20 dic
2018

Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales: una aproximación a su exégesis y a sus efectos en el ámbito de las Entidades Locales


Francisco Javier Fuertes López

  • I. Del derecho a la intimidad a la garantía de los derechos digitales pasando por la protección de datos personales

  • A) A modo de introducción: de dónde venimos, adónde vamos

    Es un hecho cierto que en el día en el que se cumplía el cuarenta aniversario de nuestra vigente Constitución se publicaba en el Boletín Oficial del Estado la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD/18- (respetando la grafía que, en cuanto uso de mayúsculas y minúscula, emplea el Diario Oficial nacional).

    Se trata de una norma que, con rango de Ley Orgánica, se apoya directamente en la previsión efectuada en el art. 18.4 CE, precepto que, en el marco de la protección al derecho al honor, a la intimidad personal y familiar y a la propia imagen, establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

    Previsión que sirvió de fundamento a la promulgación de la LO 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales, norma que, posteriormente fue sustituida por la LO 15/1999, de 5 de diciembre, de protección de datos personales -LOPD/99-, Ley Orgánica con la que se transponía a nuestro ordenamiento interno la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

    Esta intervención de la Unión Europea se ha convertido, en el fondo y en la forma, en un elemento decisivo en la reforma de la LOPD/99. Revisión de nuestra regulación de la protección de datos de carácter personal que ha concluido con promulgación de la LOPD/18, tras un largo proceso que, propiciado por la propia evolución de la normas europeas, se ha extendido a lo largo de más de dos años y medio, desde la publicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -RGPD-.

    La LOPD/18, por otra parte y como su propia denominación indica, va más allá de la protección de datos personales de carácter personal, denominación con la que el Proyecto de Ley Orgánica fue presentado al Congreso en noviembre del año 2017, para integrar en su propio apelativo la mención a la garantía de los derechos digitales, razón por la cual más que referirnos a ella como LOPD/18 debiéramos hacerlo, en puridad, como LOPD-GDD/18.

  • B) La regulación de la protección de datos personales en la Unión Europea

    Como se acaba de señalar, la regulación nacional sobre la protección de datos personales ha sido consecuencia de la ordenación que sobre esta materia ha venido realizando la Unión Europea.

    En este sentido, conviene destacar que tanto en el origen de la LOPD/99 como de la LOPD/18 se encuentra en normas europeas; ahora bien, de muy distinta naturaleza, puesto que mientras con la LOPD/99, como ya se ha indicado, se transponía a nuestro ordenamiento interno la Directiva 95/46/CE, con la LOPD/18, tal y como se pone de relieve en su propio Preámbulo, lo que se pretende, en primer lugar, es lograr la adaptación del ordenamiento jurídico español al RGPD y completar sus disposiciones.

    Pero se trata, por tanto, de normas con muy distinta naturaleza. La nueva normativa de la Unión Europea (o no tan nueva, puesto que data del año 2016) es un Reglamento, norma que conforme a lo dispuesto en el art. 288 del Tratado de Funcionamiento de la Unión Europea -TFUE- tiene “alcance general y será obligatorio en todos sus elementos y directamente aplicable en cada Estado”. Los Reglamentos comunitarios, a diferencia de lo que sucede con las Directivas, no tienen que ser transpuestos (introducidos por medio de una norma propia) en el ordenamiento jurídico nacional, puesto que, como se acabad de indicar, se trata de normas jurídicas que, dictadas por la Unión Europea, son directamente aplicables.

    Y no se trata de una cuestión menor, o simplemente teórica. Los efectos de que la Unión Europea haya optado por regular mediante un Reglamento (lo que hasta ahora se había hecho por Directiva) significan que no hace falta la producción de acto normativo alguno por los Estados miembros, situación que no se ha sabido o querido entender por nuestro legislador nacional que se ha empeñado en regular, con una norma interna, lo que ya está regulado, y es aplicable sin necesidad de transposición alguna, por el Reglamento Europeo.

    Empeño regulador que encuentra su fundamento en que nos encontramos ante una materia, como es la protección de datos de carácter personal, que implica derechos fundamentales es preciso, de conformidad a lo dispuesto en el art. 81.1 CE que su regulación se efectúe por medio de Ley Orgánica.

