Víctor Jiménez habla del Registro Interno de Actividades y otros nuevos cambios de la Ley orgánica 3/2018
El pasado día 6 de diciembre se publicó en el Boletín Oficial del Estado la nueva Ley orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales. Entrevistamos a Víctor Jiménez Carbayo, responsable de protección de datos de una multinacional alemana en España. Además, Víctor Jiménez es profesor-tutor del Curso de Experto Universitario en Delegado de Protección de Datos impartido por la Alta Escuela de Dirección y Administración de Empresas, sobre esta materia.
Víctor Jiménez, en tu opinión, ¿cuáles son los principales cambios que incluye esta Ley?
Esta Ley Orgánica adata el Reglamento General de Protección de Datos, que entró en vigor el pasado 25 de mayo, al ordenamiento jurídico español. Hay varios cambios, pero se centran todos en desarrollar los puntos que el Reglamento no acaba de definir.
Se ha hablado mucho del consentimiento, que hora debe ser expreso en todo caso. ¿Es eso así?
Como norma general sí, pero hay varias excepciones. Si bien con la LOPD bastaba con que una persona no indicase lo contrario para que una entidad pudiese utilizar sus dato. En la actualidad, el principio es justo el contrario: no se pueden utilizar más datos que aquellos de los que tenemos consentimiento expreso por parte del interesado.
No obstante, el artículo 6.1 del Reglamento indica que, bajo ciertas circunstancias, como por ejemplo: el cumplimiento de una obligación legal o contractual o la apreciación de interés legítimo de la empresa, no es necesario contar con él.
Víctor Jiménez, ¿los derechos de los interesados se mantienen o hay alguno nuevo?
Si bien los derechos de Acceso Rectificación, Cancelación (ahora llamado “supresión”) y Oposición se mantienen prácticamente inalterados. Se añaden dos más de nueva cuña: el derecho de limitación del tratamiento. El cual consistente en solicitar que un determinado dato desaparezca de las bases de datos públicas; y el de portabilidad, que consiste en la posibilidad de pedir que un dato se traspase de un responsable a otro.
Con la LOPD de 1999 y el Real Decreto que la desarrollaba se establecían claramente tres niveles de protección de datos. ¿Cómo se determina esto ahora?
Efectivamente, antes había tres niveles de protección: básico, medio y alto. Mientras que ahora hay únicamente dos categoría de datos: los especialmente protegidos y todos los demás. Ello implica que las medidas de seguridad sean más estrictas en los datos de especial nivel de protección; que son aquellos que se refieren a la orientación sexual; la ideología (en sentido amplio) o la salud de una persona; así como aquellos datos genéticos o biométricos de la misma.
Entonces, ¿qué pasa con los ficheros de titularidad privada?
Este es otro de los cambios más relevantes. Hasta ahora, han existido un sistema de inscripción pública de ficheros en la AEPD -Agencia Española de Protección de Datos- (mediante el llamado “sistema NOTA”); mientras que ahora se ha creado una herramienta que lo sustituye: el Registro Interno de Actividades (art. 30 del Reglamento).
Con la “extinción” de los ficheros de titularidad privada. Este acceso era público para cualquier persona que desease conocerlos, se ha trasladado una información similar a un documento interno de la empresa llamado Registro Interno de Actividades.
El cual debe contener, para cada categoría de datos, la siguiente información: qué datos concretos se tratan en esa categoría; quién los gestionará; con qué finalidad; cuál es la legitimación del tratamiento; qué medidas de protección se adoptarán; durante cuánto tiempo se conservará el dato y si habrá o no una transferencia internacional (fuera de la UE, se entiende) del mismo.
La entrada en vigor del Reglamento General de Protección de Datos y, ahora, la nueva LOPD, derogan la normativa que existía antes. El Real Decreto 1720/2007, de desarrollo de la antigua LOPD, indicaba algunas cuestiones concretas que se debían crear. ¿Qué se debe hacer ahora, Víctor Jiménez?
Primero, un matiz: la LOPD no ha quedado totalmente derogada, sino que sus artículos 22 a 24 siguen en vigor. Sin embargo, ello no afecta a la mayoría de las empresas, dado que trata de ficheros titularidad con las Fuerzas y Cuerpos de Seguridad del Estado.
En cuanto a las nuevas medidas, es cierto que antes la regulación era externa: este RD establecía un “listado” de medidas posibles a adoptar y de acciones concretas a llevar a cabo para cumplir con las obligaciones en materia de protección de datos.
No obstante, la nueva regulación deja un campo abierto a la imaginación de cada responsable. Según su leal saber y entender de su realidad como organización y de su entorno, siempre y cuando proteja la intimidad lo suficiente.
Además, a efectos prácticos, el “Documento de Seguridad en Protección de Datos” tiene un contenido totalmente distinto del anterior, siendo distinto para cada entidad. Se crea, además, la figura del Delegado de Protección de Dato; obligatoria en algunos casos. Se obliga a hacer evaluaciones de impacto y análisis de riesgos, cosa que no estaba revista en la L.O. 15/1999.
Víctor Jiménez de momento todo lo que has dicho hace referencia a las empresas y a su gestión interna, pero no has mencionado a los trabajadores. ¿Tienen algún derecho nuevo con la nueva legislación?
Los trabajadores, en tanto que personas titulares del Derecho a la Intimidad, han de ver sus datos protegidos por sus empresas lo mejor posible. En caso de que la empresa transmita esos datos a otras empresas, debe mediar un contrato de Encargado de Tratamiento.
