Llei orgànica 3/2018, de 5 de desembre, publicada al BOE número 294, de 6 de desembre de 2018
10/12/2018
Aquesta llei orgànica consta de noranta-set articles estructurats en deu títols, vint-i-disposicions addicionals, sis disposicions transitòries, una disposició derogatòria i setze disposicions finals.
El títol I, relatiu a les disposicions generals, comença regulant l'objecte de la llei orgànica, que és doble. Així, en primer lloc, es pretén aconseguir l'adaptació de l'ordenament jurídic espanyol al Reglament (UE) 2016/679 del Parlament Europeu i el Consell, de 27 d'abril de 2016, Reglament general de protecció de dades, i completar les seves disposicions. En segon lloc, és també objecte de la llei garantir els drets digitals de la ciutadania, a l'empara del que disposa l'article 18.4 de la Constitució.
Destaca la nova regulació de les dades referides a les persones mortes, doncs, després d'excloure de l'àmbit d'aplicació de la llei el seu tractament, es permet que les persones vinculades al mort per raons familiars o de fet o els seus hereus puguin sol·licitar l'accés als mateixos, així com la seva rectificació o supressió, si s'escau amb subjecció a les instruccions del mort. També exclou de l'àmbit d'aplicació dels tractaments que es regeixin per disposicions específiques, en referència, entre d'altres, a la normativa que transposi l'esmentada directiva (UE) 2016/680, i es preveu en la disposició transitòria quarta l'aplicació a aquests tractaments de la Llei Orgànica 15/1999, de 13 de desembre, fins que s'aprovi l'esmentada normativa.
En el títol II, «Principis de protecció de dades», s'estableix que a efectes del Reglament (UE) 2016/679 no seran imputables al responsable del tractament, sempre que aquest hagi adoptat totes les mesures raonables perquè es suprimeixin o rectifiquin sense dilació, la inexactitud de les dades obtingudes directament de l'afectat, quan hagués rebut les dades d'un altre responsable en virtut de l'exercici per l'afectat del dret a la portabilitat, o quan el responsable dels obtingués del mediador o intermediari quan les normes aplicables al sector de activitat a què pertanyi el responsable del tractament estableixin la possibilitat d'intervenció d'un intermediari o mediador o quan les dades haguessin estat obtingudes d'un registre públic. També es recull expressament el deure de confidencialitat, el tractament de dades emparat per la llei, les categories especials de dades i el tractament de dades de naturalesa penal, s'al•ludeix específicament al consentiment, que ha de procedir d'una declaració o d'una clara acció afirmativa de l'afectat, excloent el que es coneixia com «consentiment tàcit», s'indica que el consentiment de l'afectat per a una pluralitat de finalitats cal que consti de manera específica i inequívoca que s'atorga per a totes, i es manté en catorze anys la edat a partir de la qual el menor pot prestar el seu consentiment. També es regulen les possibles habilitacions legals per al tractament fundades en el compliment d'una obligació legal exigible al responsable, en els termes previstos en el Reglament (UE) 2016/679, quan així ho prevegi una norma de Dret de la Unió Europea o una llei, que podrà determinar les condicions generals del tractament i els tipus de dades objecte del mateix així com les cessions que siguin procedents com a conseqüència del compliment de l'obligació legal, Aquest és el cas, per exemple, de les bases de dades regulades per llei i gestionades per autoritats públiques que responen a objectius específics de control de riscos i solvència, supervisió i inspecció del tipus de la Central d'Informació de riscos del Banc d'Espanya regulada per la Llei 44/2002, de 22 de novembre, de mesures de reforma del sistema financer, o de les dades, documents i informacions de caràcter reservat que estiguin en poder de la Direcció General d'Assegurances i Fons de Pens ions de conformitat amb el que preveu la Llei 20/2015, de 14 de juliol, d'ordenació, supervisió i solvència de les entitats asseguradores i reasseguradores.