    Ahora bien, si aceptamos este planteamiento, según el cual la ordenación en nuestro derecho interno de lo que ha sido previamente regulado por un Reglamento de la Unión Europea en materia de derechos fundamentales (recuérdese la existencia de la Carta de Derechos Fundamentales de la Unión Europea) requiere de la promulgación de una Ley Orgánica, habría que preguntarse qué sucedería si mañana el Parlamento Europeo y el Consejo aprobasen una modificación del Reglamento Europeo de Protección de Datos cambiando el sentido de unos de sus preceptos…

    Se trata, en definitiva, de una pérdida de perspectiva de lo que supone que nuestro país se haya integrado en la Unión Europea y, con ello, haya cedido parte de su soberanía. En otras palabras, se trataría de intentar resolver, en términos de jerarquía normativa, la ubicación de un Reglamento de la Unión Europea en relación con una Ley Orgánica nacional o la propia Constitución. Enredo que no se puede resolver desde la simple y sesgada perspectiva de la jerarquía normativa nacional.

  • C) Sobre la revisión de la LOPD/99 a raíz del RGPD

    El RGPD, de 27 de abril de 2016, fue publicado en el DOUE de 4 de mayo de 2016.

    Ahora bien, empezando por el último de sus artículos, el art. 99, se dispone, en cuanto a su entrada en vigor y aplicación, que entraba en vigor a los veinte días de su publicación en el DOUE, siendo aplicable a partir del 25 de mayo de 2018 de forma obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro.

    Se trata del primer elemento que se ha de tomar en consideración para intentar entender la revisión de la normativa nacional (la LOPD/99) para adaptarla a esa nueva ordenación de la Unión Europea, puesto que, efectivamente, se disponía de dos años para ello.

    Sin embargo, como ya se ha tenido ocasión de poner en evidencia, no es hasta noviembre de 2017 que el Gobierno remitió a las Cortes Generales el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (cuando ya había transcurrido año y medio desde la publicación del RGPD), de manera que cuando llegó el 25 de mayo no se había producido ninguna adaptación de la normativa nacional al nuevo régimen de la Unión Europea.

    Ello dio lugar (con un cambio de Gobierno de por medio) a que se dictara el RD-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, publicado en el BOE el 30 de julio de 2018), con entrada en vigor al día siguiente de su publicación, mediante el que quedaban derogadas todas las normas de igual o inferior rango que se opusieran a lo establecido en el referido RD-ley y, en particular, los arts. 40, 43 a 45, 48 y 49 LOPD/99, preceptos que se correspondían con la potestad de inspección de la Agencia de Protección de Datos y la totalidad del régimen de infracciones y sanciones con excepción de las relativas a las Administraciones Públicas (art. 46 LOPD/99).

    Entre tanto, continuaba la tramitación del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que, por el camino, muta su alcance y contenido, incorporando un importante catálogo de derechos digitales con los que se pretendía la regulación de Internet, de los medios de comunicación digital, de impacto de las nuevas tecnologías en las relaciones laborales, de la intervención de los menores en estos ámbitos, así como del derecho al olvido y del derecho al testamento digital, lo que dio lugar a la modificación de la denominación de la Ley Orgánica ya no solo como de Protección de Datos Personales, sino también como de garantía de los derechos digitales.

    Al mismo tiempo se aprovechaba la ocasión (no prevista en modo alguno en el proyecto de ley) para modificar -ahí es nada- las siguientes normas:

    • • LO 5/1985, de 19 de junio, del Régimen Electoral General -LOREG- (Disp. Final 3ª LOPD/18).
    • • LO 6/1985, de 1 de julio, del Poder Judicial -LOPJ- (Disp. Final 4ª LOPD/18).
    • • Ley 14/1986, de 25 de abril, General de Sanidad (Disp. Final 5ª LOPD/18).
    • • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa -LJCA- (Disp. Final 6ª LOPD/18).
    • • Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil -LEC- (Disp. Final 7ª LOPD/18).
    • • LO 6/2001, de 21 de diciembre, de Universidades (Disp. Final 8ª LOPD/18).
    • • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (Disp. Final 9ª LOPD/18).
    • • LO 2/2006, de 3 de mayo, de Educación (Disp. Final 10ª LOPD/18).
    • • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno -LT- (Disp. Final 11ª LOPD/18).
    • • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas -LPACAP- (Disp. Final 12ª LOPD/18).
    • • Texto refundido de la Ley del Estatuto de los Trabajadores -ET/15- (Disp. Final 13ª LOPD/18).
    • • Texto refundido de la Ley del Estatuto Básico del Empleado Público -TREBEP- (Disp. Final 14ª LOPD/18).