El cual expresamente recoja los requisitos de esa transacción de datos. Sin embargo, hay un importante detalle a tener en cuenta: la nueva LOPD modifica el Estatuto de los Trabajadores y el Estatuto Básico del Empleo Público, de tal forma que añade un nuevo derecho, que es el derecho a la desconexión digital.
Este consiste en que, finalizada la jornada laboral, un trabajador tiene derecho a que no le “moleste” ninguna cuestión relacionada con el trabajo (llamadas a deshoras, emails que se deban contestar urgentemente…); sino que pueda conciliar su vida profesional con una vida personal plena y tranquila. No obstante, en mi opinión -apunta Víctor Jiménez- este derecho se va a infringir sistemáticamente, sobre todo al principio.
¿Por qué?
Primero, por una cuestión de cultura. En España hay pocos “empresarios” y muchos “amos”; que a veces olvidan que los trabajadores son más que meros elementos productivos con derechos y necesidades. Sobre todo en las pequeñas empresas, se pide a los trabajadores que hagan horas extra que no se pagan; y que estén siempre disponibles para lo que pudiera pasar.
El tema de las horas se está tramitando mediante una modificación del Estatuto de los Trabajadores. Pero el tema de la desconexión digital será un escollo que a muchos “amos” no les va a gustar tener que afrontar y que, en muchas ocasiones, simplemente lo obviarán. Es una cuestión de cultura empresarial.
Otro tema que te queríamos preguntar, Víctor Jiménez, es el de las sanciones. ¿Cómo queda, finalmente, el régimen sancionador?
Este tema no está tan claro como parece. La nueva LOD divide las infracciones entre muy graves, graves y leves, a pesar de que el Reglamento únicamente haga dos clasificaciones.
Además, en materia de prescripción, el límite máximo que se regula es muy inferior a los 10 millones de euros. Que es el máximo de una multa “leve”, salvo que se opte por imponer el 2% de los ingresos de la empresa, siempre que sea superior a esos 10 millones- detalla el experto Víctor Jiménez.
El sistema no queda nada claro, y hay muchas “puertas traseras”. Como por ejemplo el hecho de que antes de la sanción haya un apercibimiento previo que, de cumplirse, la evite. Ya ha habido alguna que otra sanción, así que no es ninguna broma ni ningún vacío legal en sentido estricto; pero el legislador debería detallado este tema con mucha más profundidad. Piensa, por ejemplo, que, si partimos de la base aproximada de que el máximo de una multa “leve” son 10 millones de euros y el de una multa “grave” son 20 millones.
El mínimo de una multa grave será 10 millones de euros y un céntimo, puesto que de lo contrario se sancionaría como leve. Sin embargo, a pesar de eso, el legislador español no cita esas cantidades ni de lejos.
En mi opinión (que no representa a la de nadie más que a mí mismo) -explica Víctor Jiménez- el sistema sancionador tan estricto que establece el Reglamento está pensado para las grandes empresas a las que les sale más a cuenta infringir la ley y pagar la multa que cumplirla.
No obstante y teniendo en cuenta cuáles son las empresas españolas más grandes: el legislador se muestra cauto a la hora de sancionarlas demasiado si incumplen; quizás para evitar que se enfaden y se vayan.
No puede imponer las sanciones tan ridículas que había hasta ahora, y tampoco puede fomentar que siga habiendo los incumplimientos que se han venido dando en los últimos años; pero lo que por encima de todo no puede es permitir que las grandes empresas se vayan de nuestro territorio a otros más permisivos en esta materia. Por lo que no se ha atrevido a poner un sistema sancionador real y efectivo.
Pero insisto, esto es sólo una opinión, que someto a cualquiera otra mejor fundamentada.
Finalmente, un fenómeno que hoy en día se ha de tener más en cuenta que nunca es el de las redes sociales. ¿Cómo afecta esta nueva Ley a este campo, Víctor Jiménez?
Ante todo, cada red social, al ser muchas de ellas extra europeas, se rige por una normativa distinta a la nuestra en algunos sentidos. No obstante, en tanto que operan en la UE (y habitualmente, cuentan con filiales aquí), deben respetar las disposiciones del Reglamento General de Protección de Datos: en cuanto a solicitar autorización expresa para tratar con datos personales; o para introducir cookies en los ordenadores o dispositivos mediante los que se accede a ellas.
Pero sí hay un detalle que debe tenerse en cuenta: la nueva LOD establece que se alcanza la mayoría de edad, a estos efectos, a los 14 años. Es decir, que un adolescente de esa edad puede tener los perfiles que quiera en las redes sociales que desee, sin mayores restricciones.
Esto es un amparo legal a la eterna reclamación de intimidad de todo adolescente -Víctor Jiménez ríe-. Pero, bromas aparte, también requiere que a partir de esa edad “alguien” les haya enseñado a tener la sensatez necesaria para navegar conscientemente por la red.
Muchas gracias por tu tiempo, Víctor Jiménez. Vemos que la nueva Ley cambia bastante las bases del sistema que teníamos hasta ahora.
Esperemos que esta oleada de información nueva que vamos recibiendo sirva para recordar a la población y a las empresas que existe una cosa llamada “protección de datos”; y que debe cumplirse a rajatabla, dado que las consecuencias, en caso contrario, pueden ser muy graves.