Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (Ley Orgánica 3/2018, de 5 de Diciembre)

Por ICB Editores

El presente libro pretende formar al alumno en la nueva normativa vigente en materia de Protección de Datos, mediante la adquisición de los siguientes objetivos:- Conocer los principios de protección de datos. Alcance e incidencia.- Derechos de los afectados. Su ejercicio, límites y contenido.- Tratamientos de datos sometidos a requisitos especiale

• Idioma: Español
• Editorial: ICB Editores
• Fecha de lanzamiento: 13 feb 2024
• ISBN: 9788418023170

Vista previa del libro

MIPOMAIC004183_1600x2260.JPG

Ley de Protección de Datos Personales y garantía de los derechos digitales (Ley Orgánica 3/2018, de 5 de diciembre)

Editado por:

ICB. S. L. (Interconsulting Bureau S. L.)

Avda. Ortega y Gasset, 198

P. I. Alameda 29006 – Málaga. España

Tel.: (+34) 952 28 87 67

Web: www.icbeditores.com

Correo electrónico: info@icbeditores.com

Ley de Protección de Datos Personales y garantía de los derechos digitales

Coordinadora de la obra: María Dolores Pérez Rodríguez

Licenciada en Pedagogía por la Universidad de Málaga

1.ª edición

© ICB, S. L. (Interconsulting Bureau S. L.), 2019/04, 1.ª edición

Reservados todos los derechos de publicación en cualquier idioma.

Según el Código Penal vigente, ninguna parte de este o cualquier otro libro puede ser reproducida, grabada en alguno de los sistemas de almacenamiento existentes o transmitida por cualquier procedimiento, ya se electrónico, mecánico, reprográfico, magnético o cualquier otro, sin autorización previa y por escrito de Interconsulting Bureau S. L. Su contenido está protegido por la Ley vigente, que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

ISBN: 978-84-9021-750-4

CÓDIGO: MAEF004183

Impreso en España- Printed in Spain

Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar, escanear o hacer copias digitales de algún fragmento de esta obra.

Para descargar el contenido multimedia diríjase a la siguiente dirección:

http://www.icbeditores.com/multimedia-internacional

C.20181023110654 - M.20240206102055

ÍNDICE

1. Ley de Protección de Datos Personales y garantía de los derechos digitales

1.1. Consideraciones generales

Introducción

Disposiciones generales

Principios de protección de datos

Resumen

1.2. Los derechos de los afectados

Derecho de información. Transparencia

Derecho de acceso

Derecho de rectificación

Derecho de supresión

Derecho a la limitación del tratamiento

Derecho a la portabilidad

Derecho de oposición

Disposiciones generales al ejercicio de los derechos

Limitaciones a los derechos

Resumen

1.3. Tratamientos concretos

Disposiciones de aplicación a tratamientos concretos

Transferencias internacionales de datos

Resumen

1.4. Responsable y encargado del tratamiento. Delegado de protección de datos

Responsable y encargado del tratamiento. Medidas de responsabilidad activa

Encargado del tratamiento

Delegado de protección de datos

Evaluación de impacto

Códigos de conducta. Mecanismos de certificación

Resumen

1.5. Autoridades de protección de datos

Agencia Española de Protección de Datos: la institución

Funciones y potestades de la Agencia Española de Protección de Datos

Autoridades autonómicas de protección de datos

Resumen

1.6. Procedimientos ante posibles vulneraciones de la normativa de protección de datos

Introducción al procedimiento

Incoación del procedimiento

Previo a la tramitación del procedimiento

Medidas provisionales y garantía de los derechos

Régimen sancionador

Resumen

1.7. Los derechos digitales

Introducción

Objeto y contenido del título X

Derechos generales de los ciudadanos

Derechos específicos de los menores

Derechos del ámbito laboral

Derechos relacionados con los medios de comunicación digitales

Derecho al olvido en internet

Derecho a la portabilidad en las redes sociales. Art. 95

Derecho al testamento digital. Art. 96

Políticas de impulso de los derechos digitales. Art. 97

Resumen

1. Ley de Protección de Datos Personales y garantía de los derechos digitales

1.1. Consideraciones generales

1.2. Los derechos de los afectados

1.3. Tratamientos concretos

1.4. Responsable y encargado del tratamiento. Delegado de protección de datos

1.5. Autoridades de protección de datos

1.6. Procedimientos ante posibles vulneraciones de la normativa de protección de datos

1.7. Los derechos digitales

1.1. Consideraciones generales

Introducción

Disposiciones generales

Principios de protección de datos

Resumen

1.Introducción

El artículo 18.4 de la Constitución española reconoce el derecho fundamental a la protección de datos de carácter personal cuando señala: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Antecedentes de este precepto son los trabajos desarrollados por el Consejo de Europa en los años 60, así como las escasas disposiciones legales adoptadas en los países de nuestro entorno.

