El pasado viernes 7 de diciembre de 2018, una vez publicada en el BOE, entró en vigor la renovada Ley Orgánica de Protección de Datos: La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Esta norma supone la adaptación del marco normativo del Reglamento General de Protección de Datos en el espacio español y la incorporación de nuevos derechos del ámbito digital.
Esta nueva norma aporta claridad en aspectos en que el Reglamento General de Protección de Datos no permitía una interpretación clara y que generaba cierta inseguridad. Hay que tener presente que la nueva norma afecta a muchas otras normas, que también han sido adaptadas al nuevo marco normativo regulador del tratamiento de datos personales.
Novedades en datos de salud
En concreto, con respecto al sector salud y social, la nueva norma establece, en la disposición adicional decimoséptima, que el tratamiento de datos de salud y datos de carácter genético sólo será lícito si se ampara en una norma de rango legal o la normativa de desarrollo, incorporando una lista cerrada de leyes que habilitan el tratamiento. Asimismo, se establecen los criterios que deben cumplirse para que la investigación en salud pueda ser llevada a cabo conforme a la ley.
Por otra parte, la norma incorpora una disposición transitoria que establece los criterios que permiten la reutilización de datos de salud recogidas con anterioridad a la vigencia de la norma para la investigación médica y biomédica: tener el consentimiento para la finalidad concreta para la que se pretenden utilizar o tener el consentimiento para una finalidad concreta diferente del tratamiento que se pretende realizar cuando las finalidades de este tratamiento estén relacionadas con la especialidad médica o investigadora en que se integrara el estudio inicialmente previsto.
Se establece, también, que el tratamiento de datos personales relativos a la salud en el marco del interés público esencial, medicina preventiva o laboral, diagnóstico médico y la prestación de asistencia o tratamiento médico o social o el tratamiento por razones de interés público esencial en el ámbito de la salud pública deberá basarse, en todo caso, en una norma con rango de ley.
La normativa aprobada también regula la forma en que deben ser tratados los datos de las personas fallecidas, en especial en lo que se refiere a los accesos por parte de terceros. Las personas que, con carácter general, podrán acceder a estos datos son las personas vinculadas al difunto por razones familiares o de hecho o sus herederos.
En cuanto a las medidas de seguridad, establece que ciertos responsables vinculados al sector público deben adoptar las medidas previstas en el Esquema Nacional de Seguridad. Asimismo, en la evaluación de riesgos y de impacto, la nueva norma identifica ciertos criterios a aplicar en la metodología a emplear para estas tareas.
Sanciones y derechos digitales
La LOPDGDD incorpora un régimen sancionador específico que mantiene la categorización en tres niveles: infracción leve, grave y muy grave. Este es un hecho diferencial con el régimen establecido en el Reglamento General de Protección de Datos. También establece los plazos de prescripción de las sanciones y establece los sujetos que pueden convertirse en responsables.
El Título X de la norma ha sido incorporado a lo largo de su tramitación parlamentaria, y es el título que ha motivado el cambio de nomenclatura en añadir los derechos digitales, de nueva incorporación respecto a la ya derogada Ley Orgánica 15/1999, de Protección de Datos Personales y respeto del Reglamento General de Protección de Datos. Entre los derechos a destacar en el ámbito digital se debe mencionar el derecho a la desconexión y el derecho a la intimidad en el lugar de trabajo frente al uso de equipos de videovigilancia y de geolocalización.
También se identifica de forma específica el deber de confidencialidad, con más amplitud y profundidad de la mención al deber del Reglamento General de Protección de Datos. El deber de confidencialidad queda específicamente impuesto a toda persona que participe del tratamiento de datos de carácter personal y el deber estatutario de confidencialidad pasa a tener un carácter complementario.
La nueva normativa, la fórmula para meter de manera adecuada el Reglamento Europeo al ordenamiento jurídico español, es ya una realidad y pese a la polémica de la que viene acompañada y el anuncio de recurso de inconstitucionalidad de un grupo parlamentario, la norma incorpora una serie de derechos nuevos y de herramientas que permiten una interpretación más adecuada de la norma. Los responsables y encargados de tratamiento deben hacer una revisión del hecho hasta ahora para comprobar la adecuación de estas medidas a la normativa actual y dirigir las actuaciones futuras por el camino que esta norma señala.