El Gobierno aprueba la nueva Ley de Protección de Datos. ¿Y ahora qué?

¿Facilitará esta ley la implementación por las empresas de la normativa sobre protección de datos, o las sumirá aún más en el caos regulatorio?

Foto:

La pasada semana, apenas siete meses después de la entrada en vigor del Reglamento General de Protección de Datos europeo (RGPD), ha visto la luz la ansiada Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (Ley 3/2018, de 5 de diciembre), que viene a sustituir a la ya obsoleta Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en un intento de armonizar la normativa nacional a la europea y actualizarla a los retos que entrañan la globalización y la evolución tecnológica.

Sin perder de vista las dificultades que conlleva para el legislador regular una materia en constante cambio y con un alcance tan amplio, la nueva Ley Orgánica de Protección de Datos hace especial énfasis en los aspectos relativos al tratamiento de datos, la necesidad de la obtención del consentimiento del usuario para tratar sus datos y la mayor transparencia en cuanto a los usos de los mismos, todo ello para evitar las peligrosas prácticas de cesión de datos, en línea con el trabajo realizado por el legislador europeo.

En este contexto, y tras innumerables esfuerzos de las empresas para adaptarse al innovador y riguroso texto europeo durante los meses precedentes, surgen algunas dudas respecto a lo que implica la nueva ley: ¿serán válidas las medidas que ya han adoptado las empresas para adaptarse al Reglamento Europeo de Protección de Datos o han de adecuar sus políticas al nuevo texto legal? Dicho de otro modo: ¿ambos textos son complementarios o la ley española sustituye en algunos aspectos al Reglamento Europeo de Protección de Datos?

La nueva ley no solo no sustituye al reglamento europeo, sino que precisamente adapta nuestra legislación a la norma europea, y se aprueba en un intento de clarificar, concretar y dar respuesta a ciertos aspectos ya regulados por el reglamento de modo ambiguo y abierto a la interpretación.

La experiencia en el proceso de adaptación a la normativa europea ha puesto de manifiesto que la mayor de las dificultades con que se encontraban las empresas era la falta de concreción y claridad del reglamento, lo que ha entorpecido y dilatado su adaptación. De hecho, según la segunda edición del estudio 'Empresas y ciberseguridad', elaborado por Leet Security, tan solo un 12,3% de las empresas finalizó a tiempo su adaptación al Reglamento General de Protección de Datos.

Las políticas de protección de datos que se hayan implantado al amparo de la norma europea siguen siendo válidas y eficaces, y los empresarios no deberán realizar gran esfuerzo para adecuarse a la nueva ley si ya se habían adaptado al RGPD, salvo alguna pequeña actualización, como lo que respecta a políticas internas en materia laboral respecto al uso y tratamiento de los datos personales de trabajadores y el derecho a la desconexión laboral, que se recoge de manera muy abierta (y por tanto, posiblemente, de manera poco efectiva), dejando a las empresas y a los representantes de los trabajadores su implementación.

La ley permite la recogida y uso de los datos de contacto de empresas, empresarios y profesionales liberales, sin necesidad de contar con su consentimiento expreso, siempre y cuando se empleen únicamente en el desarrollo de su actividad empresarial y en su condición de prestadores de servicios. Esta es una de las cuestiones que más preocupaban a los empresarios tras la aprobación del reglamento, en tanto en cuanto desconocían cómo gestionar sus bases de datos de contactos empresariales y profesionales.

Destaca también en la ley, más que por su novedad por la polémica causada, las implicaciones de la adición de un artículo 58.bis a la Ley Orgánica de Régimen Electoral General mediante la Ley de Protección de Datos. En virtud del citado artículo, se legitima a los partidos políticos a utilizar los datos obtenidos en sitios web para crear y generar mensajes de comunicación electoral. Asimismo, considera el citado artículo que “el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial”.

Sin embargo, no se trata esta de una práctica nueva. Además, la Agencia Española de Protección de Datos ya se ha pronunciado al respecto manifestando que no se permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas ni el envío de información personalizada basada en perfiles ideológicos. Al margen de las perspectivas más extremas, que ven en esta regulación un posible espionaje político para ir perfilando a las personas por su ideología, no parece que suponga un cambio sustancial respecto a la práctica publicitaria que se ha venido practicando hasta el momento.

En conclusión, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales cambia poco el panorama del RGPD que entró en vigor el pasado mayo en lo que a implementación de medidas y cumplimento por parte de las empresas se refiere, clarificando, esto sí, algunos aspectos que habían quedado oscuros o ambiguos en el reglamento.

*Javier Goizueta es abogado y socio director de Vaciero, firma española de referencia en asesoramiento legal a empresas. Desde 1993 hasta 2014, ha sido abogado en Cuatrecasas, director en el área legal de KPMG y 'general counsel' de Gamesa en Latinoamérica. Ha dado clase de Derecho Civil y Mercantil en diversas universidades y másteres jurídicos.

Tribuna
Escribe un comentario... Respondiendo al comentario #1
0 comentarios
Por FechaMejor Valorados
Mostrar más comentarios