A nivel jurisprudencial debemos destacar la Sentencia del Tribunal Constitucional 94/1998, en la cual se garantiza a las personas el control sobre sus datos de carácter personal, sobre su destino y su uso, con la finalidad de evitar el tráfico ilícito de los mismos o lesivo para la dignidad.

Este derecho quedaba configurado como una facultad del ciudadano para mostrar su oposición a que ciertos datos se utilicen para fines diferentes a aquellos que justificaron su obtención.

Con posterioridad, la Sentencia 292/2000 lo configura como el poder de disposición y control sobre los datos personales, facultado a las personas a ejercer este derecho, autónomo e independiente, decidiendo qué datos se proporcionan a terceros o al Estado, cuáles pueden ser recabados y ante qué situaciones ejercer su oposición a la posesión y uso de estos datos.

A nivel legislativo, el derecho fundamental a la protección de datos de las personas se ha concretado en estas normas:

Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carácter personal.

Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos de carácter personal, dictada en sustitución de la anterior y prevista para la transposición de la Directiva 95/46/CE del Parlamento Europeo y el Consejo.

Carta de los Derechos Fundamentales de la Unión Europea.

Tratado de Funcionamiento de la Unión Europea, artículo 16.1.

Desde la UE han sido constantes los impulsos para lograr una regulación más uniforme de este derecho fundamental en nuestra sociedad, cada vez más globalizada. De esta forma, se han ido adoptando diversas propuestas en el marco de la legislación vigente hasta llegar al punto álgido de esta evolución, como es la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Este Reglamento vino a derogar la Directiva 95/46/CE, así como la Directiva (UE) 2016/680. Dada la eficacia directa del Reglamento, se van a ver superados los obstáculos que impidieron armonizar la protección de las personas físicas frente al tratamiento de los datos personales y a la libre circulación de estos.

De ahí que entendamos que este nuevo Reglamento va más allá de una mera revisión de la normativa vigente, de una actualización de la misma. Uno de sus objetivos es el refuerzo de la seguridad jurídica y de la transparencia. Además se permite que sus normas sean especificadas o restringidas por el derecho de los Estados miembros, razón por la que contiene un buen número de habilitaciones para regular determinadas materias.

El principio de seguridad jurídica impone a los Estados miembros la obligación de integrar el ordenamiento europeo en el interno de forma clara y pública, de tal forma que se debe permitir su pleno conocimiento tanto por los ciudadanos como por los operadores jurídicos. De esta obligación deriva la consiguiente: los Estados deben eliminar toda situación de incertidumbre que derive de la existencia de normas internas incompatibles con el derecho europeo.

Podemos resumir afirmando que el principio de seguridad jurídica obliga a que nuestra normativa interna incompatible con el derecho de la Unión Europea se elimine de forma definitiva a través de disposiciones internas de tipo obligatorio dotadas del mismo valor jurídico que las disposiciones que deban ser modificadas.

2.Disposiciones generales

Esta es la denominación del título I de la Ley Orgánica 3/2018, de 5 de diciembre, el cual se divide en tres artículos:

2.1.Objeto de la Ley

Evidentemente, el principal objetivo de esta Ley es la adaptación al ordenamiento jurídico del Reglamento (UE) 2016/679, así como la complementación de sus disposiciones.

Asimismo, se establecen dos límites al ejercicio del derecho fundamental recogido en el artículo 18.4 de la Constitución:

El Reglamento europeo 2016/679.

La propia Ley Orgánica.

El apartado b) del artículo 1 de la Ley nos marca otro objeto de la misma: la garantía de los derechos digitales, en cumplimiento del mandato contenido en el artículo citado 18.4 de la Constitución.

