La nueva ley de protección de datos: ¿en qué me cambiará la vida?

¿Cuáles son los principales cambios?

Por datos de carácter personal no solo se entiende el nombre y el apellido; abarca también desde el DNI a una dirección IP o la imagen de una persona. Su tratamiento se refiere a cualquier actividad que se lleve a cabo con ellos, ya sea captarlos, almacenarlos o transmitirlos.

Con el reglamento aprobado por la Unión Europea, el cambio más sustancial era que frente a la posición pasiva respecto de la protección de datos -una vez cumplidos unos requisitos- que había hasta ahora se pasa a una actitud proactiva. Esto exige más recursos a las empresas; en definitiva, más dinero.

Para las empresas, los principios se mantienen, aunque se añade uno esencial: el de responsabilidad proactiva, que implica la necesidad de documentar de forma constante y sistemática los distintos tratamientos de datos personales para justificar que se actúa conforme al RGPD. Al menos hay una buena notica, y es que desaparece la notificación gratuita de ficheros ante el registro. Esto se sustituye por una obligación de comunicar los datos de contacto del delegado de protección de datos (DPO por sus siglas en inglés), una nueva figura que se crea y que será fundamental en esta nueva etapa.

El consentimiento del usuario

El eje vertebrador sigue siendo el consentimiento del usuario, aunque en este apartado también hay un cambio importante y que trae de cabeza a un gran número de compañías, ya que desaparece el consentimiento implícito (por ejemplo, cuando al usuario le aparece por defecto seleccionada la casilla de ‘aceptar’). Y no solo eso: todos los contactos obtenidos con este procedimiento -en concreto, «el silencio, las casillas ya marcadas o la inacción»- se considerarán nulos si no se renuevan de forma explícita.

El censo ideológico de los partidos

La mayor controversia viene recogida por la disposición final tercera, que según los expertos deja manos libres a los partidos para crear un censo ideológico a partir de lo que los usuarios han compartido en redes sociales y que permitirá enviar propaganda electoral sin necesidad de pedir permiso, dado que no se considera información comercial. La Agencia Española de Protección de Datos se ha apresurado a negar esta circunstancia. El criterio final estará en manos del Tribunal Constitucional, dado que Unidos Podemos y asociaciones de internautas han anunciado un recurso ante la Corte de Garantías.

El derecho al olvido y el de portabilidad

Entre los derechos de los usuarios, siguen los de acceso, rectificación, cancelación y oposición (ARCO) y se añaden dos sustanciales: el derecho al olvido y el derecho de portabilidad. En el primero, la ley española va más allá del reglamento aprobado por Bruselas y diferencia el derecho al olvido en motores de búsqueda, como Google y que ya fue reconocido por el Tribunal de Justicia de la UE, y el de redes sociales. En este caso se incluyen no solo el borrado de los datos que un usuario dio a una red social, sino también los facilitados por terceros para su publicación en el caso de que el usuario los considere inadecuados o si hubiera pasado demasiado tiempo.

Mientras, el segundo implica la capacidad del usuario de pedirle al portador de sus datos personales que los ponga a su disposición o que los transfiera a terceros. Un caso concreto en cuestión de redes sociales: puedo pedir trasladar los datos que tengo en mi cuenta de LinkedIn a otra empresa; esto no incluye, eso sí, mis contactos.

Dispositivos digitales en el ámbito laboral y grabaciones

La ley limita la posibilidad de que el empleador acceda a los medios digitales que ha facilitado a los trabajadores solo para constatar que están cumpliendo con sus obligaciones laborales, en línea con las últimas sentencias judiciales en este ámbito. Para el caso de medios en los que se combine un uso laboral con otro personal, deberán especificarse “de modo preciso” los usos precisos, y el empleador deberá asimismo establecer garantías para “preservar la identidad de los trabajadores”.

La legislación regula asimismo el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, muy ligado al punto anterior. El texto exige que el empleador informe de forma previa de que se le va a grabar y prohíbe en todo caso que esto suceda “en lugares destinados al descanso o esparcimiento, tales como vestuarios, aseos, comedores y análogos”.

Desconexión digital

Un aspecto novedoso es el de la desconexión digital, que deberá estar garantizada por el empresario y que en todo caso dependerá “de la naturaleza y objeto de la relación laboral”. La ley especifica que el empleador tendrá que “definir las modalidades de ejercicio de este derecho, que busca evitar el “riesgo de fatiga informática”.

Sanciones y edad de consentimiento

Si hay un apartado que preocupa a las empresas más sensibles a la protección de datos es el de las sanciones, que con el nuevo reglamento europeo suben de manera exponencial: las menos graves serán de hasta 10 millones de euros o un 2% de facturación global -del grupo-, mientras que las más severas llegarán a 20 millones o el 4% de la facturación.

En principio, los reglamentos europeos -a diferencia de las directivas, que cada Estado ha de trasponer en ley- se aplican directamente en todos los Estados miembros. Sin embargo, en algunos casos como este hay puntos abiertos para que los países los adapten. Uno de ellos es la edad mínima de los usuarios a partir de la cual se considera válido el consentimiento para el tratamiento de datos personales. El reglamento deja un margen de entre 13 y 16 años; España la deja como estaba, en 14 años. Los menores de 14 necesitarán autorización paterna para, por ejemplo, abrir una cuenta en Instagram.