    Y, lo cierto, es que la Disp. Final 2ª LOPD/18 no da demasiadas explicaciones sobre los títulos competenciales sobre los que se sustentan estos cambios, más allá de los relativos a la modificación de las Leyes Procesales.

    Tal vez (y solo tal vez) hubiera sido suficiente con la derogación de la LOPD/99 y del RD-ley 5/2018 y la promulgación por el Gobierno, en el ejercicio de su potestad reglamentaria, de un nuevo Reglamento de Protección de Datos.

    No es ésa la situación en la que nos encontramos.

  • D) La situación tras la promulgación y entrada en vigor de la LOPD/18

    Con la entrada en vigor de la nueva regulación, la LOPD/18, la situación no es tan clara, ni desde un punto de vista de regulación tan limpia, como en un principio pudiera parecer. Y es que, tal y como pone de manifiesto el párrafo 2º del art. 1.a) LOPD/18, “el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica”.

    Resulta preciso insistir en que no se trata de una transposición de una Directiva. Ahora nos encontramos con un Reglamento de la Unión Europea y con una Ley Orgánica directamente aplicables… tal vez sea esa necesaria convivencia explique las casi doscientas referencias que en el articulado de la Ley (en la que no se corresponde con la garantía de los derechos digitales) se realizan, continua y machaconamente, tal que letanía jurídica, al Reglamento (UE) 2016/679.

    A eso se ha de añadir que la disp. derog. Única LOPD/18 hace desaparecer completamente el RD-ley 5/2018 (aptdo. 2º) y contiene una derogatoria tácita de cuantas disposiciones de igual o inferior rango contradigan, se opongan o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica (aptdo. 3º) y procede a la derogación de la LOPD/99, eso sí, sin perjuicio de lo previsto en la disp. adic. 14ª y en la disp. trans. 4ª LOPD/18 (aptdo. 1º), disposiciones en las que se establece que:

    1º. Las normas dictadas en aplicación del art. 13 de la Directiva 95/46/CE, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018 y, en particular, los arts. 23 y 24 LOPD/99, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas (disp. adic. 14ª LOPD/18).

    2º. Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la LOPD/99 y, en particular, el art. 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva ( disp. adic. 14ª LOPD/18).

    Nada se dispone en cuanto al RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD/99, sobre el que, eso sí, habrá que estar a lo dispuesto en la cláusula derogatoria tácita que, como ha quedado señalado, se establece en el aptdo. 3º de la Disp. Derogatoria Única LOPD/18.

    Más hubiera valido centrar los esfuerzos, en los dos años de los que se ha dispuesto para ello, en la redacción y promulgación de un nuevo reglamento que se antoja, más que necesario, imprescindible.

    Los elementos que hemos ido exponiendo nos permiten estar en posición de analizar las principales consecuencias que, del nuevo régimen jurídico, se derivan para la Administración Local.

  • E) Tratamiento y datos de carácter personal

    La LOPD/18 depende del RGPD. Es una pobre transcripción de la misma y, por sí mismo, resulta un texto incomprensible. Las remisiones al RGPD son continuas, por lo que es necesario acudir (continuamente) al texto de la norma comunitaria.

    Es lo que ocurre para entender determinados conceptos. Hay que acudir al art. 4 RGPD en el que se contienen las definiciones de los elementos que configuran la protección de datos.

    Es lo que sucede con conceptos como “datos personales” y como “tratamiento” (de esos datos personales).

    Hay que entender por “datos personales”“toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (art. 4.1 RGPD).

    Y la definición que se ofrece de “tratamiento” es al de “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (art. 4.1 RGPD).

    Los datos personales objeto de protección son los relativos a las personas físicas, identificadas o identificables. Y, en este sentido, se establece que “se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente”.