2.2.Ámbito de aplicación

Señala el artículo 2 de la Ley el ámbito objetivo de la misma: con carácter positivo se establece la aplicación de los títulos I a IX y artículos 89 a 94 a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

En su vertiente negativa, el artículo 2.2 de la Ley indica qué tratamientos exceden su ámbito de aplicación:

a)Los tratamientos de datos personales indicados en el artículo 2.2 del Reglamento General:

Tratamientos de datos personales realizados en el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de la Unión.

Tratamientos llevados a cabo por los Estados miembros en el marco de las actividades comprendidas en el ámbito de aplicación del capítulo II del título V del Tratado de la Unión Europea.

Tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Tratamientos efectuados por parte de las autoridades competentes y sus agentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

b)Los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.

c)Los tratamientos sometidos a la normativa sobre protección de materias clasificadas.

Los tratamientos que se realicen afectando a actividades no comprendidas en el ámbito de aplicación del derecho de la Unión Europea se van a regir por su legislación específica y, supletoriamente, por el Reglamento europeo y la nueva Ley Orgánica. Se trata de los tratamientos realizados al amparo de la Ley Orgánica del Régimen Electoral General, en el ámbito de las instituciones penitenciarias o los derivados del Registro Civil, de la Propiedad y Mercantil.

El tratamiento de datos que se lleve a cabo por los órganos judiciales con ocasión de los procesos en los que sean competentes, así como los realizados por la Oficina Judicial, sí se regirán tanto por el Reglamento como por la Ley Orgánica, sin perjuicio de las disposiciones aplicables de la Ley Orgánica 6/1985 del Poder Judicial.

2.3.Datos de las personas fallecidas

Los derechos de estas y sus herederos son una de las principales novedades de la Ley. Así, quienes acrediten la condición de herederos podrán dirigirse al responsable o encargado del tratamiento con el fin de solicitar acceso a los datos personales de las personas fallecidas, así como su rectificación o supresión.

De forma excepcional, queda prohibido el acceso, o su rectificación o supresión, cuando el fallecido lo haya prohibido de forma expresa o lo establezca de esta forma una ley.

El referido acceso a los datos, así como su rectificación o supresión, también podrá concederse al albacea testamentario o a la persona o institución a la que el fallecido hubiese designado de forma expresa.

La acreditación de la validez y vigencia de estos mandatos e instrucciones, incluso su registro, serán regulados mediante real decreto.

Cuando los fallecidos sean menores, las anteriores facultades se podrán ejercer además por sus representantes legales o Ministerio Fiscal. Y, además de los anteriores, estas facultades podrán ejercerse por las personas designadas para el ejercicio de funciones de apoyo en los supuestos de fallecidos discapacitados.

3.Principios de protección de datos

3.1.Exactitud de los datos

Tanto la L. O. 3/2018 como el Reglamento europeo exigen que los datos sean exactos y actualizados, cuando fuera necesario.

La inexactitud de los datos personales no será responsabilidad imputable al responsable del tratamiento, siempre que haya adoptado todas las medidas razonables para que, sin dilación, se suprima o rectifique la correspondiente inexactitud, y siempre en estos supuestos:

Cuando aquellos se han obtenido directamente del afectado.

Si se han obtenido de un mediador o intermediario (siempre que existan, en este último caso, normas que permitan la intervención de estas figuras en la recogida de datos en nombre propio para su transmisión al responsable, mediadores e intermediarios asumirán las responsabilidades que se deriven de la comunicación al responsable de datos que no se correspondan con los facilitados por el afectado).

Si los datos inexactos provienen de otro responsable en virtud del ejercicio por el afectado del derecho de portabilidad.

Cuando fuesen obtenidos de un registro público por el responsable.

3.2.Deber de confidencialidad

A este deber se sujetan tanto el responsable como el encargado del tratamiento de datos, así como todas las personas que intervengan en cualquier fase del mismo. Se trata de una obligación de carácter general que será complementaria del deber de secreto profesional, según la normativa de aplicación.

Estas obligaciones van a permanecer aun cuando haya finalizado la relación del obligado con el responsable o encargado del tratamiento.

3.3.Consentimiento del afectado

Con base en el RGPD, entendemos por consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que el afectado acepta el tratamiento de datos personales que le conciernen.

En este punto debemos remitirnos al Reglamento y, concretamente a los siguientes «Considerandos»:

Considerando 42: «Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida