Aquesta llei no només es refereix a la protecció de dades, sinó també al la garantia dels drets digitals (GDD).
Aquesta llei va ser aprovada pel congrés el 22 de novembre de 2018. La llei haurà de rebre ara el vistiplau del Senat abans d'entrar en vigor, cosa que previsiblement passarà abans de final de 2018.
La nova llei, que transposa el Reglament Europeu de Protecció de Dades (RGPD) a la legislació espanyola, estableix aspectes com ara el dret a l'oblit a internet, el testament digital o la desconnexió digital laboral, garantint una major protecció de la intimitat dels ciutadans, que han vist que la seva privacitat quedava molt més exposada al nou entorn digital. Així mateix, cal destacar que la futura normativa també regula altres qüestions clau com la protecció de dades a Internet, així com introdueix noves obligacions respecte al tractament de dades personals en la investigació biomèdica o en procediments transfronterers, per exemple.
Bàsicament poden quedar establerts en tres principis:
El titular de les dades personals té dret a saber qui és el responsable del tractament de la seva informació, i ha de tenir accés, de forma senzilla i immediata, a ell, que a més, ha d'informar sobre els mitjans disponibles per exercir els seus drets.
Per conèixer aquests drets la legislació espanyola remet a l'europea. En el RGPD s'estableixen:
Segons el RGPD ha l'obligació de designar un delegat de Protecció de Dades (DPD) en tres supòsits:
Aquest punt del Reglament europeu havia creat molta confusió ja que no quedava clar, sobretot pel imprecís dels punts 2 i 3, quan sí i quan no era obligatori tenir un DPD.
La LOPD s'ha curat en salut i estableix fins a 16 casos concrets en què, de manera taxativa, s'exigeix la seva existència. Entre d'altres: col·legis professionals, centres d'ensenyament, establiments financers de crèdits, asseguradores, empreses de serveis d'inversió, etc.
Els delegats han de ser coneguts per l'Agència de Protecció de Dades Espanyola i / o, si s'escau, les autoritats autonòmiques de protecció de dades. Tots dos organismes estan obligats a tenir una llista actualitzada d'aquests delegats.
I els delegats estan obligats a posseir una titulació universitària que acrediti els coneixements especialitzats en el dret i la pràctica en matèria de protecció de dades.
Si hi havia alguna cosa que ens mantenia preocupats en el RGPD era la incertesa pel que fa al règim sancionador.
La normativa europea preveu sancions molt elevades ja que, segons la infracció, les multes administratives poden arribar d'entre 10 i 20 milions d'euros, o entre el 2 i el 4% del volum de negoci anual global.
El problema és que no quedava molt clar en quins casos podies ser sancionat i per quanta quantitat.
La LOPD ha estat molt més concisa que la normativa europea. Manté la classificació de l'antic articulat entre molt greu, greu i lleu, segons el grau d'afectació de les dades. Així, el règim espanyol d'infraccions es divideix en:
Molt greus: Les que suposin una vulneració substancial del tractament i tinguin a veure amb l'ús de les dades per a una finalitat diferent de l'anunciada, l'omissió del deure d'informar a l'afectat, l'exigència d'un pagament per poder accedir a les dades pròpies emmagatzemats, transferència internacional d'informació sense garanties.
Greus: Les que suposin una vulneració substancial del tractament i tinguin a veure amb dades d'un menor rebudes sense consentiment, manca d'adopció de mesures tècniques i organitzatives necessàries per a l'efectiva protecció de dades o, per exemple, l'incompliment de l'obligació de nomenar responsable o encarregat de tractament de dades.
Lleus: Les restants que no quedin contemplades en els grups anteriors.
El concepte de la neutralitat de la xarxa es basa en el fet que tots els paquets de dades que viatgen per Internet han de ser tractats de la mateixa manera independentment del seu contingut. Encara que la xarxa no és neutral i mai ho ha estat, respectar aquest principi impedeix que les operadores estableixin un canal ràpid per a continguts als quals els interessi donar prioritat (de pagament).
A la pràctica, implica que un vídeo de gatets no sigui penalitzat pel que fa a la lucrativa retransmissió en directe d'un partit de futbol. "Els proveïdors de serveis d'Internet proporcionaran una oferta transparent de serveis sense discriminació per motius tècnics o econòmics", detalla la llei.
"Tots tenen dret a accedir a Internet independentment de la seva condició personal, social, econòmica o geogràfica", ha determinat el Congrés. En virtut d'aquesta llei, l'Estat ha de garantir "un accés universal, assequible, de qualitat i no discriminatori per a tota la població".
La redacció de la norma posa l'accent en superar la bretxa de gènere, la generacional (preveu "accions adreçades a la formació i l'accés a la gent gran", encara que no especifica quines) i la rural. També exigeix "garantir condicions d'igualtat per a les persones que comptin amb necessitats especials" en les seves connexions a Internet.
La Constitució espanyola estableix el dret a la privacitat de les comunicacions, sigui quin sigui el canal pel qual es transmetin. Tot i això, el Congrés ha cregut necessari recalcar en aquesta llei que "els usuaris tenen dret a la seguretat de les comunicacions que transmetin i rebin a través d'Internet". A més, afegeix que "els proveïdors de serveis d'Internet han d'informar els usuaris dels seus drets".
Tots els plans educatius han d'incloure a partir d'ara mòduls per aprendre a fer servir les noves tecnologies digitals. Els diputats han establert que aquest ús ha de ser "segur i respectuós amb la dignitat humana, els valors constitucionals, els drets fonamentals i, particularment amb el respecte i la garantia de la intimitat personal i familiar i la protecció de dades personals".
En el model actual les assignatures treballen diferents competències: logicomatemàtica, social, lingüística, etc. El dret a l'educació digital de la llei de protecció de dades afegeix la "competència digital" a la llista, encara que en Educació Primària, per exemple, es considera una "competència bàsica" des 2014. Ha de ser inclosa per les comunitats dins el bloc d'assignatures de lliure configuració, tot i que el Congrés no s'especifica en quin tram educatiu. A més, determina que els professors han de rebre la "formació necessària" per ser capaços d'impartir aquests continguts.
La llei fa referència al fet que els estudis universitaris també han ensinistrar els alumnes en l'ús dels mitjans digitals. A més, recalca que les administracions públiques han d'incloure en les oposicions proves específiques per avaluar el seu ús, així com sobre la protecció de dades quan els treballadors "exerceixin funcions que impliquin l'accés a dades personals". En 2018, tots dos punts estan ja àmpliament estesos.
El Congrés ha recollit en la llei que les famílies i tutors "procuraran que els menors d'edat facin un ús equilibrat i responsable dels dispositius digitals" per "garantir l'adequat desenvolupament de la seva personalitat i preservar la seva dignitat i els seus drets fonamentals".
La llei també avisa que una "intromissió il·legítima en els seus drets fonamentals" mitjançant la publicació de les seves imatges en xarxes socials serà perseguit per la Fiscalia. No obstant això no especifica cap cas concret, com pot ser la situació de les famílies que exposen als seus fills menors sistemàticament en les xarxes socials i obtenen un benefici econòmic d'això.
Un dels que ha generat més polèmica i un exemple de la duplicació de regulacions que ha provocat el títol sobre drets digitals de la llei de protecció de dades. El dret de rectificació està recollit una llei orgànica específica. En comptes de renovar-la per adaptar-la al context digital (es va aprovar el 1984), el Congrés ha redactat un altre dret de rectificació en aquesta nova llei, aquesta vegada amb el cognom "a Internet", de manera que passa a estar regulat en dues normes diferents .
La PDLI va denunciar que la primera redacció d'aquest nou dret de rectificació suposava una via de "censura" i una reducció de garanties judicials (la llei de 1984 obliga a passar pel jutge per canviar una informació, requisit s'eliminava en la regulació proposta) . Després de les crítiques, el Congrés va acabar rectificant la seva posició inicial. Ara, a més d'amb dades inexactes o falses en mitjans de comunicació, es podrà exercir el dret de rectificació per vulneració de l'honor o la intimitat tant contra mitjans com contra comentaris en xarxes socials.
Amb aquest dret Congrés reconeix la possibilitat de "sol·licitar motivadament dels mitjans de comunicació digitals la inclusió d'un avís d'actualització prou visible al costat de les notícies que el concerneixin". Els diputats especifiquen que aquesta modificació s'ha de portar a terme quan, com a conseqüència de fets que hagin tingut lloc després de la publicació de la notícia, aquesta hagi deixat de reflectir la seva situació actual "causant-li un perjudici". Sobre això, la llei fa referència particular a les decisions judicials que alterin altres anteriors.
Detalla la intimitat dels treballadors i funcionaris en l'ús dels dispositius electrònics necessaris per al treball i que els subministri el seu ocupador. Aquest només podran accedir-hi per "controlar el compliment de les obligacions laborals o estatutàries i de garantir la integritat d'aquests dispositius".
Les empreses i l'estat "d'establir criteris d'utilització dels dispositius digitals", en l'elaboració hauran de participar els representants dels treballadors, per determinar com i quan podran ser usats pel treballador o funcionari amb fins privats.
Un dels drets més publicitats i l'únic que es va filtrar durant el període de negociacions. Especifica que els caps no podran aprofitar les eines digitals, com ara xarxes socials o programes de missatgeria instantània, per contactar amb els seus treballadors fora de l'horari laboral o durant els seus períodes de descans.
El Congrés ha estipulat a més l'obligació de redactar "una política interna adreçada a treballadors, inclosos els que ocupin llocs directius, en la qual definiran les modalitats d'exercici del dret a la desconnexió" per part de l'empresa, "prèvia audiència dels representants dels treballadors".
Els ocupadors podran instal·lar càmeres per al control dels treballadors i empleats públics. No obstant això, només es podran instal·lar micròfons quan "siguin rellevants els riscos per a la seguretat de les instal·lacions, béns i persones derivats de l'activitat que es desenvolupi en el centre de treball". "En cap cas", han determinat els diputats, es permetrà la instal·lació de sistemes de videovigilància a "vestuaris, lavabos, menjadors" o llocs destinats a l'esplai dels treballadors.
Els ocupadors podran usar sistemes de geolocalització per comprovar la ubicació dels seus treballadors, sempre que s'informi als empleats i els seus representants "sobre l'existència i característiques d'aquests dispositius". "Igualment hauran informar sobre el possible exercici dels drets d'accés, rectificació, limitació del tractament i supressió", recull la llei.
Es reconeix el dret al fet que els convenis col·lectius estableixin "garanties addicionals dels drets i llibertats relacionats amb el tractament de les dades personals dels treballadors i la salvaguarda de drets digitals en l'àmbit laboral".
La llei estableix que els centres educatius i qualsevol persona que desenvolupi activitats amb menors d'edat haurà de comptar amb el consentiment del menor o dels seus representants legals. L'edat mínima per consentir es rebaixa des dels 16 als 14 anys.
El dret a l'oblit ha estat criticat per nombrosos especialistes per l'escassa reflexió sobre les seves conseqüències en el dret a la informació abans d'universalitzar. El Congrés també ha aprofitat la protecció de dades per donar-li una volta de rosca tot i que el seu àmbit d'aplicació es detalla en una norma superior d'aplicació directa, el Reglament General de Protecció de Dades europeu.
S'han aprovat dos drets a l'oblit. El primer es basa en la seva aplicació més: permet impedir que els cercadors associïn informació antiga al nom d'una persona. També s'atorga dret a exercir-lo quan les dades que apareguin en una recerca del seu nom siguin "inadequats, inexactes, no pertinents, no actualitzades o excessives o hagin esdevingut com a tals pel transcurs del temps, tenint en compte els fins per als quals es van recollir o tractar, el temps transcorregut i la natura i interès públic de la informació".
Es tracta d'una ampliació del dret a l'oblit per cobrir a les xarxes socials, tant per a les dades o informació personal (una imatge pot ser considerada una dada personal) que fos subministrada per l'interessat com si va ser per altres ciutadans. Detalla que "tota persona té dret a què siguin suprimits les dades personals que la concerneixen i que haguessin estat facilitats per tercers per a la seva publicació pels serveis de xarxes socials" quan aquests siguin "inadequats, inexactes, no pertinents, no actualitzades o excessius".
Si la pujada d'aquestes dades a les xarxes socials s'hagués produït durant la minoria d'edat de l'afectat, el Congrés ha determinat que aquesta retirada s'ha de produir "sense dilació".
Com la portabilitat d'un servei de telefonia mòbil però aplicat a les xarxes socials. Es reconeix el dret a transmetre continguts i dades personals d'una xarxa social a una altra de forma automàtica, "sempre que sigui tècnicament possible".
Es crea el dret a elaborar un testament amb instruccions específiques per als perfils de les xarxes socials. El Congrés també concedeix als familiars d'un mort la possibilitat de tenir accés a les dades referents a la seva vida digital si ho demanen. Fora que el mort deixi implícit en el seu testament el contrari, "les persones vinculades al mort per raons familiars" o els seus hereus podran accedir a les seves xarxes socials, al correu electrònic o als serveis de missatgeria instantània com Whatsapp, així com modificar o esborrar les dades que continguin. També podran decidir eliminar el perfil.