Potser encara no has digerit del tot el Reglament general de protecció de dades (RGPD), que vam començar a ingerir el mes de maig del 2018 i amb el qual vam estrenar aquest espai temàtic, i ara ja tens damunt la taula, a punt per tastar, la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD). Amb aquesta onada de normes sobre el dret a la protecció de dades hi ha un risc d’afartament. La meva intenció és ajudar-te perquè en aquest petit tast de la LOPDGDD tinguis una bona digestió i no et quedis empatxat, sinó simplement satisfet.
Com és obvi, no em correspon analitzar aquí amb detall els 97 articles i les 45 disposicions addicionals, transitòries, derogatòria i finals, que conté la LOPDGDD, que deroga la Llei orgànica de protecció de dades (LOPD), tot i que, mentre no es transposi la directiva 2016/680 (àmbits policial i penal), seguirà vigent en aquest àmbit, i en particular els articles 22, 23 i 24. Em centraré només en alguns dels aspectes que al meu parer són més rellevants, en l’àmbit específic dels tractaments de dades efectuats per entitats del sector públic, sense referir-me al registre d’activitats del tractament, que ja va ser analitzat detalladament per la companya Joana Marí en un apunt anterior.
La primera qüestió a abordar és la interacció entre el RGPD i la LOPDGDD, i l’ordre de prioritat entre ambdues normes. Hi ha qui diu: “Ara que tindrem un altre cop una nova LOPD, la seva aplicació serà preferent?” La resposta és clara i contundent: no. La norma que regula de manera principal i preferent el dret fonamental a la protecció de dades és el RGPD, que té eficàcia directa i per tant s’aplica en primer terme. El que fa la LOPDGDD -tal com indica en el preàmbul i l’article 1- és desplegar i complementar el RGPD, així com depurar l’ordenament intern, amb l’objectiu últim de procurar seguretat jurídica. De fet, la intenció inicial era que aquesta llei que adequa i complementa el RGPD estigués ja vigent el maig del 2018, però la tramitació parlamentària al Congrés dels Diputats es va demorar per diverses circumstàncies.
Una de les raons del retard és que, en la fase final de la tramitació parlamentària, es va incorporar al que fins llavors havia de ser la nova LOPD un elenc de drets digitals que s’han agrupat en el títol X, alguns dels quals no tenen el rang orgànic. Aquests drets digitals afegits han significat l’ampliació del nom de la llei, i sorprèn l’ús de les majúscules i minúscules en el nom de la llei en la versió publicada en castellà al BOE del 6 de desembre de 2018: “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”. Per què la part dels drets digitals està en minúscules? Potser per les presses i el caràcter forçat amb què s’ha afegit? O potser perquè no els reconeixen el mateix nivell i el subconscient del legislador li ha jugat una mala passada? Sigui com sigui, a la versió publicada al BOE en català no hi ha aquesta distinció, sinó que està tot en minúscules, com indica la normativa lingüística catalana.
Entro ja a mencionar els aspectes de contingut de la LOPDGDD que considero que et poden interessar més, a risc de no incloure alguna qüestió que potser trobaràs a faltar. Per a aquesta selecció seguiré l’ordre de l’articulat.
Articles 3 i 96. Dades de les persones difuntes i dret al testament digital. El RGPD exclou les dades de les persones difuntes del seu àmbit d’aplicació, però autoritza els estats a regular-ne el tractament, opció aprofitada per la LOPDGDD. L’article 3 disposa que les persones vinculades al difunt puguin demanar-ne al responsable o a l'encarregat de les dades l’accés, la rectificació o la supressió, excepte que la persona difunta ho hagi prohibit expressament. El reglament que desenvolupava l’antiga LOPD (RLOPD) ja havia establert en l’article 2.4 la possibilitat de notificar l’òbit i sol·licitar la cancel·lació de les dades. Ara s’ha ampliat al dret d’accés, que ja era possible exercir-lo en l’àmbit de la història clínica (art. 18.4 de la Llei 41/2002).
