Aquesta és la llei estatal que dona compliment al reglament europeu que es va aprovar el mes de maig.

30/01/2019

El dia 6 de desembre de 2018 es va publicar al BOE la nova Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garantia dels Drets Digitals (LOPD), que adapta el model establert per Reglament Europeu de Protecció de Dades, i introdueix novetats mitjançant el desenvolupament de matèries contingudes en el mateix. Aquesta Llei, substitueix l’anterior Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal.

Per tal de facilitar l'adaptació als gestors de les instal·lacions juvenils, l'ACCAC recorda que compta amb un acord amb Lant Advocats, un bufet de serveis jurídics i consultoria pioner en noves tecnologies i expert en l'assessorament legal en el tractament de dades personals. A través d'aquesta col·laboració, els socis poden tenir assessorament en la implantació del nou reglament, a través d'una aplicació en línia, i el servei també inclou una assegurança de sancions fins a 60.000 euros. Els interessats, només s'han de posar en contacte amb l'Associació.

Seguint els articles de la pròpia llei, Lant Advocats destaca les següents novetats rellevants:

1. Regula de forma específica i separada el tractament de dades de les persones mortes: Les persones vinculades al difunt per raons familiars o de fet, així com els hereus, poden sol·licitar l'accés, rectificació o supressió, llevat que el difunt ho hagués prohibit expressament o així ho estableixi una llei.

2. Reforça els requisits del consentiment: quan es requereixi el consentiment per a una pluralitat de finalitats ha de constar que aquest s’atorga, de manera específica i inequívoca, per a totes elles. S'elimina el concepte de consentiment tàcit i aquest es converteix en una acció positiva i expressa. La nova LOPD vol assegurar que el consentiment pel tractament de les dades personals derivi d'una declaració o una clara acció positiva.

3. Situa l'edat mínima pel consentiment dels menors d'edat en els 14 anys. També es regula expressament el dret del menor o tercers a sol·licitar la supressió de les dades facilitades per aquest a les xarxes socials o altres serveis de la societat de la informació durant la seva minoria d’edat.

4. Es limita el consentiment com a base jurídica pel tractament de categories especials de dades (ideologia, afiliació sindical, religió, orientació sexual, creences o origen racial o ètnic), de manera que s’exigeixen condicions addicionals pel seu tractament.

5. El tractament de dades de naturalesa penal per a finalitats diferents de les de prevenció, investigació, detecció o enjudiciament d'infraccions / sancions penals, només es podrà dur a terme quan s'empari en una norma de la UE o normes amb rang de llei.

6. Reconeix el mecanisme de doble capa i el contingut mínim de la informació bàsica que s'ha de donar als interessats per complir amb el deure d'informació (especialment per internet). La normativa pretén que el ciutadà conegui de forma clara i senzilla els aspectes més importants del tractament, i pugui accedir a la resta d’informació a través d'un enllaç directe.

7. Es desenvolupa la regulació aplicable a l’exercici dels drets dels interessats. En aquest sentit, l’article 32 afegeix l’anomenat “bloqueig de les dades”, per tal que es procedeixi a la rectificació o supressió de les dades personals.

8. Es regula específicament i, excepte prova en contra, s’entenen legitimats en base a l’interès legítim i/o l’interès públic determinats tractaments de dades personals (tractament de dades de contacte, sistemes d'informació creditícia; operacions mercantils; videovigilància, sistemes d'exclusió publicitària, sistemes d'informació de denúncies internes).

9. Afegeix un catàleg de situacions que cal tenir en compte a l'hora de determinar l'aplicació de les mesures tècniques i organitzatives en supòsits en que el tractament pugui donar lloc a majors riscos (discriminació, frau, menors, discapacitats, perfils personals, etc.).

10. Aclareix la distinció entre la posició de responsable i d’encarregat de tractament, així com les obligacions que han de complir cada un d’ells.

11. Estableix un sistema de denúncia interna anònima, per posar en coneixement d'una entitat privada la comissió d'actes o conductes que puguin ser contraris a la normativa. Aquests sistemes són imprescindibles perquè les persones jurídiques puguin acreditar la diligència necessària per quedar exemptes de responsabilitat penal.

12. Inclou un catàleg complet d'entitats que han de nomenar, obligatòriament, un delegat de protecció de dades i notificar-ho a l'Agència Espanyola de Protecció de Dades. Entre d'altres:

Col·legis professionals
Centres sanitaris amb obligació de conservar històries clíniques
Centres docents de formació reglada
Prestadors de serveis de la informació
Empreses de seguretat privada
Federacions esportives que tractin dades de menors
Publicitat i prospecció comercial basada en perfils

 
13. Concreta la forma d'iniciar el procediment sancionador i la seva durada, diferenciant els supòsits de: (i) falta d'atenció d'una sol·licitud d'exercici de drets; (ii) determinació de l'existència d'una possible infracció; i (iii) tramitació del procediment com a conseqüència de la comunicació de la reclamació presentada davant una altra autoritat nacional de control. Així mateix, inclou un catàleg obert d'infraccions dividides en tres categories (lleus, greus i molt greus).


14. Reconeix i garanteix un nou catàleg de drets digitals, entre els quals s’inclou la neutralitat i l’accés universal a internet, la seguretat i l'educació digital, la protecció dels menors a internet, la rectificació o actualització de la informació a internet, el dret a l'oblit en els cercadors i en les xarxes socials o la regulació del dret al testament digital.

15. Reforça la privacitat de l'empleat i el seu dret a la desconnexió digital i a la intimitat front l'ús de dispositius digitals, la videovigilància i la geolocalització en l'àmbit laboral, permetent que els convenis col·lectius garanteixin una major protecció.

16. Amplia la vigència dels contractes d'encarregat del tractament subscrits amb anterioritat a l'aplicació del RGPD fins a la seva data de venciment o, en cas d'haver-se pactat de manera indefinida, fins el 25 de maig de 2022.