Ley orgánica 3/2018

El 6 de diciembre de 2018 entró en vigor en España la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, la cual ha derogado (con excepción de los artículos 23 y 24) la hasta ahora vigente Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y tiene por objeto:

• Adaptar el ordenamiento jurídico español al RGPD.
• Garantizar los derechos digitales de la ciudadanía (incluido en el título X del texto).

A continuación, se indican las principales novedades de la LO 3/2018 en relación al RGPD y las incluidas en el título X citado:

1. Derecho a conocer el registro de actividades de tratamiento de las organizaciones públicas: Dichas organizaciones deberán hacer público su inventario de tratamientos que debe ser accesible por medios electrónicos.

2. Identificación de los ciudadanos en los actos administrativos: La nueva Ley impide el uso del conjunto del nombre, apellidos y número completo del documento de identificación de los ciudadanos en aquellos actos administrativos objeto de publicación o notificación por medio de anuncios.

3. Datos de personas fallecidas: Tras la entrada en vigor de la LO 3/2018 las personas vinculadas —familiarmente, o de hecho o sus herederos—, a una persona fallecida, pueden solicitar el acceso, la rectificación o supresión de los datos personales de la persona fallecida salvo que esta lo hubiese prohibido expresamente en vida o así lo establezca una ley (competencia que el RGPD delega a los estados miembro).

4. Menores:
   1. Consentimiento y derechos: La LO 3/2018 establece la edad mínima del consentimiento en 14 años. Aunque, no es aplicable al consentimiento informado en el ámbito de la salud, puesto que la Ley 41/2012 de autonomía del paciente establece que sea a los 16 años. Los titulares de la patria potestad podrán ejercer, en nombre de los menores de 14 años, los derechos de protección de sus datos personales.
   2. Educación digital: Se establecen nuevas obligaciones en el sistema educativo para garantizar la inserción del alumnado en la sociedad digital y en el aprendizaje de un uso seguro de los medios digitales.
   3. Difusión de datos: Se incluyen medidas para la protección de los datos de los menores en la red.

5. Inclusión en sistemas de información de solvencia crediticia: los “ficheros de morosos”: Podrá incluirse a los ciudadanos en los sistemas de información de solvencia crediticia cuando mantengan una deuda de más de 50 euros con algún prestador de servicios, pero no podrán estar registrados en estos sistemas más de 5 años, a contar desde la fecha de vencimiento de la obligación de pago.

6. Limitación de la actividad publicitaria de las empresas: las “listas Robinson”: Los ciudadanos pueden registrarse en los sistemas de exclusión publicitaria (las conocidas como “listas Robinson”) para evitar la publicidad no deseada.

7. Derechos de los empleados: Se garantiza el derecho a la intimidad de los empleados en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de audio, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de la existencia de los cuales deberán ser informados de manera expresa, clara e inequívoca

8. Derecho al olvido en redes sociales y otros servicios equivalentes: Cualquier ciudadano puede solicitar que se supriman los datos que él mismo ha publicado en las redes sociales y otros servicios de la sociedad de la información equivalentes. Además, podrá solicitar, en ciertos supuestos, la supresión de los datos que le conciernan y que hayan sido facilitados por terceros para su publicación en estos mismos servicios.

9. Medidas de seguridad en las administraciones públicas: Todas las organizaciones del ámbito del sector público aplicarán las medidas de seguridad establecidas por el Esquema Nacional de Seguridad (ENS) para evitar la pérdida, alteración o acceso no autorizado de los tratamientos de datos personales.

10. Amonestaciones públicas: Cuando las infracciones por incumplimiento del RGPD y de la LO 3/2018 sean imputables a autoridades y directivos y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución que se dicte se incluirá una amonestación con identificación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o en el boletín autonómico que corresponda.