També respecte de les persones difuntes, l’article 96 introdueix el dret al testament digital, que permet a les persones vinculades al difunt -entre d’altres- demanar als prestadors de serveis de la societat de la informació l’accés a continguts i donar instruccions sobre l'ús, la destinació o la supressió de les dades. No és possible, però, si la persona difunta ho ha prohibit expressament.
Article 7. Consentiment dels menors d’edat. Els setze anys que fixava el RGPD amb caràcter general com a “majoria d’edat en protecció de dades”, el podien rebaixar els estats fins als tretze. La LOPDGD l’ha fixat en catorze, i manté el que ja establia l’article 13 del RLOPD. A més, no es limita només als supòsits de serveis de la societat de la informació -com fa el RGPD- sinó a qualsevol àmbit, excepte d’aquells en què la llei exigeix l’assistència dels titulars de la pàtria potestat.
Article 8. Tractament de dades per obligació legal, interès públic o exercici de poders públics. Aquest precepte precisa els supòsits en què es poden tractar les dades personals a l’empara de les bases jurídiques incloses en els articles 6.1.c i 6.1.e del RGPD.
Articles 11 i 22. Transparència i deure d’informació a la persona afectada. El RGPD ha ampliat la informació que s’ha de facilitar a les persones interessades (art. 13 i 14). L’article 11 de la LOPDGDD permet facilitar només el que qualifica com “informació bàsica” (identitat del responsable, finalitat del tractament i possibilitat d’exercir els drets), i indicar una adreça electrònica que permeti accedir a la resta d’informació. En l’àmbit de la videovigilància, l’article 22 de la LOPDGDD permet la col·locació d’un dispositiu informatiu en un lloc prou visible amb la identificació de l’existència del tractament, la identitat del responsable i la possibilitat d’exercir els drets; o amb la inclusió en el dispositiu d’una adreça d’Internet amb aquesta informació.
Article 13. Dret d’accés. Si el responsable tracta moltes dades de la persona afectada i aquesta no especifica respecte de quines exerceix el dret d’accés, hom li pot requerir que concreti les dades o activitats de tractament a les quals es refereix, la qual cosa va en la línia del que ja establia l’article 27.2 del RLOPD. Així mateix, l’article 13 de la LOPDGDD considera atès el dret d’accés si es posa a disposició de les persones interessades un sistema d’accés remot, directe i segur, en consonància amb el que s'estableix en el considerant 63 del RGPD.
Article 19. Tractament de dades de contacte, d’empresaris individuals i de professionals liberals. La LOPDGDD presumeix que el tractament d’aquestes dades es fa a l’empara de l’interès legítim establert en l’article 6.1.f del RGPD; i com que aquest precepte no permet a les administracions públiques (AP) acudir a aquesta base jurídica, l’article 19.3 de la LOPDGDD les autoritza a tractar també aquests tipus de dades personals, quan es derivi d’una obligació legal o sigui necessari per exercir les seves competències.
Article 24. Sistemes d’informació de denúncies internes. S’habilita la creació i el manteniment de sistemes que permetin la presentació de denúncies internes anònimes, o amb garantia de confidencialitat si la persona denunciant s’identifica. Aquest sistema es disposa per a entitats del sector privat, però l’article 24.5 de la LOPDGDD afegeix que aquests principis i garanties de confidencialitat del denunciant o alertador també són aplicables als sistemes de denúncies internes que es puguin crear en les AP.
