta ocasión, prometo hablar solo sobre las fuentes a las que acudir.
Y es que nos sale por las orejas el registro de actividad, el Delegado de Protección de Datos, el principio de accountability, la proteción de datos en España desde el diseño y por defecto, el derecho al olvido, etc. Todo muy necesario y muy útil, pero mejor en pequeñas dosis. Hoy, solo voy a poneros sobre la mesa las herramientas que tenéis a vuestra disposición para conocer todo sobre la protección de datos.
Índice de contenidos
El Reglamentísimo de Protección de Datos en España
Hombre… por favor. No podía faltar. No le llamo RGPD o GDPR porque seguro que salís de la página. Y no es mi intención. Es el padre de la normativa de protección de datos y el que regula toda esta materia desde un punto de vista supremacísta.
Ya comentamos hace varias semanas el revuelo que había causado la protección de datos en España. En aquella ocasión hablamos sobre la nueva política de privacidad de Facebook e Instagram. Claro, todo aquello sonaba muy nuevo. La portabilidad de mis datos, la aceptación expresa del tratamiento de los datos, ese reconocimiento facial propio de Star Trek, etc. Pues bien, este reglamento ha llegado para quedarse y levantar las alfombras. Y de ello precisamente vamos a hablar: qué alfombras ha levantado y como nos afecta.
La Ley Orgánica del 99 y su Reglamento de desarrollo de 2007
Esta alfombra la han levantado, le han dado la vuelta, la han apaleado y la han colgado en la pared como si fuera un tapiz. Vamos, que ha perdido gran parte de su espíritu. Vamos a ver que cambia:
- Se cargan el alta de ficheros en la AEPD. Total, eso era un cachondeo.
- Introducen el registro de actividad. Algo así como monitorizar y almacenar todos los movimientos que tiene un fichero.
- El consentimiento expreso e inequívoco ahora es la única fórmula de consentimiento.
- Más deber de información
- Los menores de 13 años o más pueden decidir si su cara aparece en la revista del cole.
- Nuevos datos especiales como los biométricos o genéticos.
- El DPO
- Medidas de seguridad tras la evaluación de riesgos en el tratamiento.
En definitiva, muchas reformas que antes no estaban y que con un fichero de alta en la Agencia, y un copy-paste de una política de privacidad de otra web era suficiente para campar a tus anchas.
Más normativa de protección de datos en España
Ciertamente, si quieres aprender mucho sobre protección de datos, te recomiendo que te leas algunas de la normativa de protección de datosque te voy a citar a continuación. Algunas son antiguas, y otras nuevas, pero todas están en vigor. De hecho, algunas son tan nuevas que se regularon ayer mediante el Real Decreto-ley 5/2018, de 27 de julio. Este RD no es más que adaptar la normativa ya existente al RGPD dos meses después.
Muchas de las cláusula de protección de datos en contratos en España vienen exigidas por estas normativas y debemos tenerlas en cuenta en función de nuestra actividad económica.
La protección de datos en la Ley Orgánica del Poder Judicial
El 235 ter de la LOPJ regula el acceso público a los datos personales que están incluídos en los fallos de las sentencias que sean firmes y condenatorias para determinados delitos. Y son los delitos contra la Hacienda Pública y la Seguridad Social, los de Contrabando y de alzamiento de bienes (ahora frustración en la ejecución). Obviamente, el fin es claro.
También el artículo 560, sobre las atribuciones del Consejo General del Poder Judicial nos habla sobre una de las atribuciones de este órgano, respecto al deber de cuidado de los datos informáticos. Pero para el resto de los mortales, no es mucho de nuestro interés.
La protección de datos en la Ley de Extranjería
Así es. La LOEX nos habla tanto en el artículo 25 como en el 28 (entrada y salida de España) de la necesidad de registrar tanto una acción como otra de los ciudadanos extranjeros –no comunitarios, se entiende-. No hace falta explicar que este es un dato muy codiciado por muchas empresas, y también por las Administraciones Públicas. La única finalidad del tratamiento de estos datos es la tendente a controlar el periodo de permanencia en España.
Igualmente, la disposición adicional quinta de esta Ley Orgánica regula el acceso a la información entre Administraciones Públicas y la gstión informática de los procedimientos.
La protección de datos en la Ley de Prevención del Blanqueo de Capitales
Esta está muy chula. La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo es ciertamente compleja, pero de obligado cumplimiento a muchos de nosotros. Pues bien, también forma parte de la normativa de protección de datos que debemos conocer muchos de nosotros.
Hay muchos sujetos obligados y sometidos a esta ley. Por ejemplo, bancos, seguros, fondos de inversión, SGR’s, auditores y por supuesto, nosotros los abogados. Todos ellostienen un deber de diligencia debida con determinadas personas, en determinadas actuaciones. Este deber de diligencia se refiere, por ejemplo, a identificar a los sujetos que participan en un negocio jurídico. O a los titulares reales de los derechos que están en juego. O incluso el el propósito del negocio. Algunas medidas son simples, otras reforzadas.
En estas ocasiones hay un tráfico y tratamiento de datos bestial. En el artículo 15 de esta normativa, que se sustenta aún sobre la LOPD del 99 hasta que no haya una nueva, menciona cuestiones que después de la nueva normativa de protección de datos chirriarían en nuestros oídos. Por ejemplo, el no deber de información a determinadas personas con responsabilidad pública (ExMinistros, por ejemplo) de que sus datos serán recogidos en un fichero. Y está en vigor, pues como establece el preámbulo del RGPD, se permite legislar a los Estados en materias de protección de intereses específicos.
El artículo 24, en esta línea, regula por ejemplo la prohibición de advertir a los ‘sospechosos’ de que hemos informado a la Autoridad Competente del negocio que se traen entre manos. El artículo 32 y 33 nos habla sobre la protección de datos en las medidas de control interno. Esas que establecemos en nuestra compañía para prevenir el blanqueo de capitales.