La nueva LOPD incluye el derecho a la «desconexión digital» y regulación en los «textamentos digitales»
Francisco Javier González Espadas está licenciado en la rama Jurídico Empresarial y diplomado en Ciencias Empresariales y Derecho Comunitario. Tras pasar por diferentes despachos fundó su propio despacho, L&E Abogados, que se acabaría integrando en Irwin Mitchell, donde dirigió la Oficina de Madrid. Cuenta con una sólida formación en arbitraje y mediación. Es socio de ISMS FORUM, a través del reconocimiento a su trabajo en las áreas de Protección de Datos y Comercio Electrónico. Además, es profesor del Curso de Experto en Delegado de Protección de Datos de EDAE. Este curso tiene abierta la convocatoria para el nuevo curso que comienza el próximo 18 de enero. En esta ocasión habla con nosotros para conocer la nueva LOPD que se publicó en el Boletín Oficial del Estado el pasado 6 de diciembre
Buenos días Javier y gracias por esta entrevista sobre la nueva LO 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y… ¿Garantías de Derechos Digitales?
Gracias a vosotros. Efectivamente lo relativo a las “Garantías de Derechos Digitales” proviene de enmiendas planteadas por el grupo parlamentario socialista durante la tramitación del proyecto de ley de la nueva LOPD. Creo que España incluye aquí una legislación muy vanguardista; pues se regula incluso el derecho de los trabajadores a la “desconexión digital”. Es emocionante leer en una norma que se comienzan a regular “los derechos de la Era Digital.
¿En qué consisten estos derechos?
Básicamente se trata de poner énfasis en que todos los derechos consagrados en la Constitución; Tratados Internacionales y Convenios deben ser respetados también a través de internet. Piénsese en textos de gran calado como la Convención Universal de Derechos Humanos o la Carta de los Derechos fundamentales de la Unión Europea.
A partir de ahí creo que es muy positivo que la nueva LOPD trate de comenzar a enumerarlos, y así se regula el acceso a Internet como un derecho universal o para todos; ofertas transparentes y no discriminatorias de proveedores de servicios de internet (neutralidad de internet); el derecho a la seguridad digital; el derecho a la educación digital, que incluye la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales; la protección de los menores, con obligaciones para los padres y representantes legales de que se usen los dispositivos digitales de una forma equilibrada y responsable, habilitando incluso al Ministerio Fiscal para intervenir cautelarmente en casos de intromisiones, etc.
Personalmente creo que se ha hecho además un esfuerzo por regular el derecho a rectificar la información que aparezca en internet; a la vez que la libertad de expresión. Lo que también incluye el derecho al olvido, incluso en los buscadores, o la actualización de información en medios de comunicación digitales. A través de obligarles a incluir, al lado de la noticia original, un aviso que refleje la situación actual con el fin de no seguir causando un perjuicio.
Hay que pensar en el daño que se hace por la permanencia digital de una noticia que fue veraz en su día (una detención policial o judicial, por ejemplo). Pero que dejó de serlo después porque el detenido fuera puesto en libertad sin cargos, o absuelto judicialmente, etc.
Antes has hablado del derecho a la “desconexión digital” de un trabajador…
Efectivamente el texto lleva a modificar incluso el Estatuto de los Trabajadores, para consagrar el “Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral”. Así como incluir que esto punto sea objeto de los convenios colectivos laborales. Se incluye una regulación protectora de los operadores jurídicos, empleados y trabajadores. Pues traslada el resultado de lo que ya se venía indicando por la jurisprudencia sobre el control laboral.
Como novedad, eso sí, se ha regulado que “los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido; el respeto de su tiempo de descanso; permisos y vacaciones, así como de su intimidad personal y familiar”. Será preciso elaborar una política interna, incluso para los puestos directivos, con el fin de evitar la denominada “fatiga informática”.
¿Qué hay del denominado “testamento digital” de la nueva LOPD ?
Es otra de las novedades introducidas por el título X de la LOPDyGDD y regula el derecho de gestionar los contenidos digitales de una persona tras su fallecimiento. Es decir, regular el destino, utilización o incluso la supresión de esta información.
Piénsese en que un fallecido ha mantenido correos electrónicos, perfiles y opiniones en redes sociales, blog, etc. La regla general es que las personas vinculadas al fallecido y los herederos podrán disponer de los mismos. A menos que el fallecido lo hubiera prohibido expresamente.
Pasando ahora al verdadero contenido de la LOPDyGDD, ¿qué opinión te merece la misma?
Bueno, es preciso partir de que a partir de mayo de 2018 entró ya en aplicación una norma europea que es directamente vinculante: el Reglamento General de Protección de Datos (RGPD). Por tanto, el legislador español debe respetar la misma y tiene un margen muy limitado de actuación. Pues de lo que se trata es de crear un marco homogéneo y uniforme de Protección de Datos en toda la Unión Europea, evitando que haya “paraísos” donde no se impongan sanciones, pues ello falsea la competencia entre los Estados. De hecho, las multas y otras sanciones vienen ya señaladas por el RGPD con importes que pueden llevar a ser muy elevados: hasta 20 millones de euros o el 4% del volumen de facturación global anual, lo que sea mayor.
España es un país, a mi juicio, de los más avanzados en la aplicación de la normativa. Acostumbrado ya a la existencia de multas administrativas, de manera que, comparativamente, tenemos mucho trecho recorrido, aunque ahora han cambiado las reglas del juego y sus importes.
¿Qué ha cambiado en tu opinión desde el punto de vista práctico en la nueva LOPD?
Decía que han cambiado las reglas del juego porque ahora debemos tratar de cumplir la normativa y además ser capaces de demostrarlo (responsabilidad proactiva). Esto es especialmente novedoso en lo relativo a qué medidas de seguridad y organizativas adoptar; pues ahora el RGPD nos anima a aplicar las mismas en función del “estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento. Así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”.
Esto obliga a pararse a pensar en qué es lo más conveniente y, en la práctica, a adscribirse a mecanismos de certificación de seguridad o a códigos de conducta. Así como a revisar si estamos obligados o no a contar con un Delegado de Protección de Datos, interno o externo. Creo que el resultado será mejor, aunque se pierda seguridad jurídica, pues antes contábamos con un reglamento de medidas de seguridad que, por otra parte, creo que tampoco hay que olvidar pues resulta muy valioso.
¿Y las multas no son desproporcionadas al ser tan elevadas?
Efectivamente da un poco de vértigo leer sanciones con máximos tan altos, pero hemos de recordar que las sanciones han de aplicarse a cada caso individual y ser siempre efectivas, proporcionadas y disuasorias. Esto quiere decir que no se puede imponer el mismo tipo de sanción a una persona física, o a una empresa pequeña, que a una multinacional.
Además, a mi juicio y aunque esto pueda discutirse, no debería acudirse inmediatamente a sancionar con una multa, debiéndose valorar en esta primera etapa la existencia del mecanismo del apercibimiento; pues de lo contrario las multas podrían perder su finalidad. El 3 de octubre de 2017 se aprobó una Guía al respecto por el Grupo de Trabajo del Ar. 29 de la derogada Directiva 95/46, que resulta muy útil.
La aplicación del régimen sancionador, además debe ser homogénea para toda la Unión Europea, pues lo contrario sería injusto y vulnerador de un evidente principio de igualdad, ya que ante una misma infracción, el resultado sanción debería ser equivalente en España, en Francia o en cualquier otro país de la Unión Europea. Esto se logrará con el tiempo y no de forma sencilla, pero el RGPD permite, con el denominado mecanismo de coherencia, articular medidas al respecto.
Y finalmente, ¿alguna recomendación o sugerencia ante la nueva LOPD?
Creo que puede ser muy interesante analizar el artículo 76 de la nueva LOPD y GDD, relativo a cómo graduar las posibles sanciones y, en concreto, al hecho de que se tendrá en cuenta para fijar la sanción que la empresa cuente con un Delegado de Protección de Datos, aunque no esté obligado a tenerlo. Sin duda la nueva LOPD y GDD consagra una nueva profesión, la del Delegado de Protección de Datos, a la que auguro gran recorrido y mucho éxito.
Muchas gracias Javier.
Gracias como siempre a vosotros.