Article 27 i disposició final onzena. Tractament de dades relatives a infraccions i sancions administratives. Aquestes dades tenien la consideració d’especialment protegides en l’article 7.5 de l’antiga LOPD, però l’article 9 del RGPD no les ha inclòs en la llista de “categories especials”. L’article 27 de la LOPDGDD restringeix el tractament d’aquestes dades als òrgans que tramiten els procediments sancionadors, i únicament respecte de les dades que siguin necessàries. Fora d’aquests supòsits, només autoritza el tractament si hi ha consentiment de la persona interessada o una llei ho autoritza, i també els advocats i els procuradors per exercir les seves funcions. El que més sorprèn d’aquest precepte és que anuncia les restriccions “a l'efecte de l’article 86” del RGPD, el qual es refereix a la conciliació entre el dret a la protecció de dades i el dret d’accés a la informació pública, és a dir, una qüestió aliena a la regulada en l’article 27 de la LOPDGDD. Curiosament, en un altre precepte de la LOPDGDD s’han regulat també les infraccions administratives, en aquest cas amb una incidència directa en el dret d’accés a la informació pública. Em refereixo a la disposició final onzena, en la qual es modifica l’article 15.1 de la Llei 19/2013, per adequar-lo a les categories especials de dades de l’article 9 del RGPD. Així, en aquesta nova redacció del precepte pel qual es fixa la prohibició general de facilitar l’accés a informació que contingui dades d’aquestes categories, afegeix la menció a les dades genètiques i biomètriques, i manté la menció a les infraccions administratives. Per tant, encara que no tinguin la consideració de categoria especial, hom les equipara a tal categoria a l'efecte del dret d’accés a la informació pública.
Article 32. Bloqueig de les dades. Quan el RGPD regula la supressió de les dades no estableix la figura del bloqueig, sinó que sembla estar pensant en la destrucció. Però l’article 32 de la LOPDGDD ha mantingut l’esquema de l’article 16 de l’antiga LOPD, en què la cancel·lació donava lloc al bloqueig. A aquest respecte, l’article 32 de la LOPDGDD detalla que el bloqueig consisteix en la identificació i la reserva de les dades, amb l’adopció de mesures per impedir-ne el tractament, excepte per a la posada a disposició de les autoritats per exigir possibles responsabilitats, fins que transcorri el termini de prescripció per exigir aquestes responsabilitats, moment en què pertocarà destruir les dades.
Article 33 i disposició transitòria cinquena. Encarregat del tractament. L’article 33 de la LOPDGDD detalla diverses qüestions sobre aquesta figura, i l’article 33.5 es refereix a aspectes organitzatius en l’entorn del sector públic. D’altra banda, la disposició transitòria cinquena estableix que els contractes subscrits abans del 25 de maig de 2018 mantenen la vigència -sense necessitat d’adequar-los al RGPD- fins a un màxim de quatre anys més enllà, és a dir fins al 25 de maig de 2022. Admet, però, que qualsevol de les parts exigeixi l’adequació al RGPD i a la LOPDGDD.
Articles 34, 35, 36 i 37. Delegat de protecció de dades (DPD). La LOPDGDD desenvolupa i concreta moltes qüestions relatives a aquesta figura, de manera que en reforça la importància. Enumera casos de designació obligatòria de DPD, es refereix a qüestions relatives a la titulació i a la seva posició en l’organització, o el seu rol d’interlocutor amb les autoritats de control. A l’últim, estableix la possibilitat d’intervenció del DPD davant possibles reclamacions, com una mena de primera instància a la qual pot acudir voluntàriament la persona interessada per resoldre el problema. Fins i tot disposa que si s’acudeix a l’autoritat de control, aquesta podria -remarco el caràcter potestatiu- remetre la reclamació al DPD a fi que ho resolgui. Aquesta determinació normativa s’ha introduït també en els preceptes de la LOPDGDD en què es regulen els procediments, si bé en aquest cas només vinculen l’AEPD i no l’APDCAT.
Articles 72, 73 i 74. Tipificació d’infraccions. El catàleg d’infraccions del RGPD conté dues llistes (art. 83.4 i 83.5) en funció de la gravetat, amb uns tipus infractors molt genèrics. El que ha fet la LOPDGDD és concretar aquests tipus infractors i dividir-los en tres classes (molt greus, greus i lleus), per adequar-se a les exigències del principi de tipicitat de l’article 27 de la Llei 40/2015. Així mateix, s’estableixen els terminis de prescripció de la infracció, de tres, dos o un any, segons la gravetat de la infracció.
