La nueva Ley Orgánica de Protección de Datos (LOPD) estrena denominación y llega cargada de novedades. Por su interés para los profesionales de la mediación, repasamos algunas de las que debe tener en cuenta el sector privado.
Aprobada con un apoyo parlamentario del 93%, la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales entró en vigor a principios de diciembre de 2018. Se trata de una norma que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD) y que introduce novedades mediante el desarrollo de materias contenidas en el mismo.
Esas novedades afectan tanto a los ciudadanos como al sector privado. En el caso de este último, la Agencia Española de Protección de Datos (AEPD) posibilita descargar un documento que recoge las principales, desde la obligatoriedad de designar un Delegado de Protección de Datos en determinadas organizaciones hasta cómo debe garantizarse una mayor privacidad de los empleados.
Por su interés para los profesionales de la mediación, a continuación resumimos algunas de las novedades incluidas en dicho documento.
¿Qué obligaciones tiene el sector privado en materia de tratamiento de datos?
Como punto de partida, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales deja claro que las organizaciones están obligadas a informar a los ciudadanos, de forma comprensible y sencilla, sobre los aspectos más importantes del tratamiento de sus datos. En concreto, tienen que dejar claro:
- Quién trata los datos, con qué base jurídica y para qué finalidad.
- Y también han de informar sobre la forma de ejercer los derechos de acceso a los datos, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas, incluida la elaboración de perfiles.
Es importante tener en cuenta que las organizaciones no podrán denegar el ejercicio de estos derechos en el supuesto de que un ciudadano desee ejercitarlos de un modo diferente al que se le ofrezca.
¿Cuándo es obligatorio designar un Delegado de Protección de Datos?
Sobre el Delegado de Protección de Datos ya nos ocupamos en su día en el blog de Senassur. Una figura que, según la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, será obligatoria en las organizaciones:
- Cuyas actividades principales consistan en tratamientos de datos que requieran una observación habitual y sistemática de los ciudadanos a gran escala.
- O en el tratamiento a gran escala de categorías especiales de datos personales o datos relativos a condenas e infracciones penales.
El Delegado de Protección de Datos intervendrá en la resolución de reclamaciones. Y su designación será voluntaria para supuestos diferentes a los señalados.
¿Cómo se debe legitimar el tratamiento de datos personales de los ciudadanos?
En el caso de no existir otra base jurídica legitimadora, una persona, tras ser informada, debe aceptar el tratamiento de sus datos personales por voluntad propia, ya sea mediante una declaración o una acción informativa. Conviene recordar que, al igual que en el RGPD, se excluye el consentimiento tácito o por emisión.
Igualmente, cuando se pretenda que un usuario otorgue su consentimiento para una serie de finalidades, el mismo tendrá que constar de manera específica e inequívoca.
Y con el fin de reforzar sus derechos, no se le podrá denegar un contrato o la prestación de un servicio a un ciudadano si no consiente el tratamiento de sus datos personales para finalidades que no guarden relación con ellos.
¿De qué manera han de tratarse los datos de los menores de edad?
Otra novedad de la nueva ley es la relativa a los datos personales de menores. Cuando el tratamiento de datos esté legitimado por el consentimiento, este último debe ser otorgado por el menor si tiene, al menos, 14 años. Por debajo de dicha edad, serán sus padres o representantes legales los encargados de concederlo.
¿Qué sucede con los datos en las operaciones mercantiles?
En cuanto a los supuestos de operaciones de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama empresarial, lo tratamientos de datos, incluida su comunicación con carácter previo, se presumirán ilícitos. Siempre, eso sí, que sean necesarios para el buen fin de la operación y, cuando proceda, garanticen la continuidad en la prestación de los servicios.
Y si la operación no llegara a materializarse, la entidad cesionaria tendría que suprimir los datos, aunque no estaría obligada a bloquearlos.
Sobre este último apunte, la ley observa que, cuando proceda a su rectificación o supresión, el responsable de tratamiento de los datos está obligado a bloquearlos. Y eso significa que tendrá que identificarlos y reservarlos mediante técnicas que impidan que sean tratados. Y si no fuese posible, procederá a un copiado seguro de la información.
¿Cuándo han de consultarse las “listas Robinson”?
Si una empresa desea realizar una campaña publicitaria tendrá que consultar previamente las denominadas “listas Robinson” para no enviar publicidad a quienes estén registrados en ellas. Con una excepción: no será necesario realizar dicha consulta en el caso de los ciudadanos que hayan dado su consentimiento, antes o después de registrarse en una lista, para recibir publicidad de una entidad.
¿Cómo se garantiza una mayor privacidad de los empleados?
Asimismo, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales presta especial atención al derecho a la intimidad de los empleados en un lugar de trabajo –por ejemplo, una correduría de seguros–.
En este sentido, los trabajadores deberán ser informados de forma expresa, clara e inequívoca del uso de dispositivos de videovigilancia y de grabación de sonidos y otros aparatos digitales y sistemas de geolocalización. Por lo que respecta a la videovigilancia, el documento de la AEPD le dedica un apartado específico sobre la captación de imágenes, la supresión de los datos y el deber de información.
Además, la norma recoge sistemas de denuncia interna, incluso anónima, como mecanismo para que los empleados puedan poner en conocimiento de su entidad la comisión de infracciones que resultaran contrarias a la normativa general o sectorial que le fuera aplicable.
¿Cuándo puede incluirse a un ciudadano en un “fichero de morosos”?
Finalmente, en comparación con la anterior, la nueva ley contempla que los ciudadanos puedan ser incluidos en sistemas de información de solvencia crediticia cuando mantengan una deuda superior a 50 euros con un prestador de servicios. Y una vez registrados, no podrán permanecer en los considerados “ficheros de morosos” más de cinco años (contados desde la fecha de vencimiento de la obligación de pago).
Sin duda, tal y como quedó de manifiesto en el post “Mediación: principales retos en 2019”, el cumplimiento de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales supondrá uno de los grandes desafíos para los mediadores de seguros durante el presente año. Y por lo expuesto, queda patente que ajustarse a lo especificado en la norma requerirá la participación de profesionales.
Por ello, una vez más, desde el blog de Senassur recomendamos a los profesionales de la mediación ponerse en manos de expertos en “compliance”. Gracias a su buen hacer podrán adaptarse a un entorno legislativo cada vez más complejo y dedicarse exclusivamente a su actividad: la venta de seguros y la atención personalizada.
Artículos relacionados:
RGPD: ¿Qué es la responsabilidad proactiva?
RGPD: requisitos de ciberseguridad
