JORGE MONCLÚS / CUATRECASAS. Tras el tsunami del denominado efecto "RGPD" que, desde el pasado 25 de mayo, fecha en la que entró en vigor el Reglamento General de Protección de Datos (conocido con "RGPD" o "GDPR" por sus siglas en inglés), supuso para las empresas cuantiosos esfuerzos en adaptarse a la nueva normativa de protección de datos -además, de que nuestras bandejas de entrada se inundaran de correos electrónicos-, acaba de aprobarse una nueva norma sobre el tema, la denominada Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (nueva LOPD o LOPDGDD).
Del propio nombre de la ley ("garantía de los derechos digitales") ya se puede aventurar la importancia que tiene para el legislador el impacto de las tecnologías en nuestra sociedad, incluido el ámbito empresarial.
¿Sustituye esta norma al RGPD? ¿O lo complementa? ¿Qué implicaciones tiene para las empresas que recogen datos? ¿Deben cambiarse las políticas y procedimientos internos que acaban de ser actualizados al RGPD?
La respuesta es, y debe ser, tranquilizadora. La nueva LOPD no sustituye al RGPD, sino que, precisamente, adapta nuestro ordenamiento jurídico al RGPD, complementando y clarificando algunas cuestiones de gran relevancia.
La nueva LOPD valida y da cierto confort a la hora de realizar determinados tratamientos de datos. Así, respecto a los datos de contacto de empresas y de empresarios y profesionales liberales (algo muy habitual en las agendas de cualquier compañía) permite su recogida y uso sin necesidad de contar con su consentimiento; eso sí, cuando la finalidad sea únicamente mantener el contacto con esas personas. También regula en detalle cómo deben tratarse los datos obtenidos a través de videovigilancia o de los canales de denuncias internas (también conocidos como sistemas de whistleblowing).
Respecto a la figura del Delegado de Protección de Datos (o DPO, por sus siglas en inglés), la nueva ley recoge una serie de supuestos en los que, en todo caso, deberá nombrarse: como, por ejemplo, centros docentes, centros sanitarios, empresas de seguridad privada o colegios profesionales. Además, se establece que el DPO no podrá ser removido ni sancionado salvo en casos en los que actúe con dolo o negligencia grave. En todo caso, aclara la norma que el régimen sancionador (que, recordemos, puede alcanzar los 20 millones de euros o el 4% de la facturación mundial del grupo al que pertenezca la empresa infractora) no será de aplicación al DPO. Además, impulsa el nombramiento de DPO para entidades en las que no fuera obligatorio, al establecer que será un criterio positivo a tener en cuenta a la hora de graduar una eventual sanción.
La nueva ley también reconoce una serie de "derechos digitales" como el de acceso universal a Internet, a la neutralidad de la red, a la seguridad digital, o a la educación digital, incluyendo un derecho específico de rectificación en Internet aplicable tanto a medios digitales como a redes sociales.
Por último, el legislador ha aprovechado esta norma para regular el uso de medios telemáticos, sistemas de videovigilancia y geolocalización en el ámbito laboral, así como a reconocer un nuevo derecho a la desconexión digital fuera de la jornada laboral (como ya hizo Francia hace más de un año), aunque de un modo ambiguo y poco claro, al dejar en manos de las empresas y los representantes legales de los trabajadores la tarea de definir su ejercicio e implementación.
Se trata, por tanto, de una norma muy relevante para toda empresa que recoja y trate datos personales, con nuevas cuestiones clave en su día a día, que concreta y da cierta claridad en algunos puntos que el RGPD dejaba abiertos. Es posible que implique la modificación de ciertas políticas internas y procedimientos -sobre todo las que afectan al control de la actividad laboral- aunque, para tranquilidad de muchos, nuestro correo electrónico no volverá a colapsarse con nuevos envíos masivos de políticas de privacidad, al menos por el momento.
Fuente: www.expansion.com
No hay comentarios:
Publicar un comentario