    Así, tal y como señala la Circular 3/2017, de la Fiscalía General del Estado:

    • “…no solo cabría entender como tales el nombre y apellidos sino también, entre otros, los números de identificación personal como el correspondiente al DNI, el número de teléfono asociado a un concreto titular (Informe Agencia Española de Protección de Datos nº 285/2006), el número de afiliación a la Seguridad Social o a cualquier institución u organismo público o privado, la dirección postal, el apartado de correos, la dirección de correo electrónico (…), la dirección IP (…) la contraseña/usuario de carácter personal, la matrícula del propio vehículo (…), las imágenes de una persona obtenidas por videovigilancia (…), los datos biométricos y datos de ADN (…), los seudónimos (…) los datos personales relativos a la salud física o mental de una persona (…) así como también los datos identificativos que el afectado utilice habitualmente y por los que sea conocido.”

    Todo ello, sin olvidar que la protección de datos de carácter personal es una cuestión que no resulta nueva para las Administraciones Públicas, al estar previsto en el art. 13.h) LPACAP, entre los Derechos de las personas en sus relaciones con las Administraciones Públicas, el de la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas, la obligación de que los Registros y archivos electrónicos de los organismos públicos cumplan con las garantías y medidas de seguridad previstas en la legislación en materia de protección de datos de carácter personal (arts. 16.1 y 17.3 LPACAP).

    Y, de igual manera, la previsión establecida en el art. 4.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -LRJSP-, conforme a la que las Administraciones Públicas velarán por el cumplimiento de los requisitos previstos en la legislación que resulte aplicable, para lo cual podrán, en el ámbito de sus respectivas competencias y con los límites establecidos en la legislación de protección de datos de carácter personal, comprobar, verificar, investigar e inspeccionar los hechos, actos, elementos, actividades, estimaciones y demás circunstancias que fueran necesarias, así como en las transmisiones de datos entre Administraciones Públicas (art. 155 LRJSP).

    Previsiones que en el ámbito de la Administración Local se concretan en aspectos específicos, como es el acceso a los datos del padrón municipal (Disp. Adic. 7ª de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local -LRBRL-) y la cesión de esos datos sin el consentimiento del afectado prevista en el art. 16.2.h) LRBRL.

  • II. Protección de datos de carácter personal y garantía de derecho digital en la Administración Local

  • A) Cuestiones generales en el ámbito de la Protección de Datos de carácter personal

    Las Entidades Locales, en la medida en que realizan el tratamiento de datos personales en los términos que hemos visto que define el art. 4 RGPD, se encuentran sometidas a las normas establecidas por el RGPD y por la LOPD/18.

    Y ello es así porque la LRBRL atribuye una serie de competencias a las Entidades Locales para las cuales es preciso el uso de datos de personas físicas, lo que nos sitúa en el tratamiento de datos de carácter personal por parte de las Administraciones Públicas.

    De esta forma, la Administración Local se encuentra sometida al régimen general establecido en el RGPD y en la LOPD/18, normas en la que también se efectúan algunas previsiones específicas en cuanto al tratamiento de datos personales efectuado por las Administraciones Públicas.

  • 1. Tratamiento de datos por consentimiento del afectado y tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

    El tratamiento de datos personales se fundamenta, como norma general, en el consentimiento del afectado. Así lo dispone el art. 6 de la LOPD/18 que necesita remitirse, en cuanto a lo que ha de entenderse por tal, al art. 4.1 RGPD, precepto en el que se establece que se entiende por consentimiento del interesado “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

    Ahora bien, aunque la LOPD/18 no lo explica adecuadamente, resulta necesario tener presente lo establecido en el art. 7 RGPD que, no conviene olvidarlo, es una norma directamente aplicable, precepto en el que se dispone que:

    • “1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
    • 2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
    • 3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
    • 4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

    Al lado de este principio general (tratamiento por consentimiento), el art. 6 RGPD contiene otras circunstancias que permiten el lícito tratamiento de los datos personales, como son y en lo que aquí interesan:

    • • El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (aptdo. c);
    • • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (aptdo. e);
    • • El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (aptdo. b).

    Por ello y en tanto que concurran alguna de estas circunstancias, el tratamiento de datos personales efectuado por las Administraciones Locales tienes cobertura y es lícito sin necesidad del consentimiento del afectado. Pero para ello resulta imprescindible que ese tratamiento se lleve a cabo en el ejercicio o desarrollo de las competencias atribuidas a la propia administración Local.

  • 2. Deberes generales

    El tratamiento de datos de las Administraciones Públicas se encuentra sometido a los deberes que, de manera general, establecen el RGPD y la LOPD/18.

    Es el caso de la necesidad de que esos datos sean exactos y estén actualizados, tal y como establecen el art. 4 LOPD/18 y el art. 5.1.d) RGPD; del deber de confidencialidad al que se encuentran sometidos los responsables y encargados de ese tratamiento, previsto en el art. 5 LOPD/18 y el art. 5.1.f) RGPD… pero de nuevo nos encontramos con una mayor precisión y claridad en las previsiones establecidas en el art. 5 RGPD que, bajo la rúbrica principios relativos al tratamiento, contiene las reglas básicas que ha de cumplir el tratamiento de datos de carácter personal, artículo que finaliza con un aptdo. 2 en el que se señala que "el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (responsabilidad proactiva)".

  • 3. Responsable del tratamiento y encargado del tratamiento

    La LOPD/18 regula los responsables y encargados del tratamiento en los arts. 28 a 34 y al delegado de protección de datos en los arts. 34 a 37.

    De nuevo hemos de dirigirnos al RGPD para encontrar el concepto de estas figuras.

    El art. 4.7 RGPD define al “responsable del tratamiento” (o, simplemente, responsable) como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”, a lo que añade que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.

    Y el art. 4.8 RGPD hace lo propio con la figura del “encargado del tratamiento” (o, simplemente, encargado) al que define como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

    En lo que aquí más interesa es preciso señalar que el art. 33.5 LOPD/18 establece que:

    • “En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679”.

    Previsión que, dirigida a las entidades que integran el sector público, nos vuelve a situar (como no puede ser de otra manera) en el tratamiento que para el encargado efectúa el RGPD y en las estipulaciones que, en particular (y en todo caso) ha de contener el contrato (u otro acto jurídico) que vincule al encargado respecto del responsable y en el que tiene que quedar establecido el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

  • 4. Delegado de Protección de Datos

    En cuanto al Delegado de Protección de datos, hay que partir del hecho de que el RGPD no nos ofrece, como tal, una definición de esta figura, si bien el inciso final del Considerando 97 del propio Reglamento se señala que “tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”.

    Por su parte, la redacción del art. 34.1 LOPD/18 puede dar lugar, en sus propios términos, a un equívoco en cuanto a la necesidad de las entidades que tienen la obligación de designar un delegado de protección de datos, y ello porque se señalan una serie de supuestos entre los que no figuran las Administraciones Públicas, puesto que en ese precepto hay una referencia al art. 37.1.a) RGPD en el que específicamente se indica que:

    • “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial…”.

    Designación sobre la que hay que tener presente que el art. 37.3 RGPD dispone que:

    • “Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”.

    Delegado de Protección de datos que, conforme a lo dispuesto en los arts. 37 a 39 RGPD y los arts. 34 a 37 LOPD/18:

    • 1º. Será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que tiene encomendadas.
    • 2º. Podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
    • 3º. Tendrá que gozar de independencia para el ejercicio de sus funciones, de manera que el responsable y el encargado del tratamiento garantizarán que:
      • a) No reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
      • b) No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
      • c) Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
    • 4º. Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
    • 5º. Podrá desempeñar otras funciones y cometidos, si bien el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

    En cuanto a la designación de delegado de protección de datos en el ámbito local, conviene destacar que, en principio, no hay inconveniente alguno para que asuma esa función (para que sea designado como tal) un funcionario con habilitación de carácter nacional de los que presta servicios en la propia Entidad Local (Secretarios, Tesoreros, Interventores previstos en el art. 92 bis LRBRL), siempre y cuando, eso sí, se cumpla con el resto de previsiones que se exigen para ello y que han sido objeto de exposición en los párrafos anteriores (capacidad, independencia…).

  • 5. Identificación de interesados

    La disp. adic. 7ª LOPD/18 contiene una previsión específica en cuanto a la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

    En el aptdo. 1 de la referida disposición se establecen las siguientes previsiones:

    • “Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.
    • Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
    • Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
  • 6. Personas fallecidas

    En cuanto a las personas fallecidas, se ha de partir de que, tal y como establece el art. 2.2.b) LOPD/18, esta ley no será de aplicación a los tratamientos de datos de personas fallecidas, si bien en el art. 3 LOPD/18 se establecen previsiones en cuanto a los datos de las personas fallecidas y, en especial, a los derechos que se reconocen a los familiares de los fallecidos para poder dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

    Y es que, como señala el Considerando 27 del RGPD, este Reglamento europeo no se aplica a la protección de datos personales de personas fallecidas, siendo los Estados miembros los competentes para establecer normas relativas al tratamiento de los datos personales de éstas.

  • B) Cuestiones específicas en ámbitos relacionados

    La normativa de protección de datos, en tanto que regulación de carácter sectorial, participa de las normas generales al tiempo que incide en otros sectores normativos. Buena prueba de ello es las modificaciones que por la propia LOPD/18 se efectúan en normas generales, algunas de las cuales resulta preciso destacar por su influencia en el ámbito local.

  • 1. Modificación de la LPACAP en cuanto a la aportación de documentos

    La Disp. Final 12ª LOPD/18 modifica los aptdos. 2 y 3 del art. 28 LPACAP.

    Conforme a los nuevos términos, los interesados “tienen derecho a no aportar que hayan sido elaborados por cualquier Administración” (en lugar de “no estarán obligados a aportar documentos…” que establecía la redacción anterior). A lo que se añade que “la administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello” y que “no cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección”.

    Asimismo, se elimina la presunción de que la consulta está autorizada por los interesados y el deber de informarles previamente de sus derechos en materia de protección de datos de carácter personal.

    De esta forma, la nueva redacción que se establece para el art. 28.3 LPACAP dispone que:

    • “…las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.”
  • 2. Transparencia

    La Disp. Final 11ª LOPD/18 introduce un nuevo art. 6 bis y modifica el art. 15.1 LT.

    En cuanto a la protección de los datos personales en el acceso a la información pública, se sustituyen las genéricas referencias a que la información solicitada contuviera “datos especialmente protegidos” por las más concretas a que se trate de datos personales que:

    • 1º. Revelen la ideología, afiliación sindical, religión o creencias (con limitación de acceso en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso).
    • 2º. Hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor (supuestos en los que el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley).
  • C) Garantía de Derechos Digitales

  • 1. Naturaleza de estos derechos

    En los arts. 79 a 97 LOPD/18 se introducen previsiones en cuanto a la garantía de los derechos digitales.

    Se ha de tener claro que se trata de cuestiones que, aunque relacionadas con los datos de carácter personal, no son parte integrante de los mismos, sin que procedan de la regulación efectuada en el RGPD.

    De hecho, estas cuestiones no formaban parte del proyecto de ley en su día remitido por el Gobierno, habiendo sido incorporadas en la fase final de la tramitación parlamentaria.

    Ello no quiere decir que no sean cuestiones relevantes (que lo son), pero tal vez debieran haberse regulado en una norma independiente y al margen de la LOPD/18.

    La normativa de protección de datos, en tanto que regulación de carácter sectorial, participa de las normas generales al tiempo que incide en otros sectores normativos. Buena prueba de ello es las modificaciones que por la propia LOPD/18 se efectúan en normas generales, algunas de las cuales resulta preciso destacar por su influencia en el ámbito local.

    Es más, la disp. final 1ª establece que, a pesar del carácter de ley orgánica de la norma, tienen carácter de ley ordinaria determinados preceptos, entre los que se encuentran:

    • • los arts. 79, 80, 81, 82, 88, 95, 96 y 97 del Título X;
    • • Las disp. adicionales, salvo la disp. adic. 2ª y la disp. adic. 17ª, que tienen carácter orgánico;
    • • Las disp. transitorias;
    • • Las disp. finales, salvo las disp. finales 1ª, 2ª, 3ª, 4ª, 8ª, 10ª y 16ª, que tienen carácter orgánico.

    De manera que únicamente determinadas cuestiones de las incluidas en esa parte de la LOPD/18 tiene carácter orgánico, como son:

    • • Derecho a la educación digital (art. 83).
    • • Protección de los menores en Internet (art. 84).
    • • Derecho de rectificación en Internet (art. 85).
    • • Derecho a la actualización de informaciones en medios de comunicación digitales (art. 86).
    • • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (art. 87).
    • • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (art. 89).
    • • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (art. 90).
    • • Derechos digitales en la negociación colectiva (art. 91).
    • • Protección de datos de los menores en Internet (art. 92).
    • • Derecho al olvido en búsquedas de Internet (art. 93).
    • • Derecho al olvido en servicios de redes sociales y servicios equivalentes (art. 94).

    Y, por ello, conviene destacar que el derecho a la desconexión digital en el ámbito laboral (previsto en el art. 88 LOPD/18) no tiene carácter de ley orgánica.

  • 2. Personal

    Las Disp. Finales 13ª y 14ª LOPD/18 proceden a modificar, respectivamente, el ET/15 y el TREBEP.

    En el primer caso, se procede a la adición de un nuevo art. 20 bis ET/15 bajo la rúbrica Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión y en el que se dispone que:

    • “Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.”

    Por su parte, la Disp. Final 14ª añade una nueva letra j) bis al art. 14 TREBEP, en la que se establece que:

    • “A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.”

    Vemos, pues, que se trata de disposiciones similares para el personal laboral y el personal funcionario.

    Por otra parte, se establece el derecho de los trabajadores y los empleados públicos (con expresa incorporación de estos términos) tanto a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador (art. 87 LOPD/18) como a la desconexión digital, a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar (art. 88 LOPD/18).

    Se trata, sin lugar a dudas, de un loable intento de regular situaciones que están generando problemas en las relaciones de trabajo y servicio, pero que no pasan de meros enunciados que precisan de la necesaria concreción en la práctica y que, a buen seguro, darán lugar a un importante número de conflictos en tanto no se delimite el contenidos de estos derechos y se precise su alcance por los órganos jurisdiccionales.

  • 3. Derecho al olvido

    El art. 93 LOPD/18 reconoce el derecho de toda persona a que “se olviden las cosas” y que no aparezcan, indefinidamente, en las búsquedas de Internet.

    Derecho que se constituye en obligación de las entidades que se dedican a recopilar información en Internet y que el art. 93.1 LOPD/18 fija en los siguientes términos:

    • “Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.”

    Ahora bien, el propio art. 93 LOPD/18, en su aptdo. 2, establece que el ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

  • III. A modo de conclusión

    De una forma muy sucinta y a modo de esquema, pudieran establecerse una serie de conclusiones generales:

    1ª. La norma general es que todos los que tratan datos personales de personas físicas están sometidos a la LOPD/18, Ley que, por muy orgánica que sea, no pasa de ser una mera prolongación o apéndice del RGPD.

    2ª. Se trata de una regulación que, en cuanto a la protección de datos de carácter personal, ya estaba vigente desde el momento en el que se produjo la entrada en aplicación del RGPD (25 de mayo de 2018).

    3ª. Se ha aprovechado la ocasión para modificar otras muchas cosas que impactan en nuestro quehacer diario, como sucede con la aportación de documentos a los procedimientos administrativos o con ese intento de regular el derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador o el derecho a la desconexión digital en el ámbito laboral.

    4ª. La LOPD/18 contiene previsiones que van más allá de la protección de datos (y, por lo tanto, de las previsiones del RGPD) al entrar en otro terreno como es el de la garantía de los derechos digitales, que no está cubierto, en consecuencia, por el RGPD, por lo que nos hemos encontrado de sopetón con un derechos adicionales que, no estando demasiado bien explicados (ni regulados), se van a tener que llevar a la práctica. Mejor hubiera estado su desarrollo separado e independiente de la protección de datos.

    5ª. Esta nueva regulación de la protección de datos personales y las innovaciones que se asocian en el ámbito de los derechos digitales suponen un importante impacto para la Administración Local, en especial para esas miles de Entidades Locales de pequeñas dimensiones y limitados recursos, para las que se genera un escenario que, sin lugar a dudas, está diseñado para las grandes Administraciones.