Es podran igualment imposar condicions especials al tractament, com ara l'adopció de mesures addicionals de seguretat o altres, quan això derivi de l'exercici de potestats públiques o del compliment d'una obligació legal i només podrà considerar fundat en el compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable, en els termes previstos en el reglament europeu, quan derivi d'una competència atribuïda per la llei. I es manté la prohibició de consentir tractaments amb la finalitat principal d'emmagatzemar informació identificativa de determinades categories de dades especialment protegides, el que no impedeix que aquests puguin ser objecte de tractament en els altres supòsits previstos en el Reglament (UE) 2016/679 . Així, per exemple, la prestació del consentiment no donarà cobertura a la creació de «llistes negres» de sindicalistes, si bé les dades d'afiliació sindical podran ser tractats per l'empresari per fer possible l'exercici dels drets dels treballadors a l'empara de l' article 9.2.b) del Reglament (UE) 2016/679 o pels propis sindicats en els termes de l'article 9.2.d) de la mateixa norma europea.
També en relació amb el tractament de categories especials de dades, l'article 9.2 consagra el principi de reserva de llei per a la seva habilitació en els supòsits previstos en el Reglament (UE) 2016/679. Aquesta previsió no només arriba a les disposicions que es puguin adoptar en el futur, sinó que permet deixar fora de perill les diferents habilitacions legals actualment existents, tal com s'indica específicament, respecte de la legislació sanitària i asseguradora, en la disposició addicional dissetena. El Reglament general de protecció de dades no afecta a aquestes habilitacions, que segueixen plenament vigents, permetent fins i tot dur a terme una interpretació extensiva de les mateixes, com succeeix, en particular, pel que fa a l'abast del consentiment de l'afectat o l'ús de les seves dades sense consentiment en l'àmbit de la recerca biomèdica. A aquest efecte, l'apartat 2 de la disposició addicional dissetena introdueix una sèrie de previsions encaminades a garantir l'adequat desenvolupament de la investigació en matèria de salut, i en particular la biomèdica, ponderant els indubtables beneficis que la mateixa aporta a la societat amb les degudes garanties del dret fonamental a la protecció de dades.
El títol III, dedicat als drets de les persones, s'adapta al dret espanyol el principi de transparència en el tractament del reglament europeu, que regula el dret dels afectats a ser informats sobre el tractament i recull l'anomenada «informació per capes» ja generalment acceptada en àmbits com el de la videovigilància o la instal•lació de dispositius d'emmagatzematge massiu de dades (com ara les «cookies»), facilitant l'afectat la informació bàsica, si bé, indicant-li una adreça electrònica o un altre mitjà que permeti accedir de forma senzilla i immediata a la restant informació. Es fa ús en aquest Títol de l'habilitació permesa pel considerant 8 del Reglament (UE) 2016/679 per complementar el seu règim, garantint l'adequada estructura sistemàtica del text. A continuació, la llei orgànica contempla els drets d'accés, rectificació, supressió, oposició, dret a la limitació del tractament i dret a la portabilitat.
En el títol IV es recullen «Disposicions aplicables a tractaments concrets», incorporant una sèrie de supòsits que en cap cas s'ha de considerar exhaustiva de tots els tractaments lícits. Dins d'ells es pot apreciar, en primer lloc, aquells respecte dels quals el legislador estableix una presumpció «iuris tantum» de prevalença de l'interès legítim del responsable quan es duguin a terme amb una sèrie de requisits, el que no exclou la licitud d'aquest tipus de tractaments quan no es compleixen estrictament les condicions previstes en el text, si bé en aquest cas el responsable haurà de dur a terme la ponderació legalment exigible, en no presumir la prevalença del seu interès legítim. Al costat d'aquests supòsits es recullen altres, com ara la videovigilància, els fitxers d'exclusió publicitària o els sistemes de denúncies internes en què la licitud del tractament prové de l'existència d'un interès públic, en els termes que estableix l'article 6.1.e) del Reglament (UE) 2016/679. Finalment, es fa referència en aquest títol a la licitud d'altres tractaments regulats en el Capítol IX del reglament, com els relacionats amb la funció estadística o amb fins d'arxiu d'interès general. En tot cas, el fet que el legislador es refereixi a la licitud dels tractaments no enerva l'obligació dels responsables d'adoptar totes les mesures de responsabilitat activa que estableix el capítol IV del reglament europeu i en el Títol V d'aquesta Llei o