Article 77. Règim sancionador aplicable al sector públic. L’article 83.7 del RGPD permetia a cada estat decidir si les sancions econòmiques establertes en el RGPD s’aplicaven també a les entitats del sector públic. Com calia esperar, la LOPDGDD ha mantingut el sistema de l’article 46 de l’antiga LOPD, i conté una llista d’entitats exemptes, que no inclou, però, les societats anònimes públiques. En lloc de les multes estableix una “sanción de apercibimiento” ("advertència", en la versió catalana publicada en el BOE), i s’imposen les mesures correctores necessàries. Tot això sens perjudici que es proposin actuacions disciplinàries contra els empleats públics materialment responsables; i en cas que aquests siguin autoritats o directius i existeixin informes interns que avisen de la possible vulneració -cosa que podria haver fet el DPD-, s'ha de publicar en el BOE o el diari oficial autonòmic una amonestació amb la denominació del càrrec responsable.
Títol X. Drets digitals. En el preàmbul de la LOPDGDD se'n justifica la inclusió en la necessitat de reconèixer i garantir aquests drets, mentre no s’actualitzi la Constitució espanyola a l’era digital. Hi ha drets relatius a Internet (neutralitat, accés universal); altres per a l’àmbit laboral (desconnexió digital, protecció davant videovigilància o geolocalització); menors (educació digital o protecció a Internet), i també alguns que són una mena de concreció per a entorns digitals de drets generals de protecció de dades. Entre aquests últims, hi trobem per exemple el dret a l’oblit en cerques d’Internet i en xarxes socials, o el dret de rectificació a Internet.
Disposició transitòria setena. Identificació de les persones interessades en notificacions edictals i publicació d’actes administratius. En les notificacions edictals s’ha d’identificar la persona interessada exclusivament amb el número complet del DNI o equivalent. D’altra banda, en el cas de publicació d’actes administratius amb dades personals (p. ex., llistes de persones opositores), la identificació s’ha de fer amb nom i cognoms, “amb l’afegit de quatre xifres numèriques aleatòries” del DNI. Al meu parer, aquest afegit relatiu al DNI parcial es podria haver evitat en tots els casos en què amb nom i cognoms ja s'identifica la persona sense risc de confusió, solució que s’ajustaria millor al principi de minimització de les dades de l’article 5.1.c del RGPD. En tot cas, cal celebrar aquesta regla de la disposició transitòria setena, perquè assumeix el criteri que sempre ha mantingut l'APDCAT, en el sentit de considerar excessiva la publicació conjunta de nom i cognoms i el DNI sencer, pràctica que malauradament estava molt generalitzada. Cal confiar que a partir d'ara es corregeixi aquesta pràctica, però el problema seguirà respecte dels documents publicats anteriorment, que segueixen accessibles a Internet. Potser seria un bon moment per revisar la informació publicada, i aprofitar per adequar-se a la regla esmentada, o fins i tot per despublicar allò que ja no hauria de ser accessible, pel temps transcorregut.
Disposició transitòria vuitena i disposició final dotzena. Dades aportades per les persones interessades i potestat de verificació de les AP. La literalitat de l’article 28 de la Llei 39/2015 semblava que establia un supòsit de consentiment tàcit, que no s’ajustaria al RGPD. Aquesta situació s’ha modificat amb el nou redactat que la LOPDGDD dona a aquest precepte, en el qual es manté el dret de les persones interessades a no aportar documents que ja consten en poder de les AP, i la possibilitat de consultar aquestes dades mitjançant les xarxes corporatives, tret de l’oposició de la persona interessada. En connexió amb aquesta determinació, la disposició transitòria vuitena reconeix la potestat que tenen les AP de verificar l’exactitud de les dades facilitades per la persona interessada.
Fins aquí aquest repàs breu dels aspectes més rellevants de la LOPDGDD. Si encara t’has quedat amb gana, et facilito alguns enllaços que et poden servir per completar l’àpat: