El text de la Llei Orgànica de Protecció de Dades, que acaba de ser aprovat, planteja noves obligacions que hauran de complir les companyies, com succeeix en relació a les denúncies internes.

La nova Llei Orgànica de Protecció de Dades (LOPD) és ja una realitat. Deixant de costat el nou Capítol X, que introdueix en el nostre ordenament un conjunt de garanties de drets digitals -dret a l'oblit, desconnexió digital, neutralitat o l'educació digital, entre molts uns altres-, i mancant que el text sigui publicat en el Butlletí Oficial de l'Estat, és important tenir en compte els canvis que introdueix el text i com afectaran aquestes novetats en el dia a dia de les empreses.

María González i Joaquín Cives, responsables de protecció de dades de Ecija, creuen que encara queden moltes incògnites per resoldre entorn del Reglament General de Protecció de Dades (RGPD) -per ser molt general- i a la nova LOPD. No obstant això, estan convençuts que és possible extreure certs aspectes essencials que qualsevol companyia hauria de tenir en ment per no incomplir les seves obligacions.

Denúncies internes

"El nou text legislatiu sobre protecció de dades aporta una mica de llum enfront de les diferents interpretacions que feia l'Agència Espanyola de Protecció de Dades (AEPD) i el Grup de Treball de l'Article 29 sobre els canals de denúncies", comenta González. En efecte, la LOPD introdueix la possibilitat que les denúncies puguin ser anònimes i obliga a aplicar importants mesures de confidencialitat.

La informació del soplón al canal de denúncies únicament es podrà mantenir durant un màxim de tres mesos. Una vegada passat aquest temps, les dades hauran de ser anonimizados i traslladats a un altre espai. Quant a l'obligatòria comunicació al denunciat, explica la lletrada, "aquesta podrà ser excepcionada si aquest intercanvi d'informació pogués posar en risc la culminació de la recerca".

Videovigilancia

La LOPD realitza una actualització dels requisits en els tractaments amb finalitats de videovigilancia. Segons assegura Cives, fins al moment només existia una instrucció de l'AEPD i ara en el nou text, per fi, es genera una base legitimadora regulada.

Aquest tractament es podrà realitzar sempre que la finalitat sigui preservar la seguretat de les persones i béns i instal·lacions o control laboral. Les imatges hauran de suprimir-se als 30 dies, excepte si es cometen actes contra la seguretat. En aquest cas, els enregistraments hauran de ser posades a la disposició de les forces de seguretat abans de les 72 hores des del succés. En cas de la videovigilancia d'empleats, aquests sempre hauran de tenir informació prèvia, expressa, clara i concisa.

Deure informar

Es duu a terme una simplificació de les obligacions de transparència i informació a l'afectat. En el sistema d'informació en dues capes -que adquireix rang normatiu-, es redueix el contingut mínim de la capa bàsica enfront de les recomanacions de la guia publicada per l'AEPD. A més, sempre s'haurà d'indicar una adreça electrònica o mitjà alternatiu per accedir de forma senzilla a la informació.

Dret d'accés

L'article 13 recull noves especificacions en el dret d'accés. De fet, planteja la possibilitat que es pugui crear un mòdul en el qual el titular de les dades pugui accedir a la seva informació de forma remota, directa, simple i segura.

"Segons explica l'article 12.5 del RGPD, en cas que l'interessat repeteixi aquest exercici en menys de sis mesos -tret que existeixi una causa legítima-, l'empresa podrà optar per negar-se a atendre la sol·licitud o aplicar-li un cànon raonable, que la companyia haurà de justificar".

Avaluació d'impacte

El RGPD imposa que, quan sigui probable que un tractament impliqui un alt risc per als drets i llibertats dels ciutadans, el responsable de tractament haurà de dur a terme una avaluació d'impacte. "Malgrat el que s'ha dit en la normativa, el RGPD no plantejava supòsits concrets enfront de l'avaluació d'impacte. El nou text de la LOPD, no obstant això, sí que ho fa en el seu article 28", aclareix González.

Entre els supòsits en què serà obligatori realitzar aquesta avaluació, cal destacar quan es donin situacions de discriminació, usurpació d'identitat, frau, pèrdues financeres o dany per a la reputació; la inclusió de dades sensibles o relacionats amb la comissió d'infraccions administratives; la transferència internacional de dades sense el nivell adequat de protecció; així com quan es tracti de persones en situació de vulnerabilitat, com a menors d'edat o persones amb discapacitat.

Règim sancionador

La LOPD es remitent al RGPD en relació al règim sancionador de les entitats privades. Aquestes van fins als 10 milions d'euros o 2% de la facturació anual o fins als 20 milions d'euros o 4% de la facturació anual, depenent de la gravetat de les irregularitats. No obstant això, no planteja sancions econòmiques a les administracions públiques. La norma també categoritza i planteja els terminis de prescripció dels casos lleus -1 any-; greus -2 anys- i molt greus -3 anys-.

Exclusió publicitària

"El text introdueix la possibilitat que cada persona seleccioni quin tipus de publicitat vol rebre", apunta Cives. El lletrat realitza aquesta afirmació posat que, a més dels serveis d'exclusions generals o sectorials, el nou text de la LOPD afegeix la possibilitat d'incloure sistemes de preferència perquè els ciutadans limitin la recepció de comunicacions comercials de forma personalitzada o les procedents de determinades empreses.

A l'efecte de considerar complerta l'obligació per part de les empreses de consulta prèvia a l'enviament de publicitat, serà suficient la consulta dels sistemes d'exclusió publicats per l'òrgan de control.

Què és i quan aplica l'interès legítim?

L'interès legítim és una de les excepcions que existeix a la necessitat del consentiment explícit de l'interessat. Aquesta situació permet al responsable tractar dades sempre que, en un exercici de ponderació entre l'interès legítim i els drets fonamentals de la persona, prevalgui el primer sobre els segons. "Segons ha explicat el Grup Article 29, per ser acceptat per la normativa vigent l'interès legítim ha de ser concret, real -i no especulatiu- i lícit en relació amb el dret nacional i de la Unió Europea", explica Joaquín Vices, de Ecija. Aquesta figura, que apareix recollida en l'article 6 del Reglament General de Protecció de Dades (RGPD) i que no es va incloure en l'anterior LOPD, ofereix avantatges i desavantatges respecte a l'aplicació que s'ha fet fins ara. Al primer apartat caldria apuntar que l'avaluació que es realitza abans de poder apel·lar a l'interès legítim serveix per identificar els riscos i a complir amb el principi de privadesa des del disseny. Un altre avantatge és que el sistema es flexibilitza i que no obliga a satisfer a l'interessat amb múltiples sol·licituds de consentiment innecessàries. En la columna de desavantatges es troben la necessitat de justificar l'interès legítim i el deure demostrar-ho. "Encara que el RGPD no explica com realitzar aquest tipus de justificació, el més adequat per a una empresa és actuar de manera proactiva i documentar el conjunt del procés d'anàlisi que es va realitzar abans de l'inici del tractament", afegeix María González, manager de protecció de dades de Ecija. La responsabilitat de protegir els drets dels interessats és major, ja que aquests no han assumit els riscos en consentir. El mateix ocorre amb el deure transparència, atès que s'han d'explicar quins són els interessos legítims.

Font: EXPANSION