El títol V es refereix al responsable i a l'encarregat del tractament. Cal tenir en compte que la major novetat que presenta el Reglament (UE) 2016/679 és l'evolució d'un model basat, fonamentalment, en el control del compliment a un altre, que descansa en el principi de responsabilitat activa, el que exigeix una prèvia valoració pel responsable o per l'encarregat del tractament del risc que pogués generar el tractament de les dades personals per a, a partir d'aquesta valoració, adoptar les mesures que siguin procedents. Per tal d'aclarir aquestes novetats, la llei orgànica manté la mateixa denominació del capítol IV del Reglament, dividint l'articulat en quatre capítols dedicats, respectivament, a les mesures generals de responsabilitat activa, al règim de l'encarregat del tractament, a la figura del delegat de protecció de dades i als mecanismes d'autoregulació i certificació. La figura del delegat de protecció de dades adquireix una destacada importància en el Reglament (UE) 2016/679 i així ho recull la llei orgànica, que parteix del principi que pot tenir un caràcter obligatori o voluntari, estar o no integrat en l'organització del responsable o encarregat i ser tant una persona física com una persona jurídica. La designació del delegat de protecció de dades ha de comunicar-se a l'autoritat de protecció de dades competent. L'Agència Espanyola de Protecció de Dades mantindrà una relació pública i actualitzada dels delegats de protecció de dades, accessible per qualsevol persona. Els coneixements en la matèria es podran acreditar mitjançant esquemes de certificació. Així mateix, no podrà ser remogut, excepte en els supòsits de dol o negligència greu. És de destacar que el delegat de protecció de dades permet configurar un mitjà per a la resolució amistosa de reclamacions, ja que l'interessat podrà reproduir davant seu la reclamació que no sigui atesa pel responsable o encarregat del tractament.
El títol VI, relatiu a les transferències internacionals de dades, procedeix a l'adaptació del que preveu el Reglament (UE) 2016/679 i es refereix a les especialitats relacionades amb els procediments a través dels quals les autoritats de protecció de dades poden aprovar models contractuals o normes corporatives vinculants, supòsits d'autorització d'una determinada transferència, o informació prèvia.
El títol VII es dedica a les autoritats de protecció de dades, que seguint el mandat del Reglament (UE) 2016/679 s'han d'establir per llei nacional. Mantenint l'esquema que es venia recollint en els seus antecedents normatius, la llei orgànica regula el règim de l'Agència Espanyola de Protecció de Dades i reflecteix l'existència de les autoritats autonòmiques de protecció de dades i la necessària cooperació entre les autoritats de control. L'Agència Espanyola de Protecció de Dades es configura com una autoritat administrativa independent d'acord amb la Llei 40/2015, d'1 d'octubre, de règim jurídic del Sector Públic, que es relaciona amb el Govern a través del Ministeri de Justícia.
El Títol VIII regula el «Procediments en cas de possible vulneració de la normativa de protecció de dades». El Reglament (UE) 2016/679 estableix un sistema nou i complex, evolucionant cap a un model de «finestreta única» en què hi ha una autoritat de control principal i altres autoritats interessades. També s'estableix un procediment de cooperació entre autoritats dels estats membres i, en cas de discrepància, es preveu la decisió vinculant del Comitè Europeu de Protecció de Dades. En conseqüència, amb caràcter previ a la tramitació de qualsevol procediment, cal determinar si el tractament té o no caràcter transfronterer i, en cas de tenir-lo, quina autoritat de protecció de dades ha de considerar-principal. La regulació es limita a delimitar el règim jurídic; la iniciació dels procediments, sent possible que l'Agència Espanyola de Protecció de Dades remeti la reclamació al delegat de protecció de dades o als òrgans o entitats que tinguin al seu càrrec la resolució extrajudicial de conflictes d'acord amb el que estableix un codi de conducta; la inadmissió de les reclamacions; les actuacions prèvies d'investigació; les mesures provisionals, entre les quals destaca l'ordre de bloqueig de les dades; i el termini de tramitació dels procediments i, si escau, la seva suspensió. Les especialitats del procediment es remeten al desplegament reglamentari.
El títol IX, que contempla el règim sancionador, parteix del fet que el Reglament (UE) 2016/679 estableix un sistema de sancions o actuacions correctives que permet un ampli marge d'apreciació. En aquest marc, la llei orgànica procedeix a descriure les conductes típiques, establint la distinció entre infraccions molt greus, greus i lleus, tenint en compte la diferenciació que el Reglament general de protecció de dades estableix en fixar la quantia de les sancions. La categorització de les infraccions s'introdueix només als efectes de determinar els terminis de prescripció, tenint la descripció de les conductes típiques com únic objecte l'enumeració de manera exemplificativa d'alguns dels actes sancionables que s'han d'entendre inclosos dins dels tipus generals establerts en la norma europea. La llei orgànica regula els supòsits d'interrupció de la prescripció partint de l'exigència constitucional del coneixement dels fets que s'imputen a la persona, però tenint en compte la problemàtica derivada dels procediments establerts en el reglament europeu, en funció de si el procediment es tramita exclusivament per l'Agència Espanyola de protecció de dades o si s'acudeix al procediment coordinat de l'article 60 del Reglament general de protecció de dades. El Reglament (UE) 2016/679 estableix amplis marges per a la determinació de la quantia de les sancions. La llei orgànica aprofita la clàusula residual de l'article 83.2 de la norma europea, referida als factors agreujants o atenuants, per aclarir que entre els elements a tenir en compte es poden incloure els que ja apareixien en l'article 45.4 i 5 de la Llei Orgànica 15 / 1999, i que són coneguts pels operadors jurídics.
Finalment, el títol X d'aquesta llei escomet la tasca de reconèixer i garantir un elenc de drets digitals dels ciutadans d'acord amb el mandat establert en la Constitució. En particular, són objecte de regulació dels drets i llibertats predicables a l'entorn d'Internet com la neutralitat de la Xarxa i l'accés universal o els drets a la seguretat i educació digital així com els drets a l'oblit, a la portabilitat i al testament digital. Ocupa un lloc rellevant el reconeixement del dret a la desconnexió digital en el marc del dret a la intimitat en l'ús de dispositius digitals en l'àmbit laboral i la protecció dels menors a Internet. Finalment, és destacable la garantia de la llibertat d'expressió i el dret a l'aclariment d'informacions en mitjans de comunicació digitals.
Les disposicions addicionals es refereixen a qüestions com les mesures de seguretat en l'àmbit del sector públic, protecció de dades i transparència i accés a la informació pública, còmput de terminis, autorització judicial en matèria de transferències internacionals de dades, la protecció enfront de pràctiques abusives que poguessin desenvolupar certs operadors, o els tractaments de dades de salut, entre d'altres
Les disposicions transitòries estan dedicades, entre altres qüestions, a l'estatut de l'Agència Espanyola de Protecció de Dades, el règim transitori dels procediments o els tractaments sotmesos a la Directiva (UE) 2016/680. Es recull una disposició derogatòria i, a continuació, figuren les disposicions finals sobre els preceptes amb caràcter de llei ordinària, el títol competencial i l'entrada en vigor.
Així mateix, s'introdueixen les modificacions necessàries de la Llei 1/2000, de 7 de gener, d'enjudiciament civil i la Llei 29/1998, de 13 de juliol, reguladora de la jurisdicció contenciosa administrativa, la Llei Orgànica, 6/1985, d'1 de juliol, del poder judicial, la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern, la Llei Orgànica 5/1985, de 19 de juny, del règim electoral general, la Llei 14/1986, de 25 d'abril, general de sanitat, la Llei 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica i la Llei 39/2015 , d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
Finalment, i en relació amb la garantia dels drets digitals, també s'introdueixen modificacions en la Llei Orgànica 2/2006, de 3 de maig, d'educació, la Llei Orgànica 6/2001, de 21 de desembre, d'Universitats, així com en el Text refós de la Llei de l'Estatut dels Treballadors i en el Text refós de la Llei de l'Estatut Bàsic de l'Empleat Públic.
Contingut relacionat
AQUESTA WEB UTILITZA GALETES
Les galetes són importants, influeixen en l''experiència de navegació, ens ajuden a protegir la privacitat i permeten realitzar les peticions que ens solicitin a través de la web.
Utilitzem galetes propies, aquestes són estrictament necessàries per el funcionamint bàsic de la web i, per tant, sempre estan actives. Altrament, també utilitzem galetes de tercers, aquestes són opcionals i es poden configurar des de la opció de Configurar Galetes.
Més informació en la nostra Política de Galetes.
Galetes estrictament necessàriesAquestes galetes són essencials per al funcionament del lloc web i no poden desactivar-se en els nostres sistemes. S'ajusten en resposta a les seves accions per proporcionar serveis com la personalització de les preferències de privacitat, la iniciació de sessió o l'ompliment de formularis.
Galetes de tercersAquestes galetes ens permeten rastrejar les visites i les fonts de trànsit, el que ens habilita per avaluar i millorar el rendiment del nostre lloc web.