LOPD

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) fue una ley española que quedó derogada al entrar en vigor el RGPD en la Unión Europea el 5 de diciembre de 2018. Esta ley de protección de datos nació para dar respuesta a la necesidad de legislar sobre la privacidad de las personas, en un contexto de irrupción tecnológica.

Tras la entrada en vigor en la UE del Reglamento General de Protección de Datos (RGPD), en el Estado español se creó una ley adaptada. Así, actualmente está en vigor la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (de ahí las últimas siglas añadidas, GDD).

A mediados del siglo XX, surge la necesidad de regular el uso de datos personales para poder abordar la creciente adopción de nuevas tecnologías. Diversos organismos internacionales, como la ONU y el Consejo de Europa, comenzaron a impulsar la creación de normas para regular la privacidad. El objetivo era proteger el derecho fundamental de los ciudadanos a su intimidad, recogido en la Constitución Española de 1978, mucho antes de la LOPD y del RGPD.

Un gran hito que marcó el inicio de una serie de legislaciones sobre protección de datos personales fue el Convenio 108 del Consejo de Europa. Este tratado internacional de 1981 estableció los principios básicos para el tratamiento de datos personales.

A lo largo de los años, la normativa en materia de protección de datos ha ido evolucionando para adaptarse a los nuevos desafíos que plantea la sociedad digital:

1978: La Constitución Española reconoce el derecho fundamental a la intimidad personal y familiar en su artículo 18.4.

1992: Se crea la Agencia Española de Protección de Datos (AEPD) y se aprueba la LOPD, la primera ley española que regula de forma específica la protección de datos personales.

1995: La Unión Europea aprueba la Directiva 95/46/CE, que establece un marco común para la protección de datos en el ámbito europeo.

2016: Se aprueba el RGPD, una normativa más robusta y completa que sustituye a la Directiva 95/46/CE.

2018: El RGPD entra en vigor y la LOPD se adapta al RGPD mediante la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La protección de datos es un proceso continuo y se deberá seguir legislando al respecto. Deberá adaptarse a los nuevos avances tecnológicos, como la inteligencia artificial, y garantizar el derecho fundamental de las personas sobre su privacidad.

La Ley Orgánica de Protección de Datos se promulgó en España en 1999. En ese momento, la tecnología digital y el uso de datos personales se encontraban en pleno auge. La proliferación de Internet generó una creciente preocupación por la privacidad de los ciudadanos. Las personas comenzaban a comprar online y se volvía imprescindible dar respuesta a la necesidad de protección de los datos personales en el entorno digital.

Inspirándose en la búsqueda de protección de los derechos humanos en el contexto del tratamiento automatizado de datos que buscaba el Convenio 108, la LOPD fue la primera ley en España que regulaba este asunto.

En general esta ley española fue un gran avance en varios sentidos:

• Se reconocía el derecho de los españoles sobre el tratamiento de sus datos
• Definía obligaciones para las empresas que trataban información personal
• Se creó la Agencia Española de Protección de Datos (AEPD)

Sin embargo, todavía quedaba mucho recorrido para los avances tecnológicos y también a nivel jurídico. Una de las limitaciones de la LOPD era su carácter nacional, que impedía un marco regulatorio que integrase diferentes estados dentro de un mercado globalizado.

Otra limitación de la Ley Orgánica de Protección de Datos era que se centraba sobre todo en los datos automatizados. Además, las sanciones por incumplimiento eran poco significativas.

Con carácter supranacional, el RGPD entró en vigor en la UE buscando armonizar la protección de datos entre todos los estados miembros. Con el nuevo Reglamento europeo en el año 2018, se derogó la LOPD en España, sustituyéndola por la LOPDGDD.

Entre las mejoras que supuso el nuevo RGPD, destacan:

• Un enfoque más amplio, para datos automatizados y no automatizados
• Un aumento los derechos de las personas sobre sus datos (portabilidad, derecho al olvido…)
• Se introduce el concepto de consentimiento explícito en la ley
• Las empresas tienen nuevas obligaciones, como las evaluaciones de impacto
• La designación de un delegado de protección de datos se vuelve obligatoria para ciertas organizaciones
• Se establecen sanciones más severas por la falta de cumplimiento

Los ciudadanos españoles y de Europa en general lograban así un mayor control sobre sus datos. Con el RGPD, se fortalece así la privacidad de las personas, no solo frente a empresas europeas, sino a nivel mundial, siempre que traten datos personales de ciudadanos de la UE.

El RGPD coloca al individuo en el centro de la protección de datos. En general, el marco regulatorio actual es más sólido para ciudadanos y empresas, suponiendo un salto cualitativo respecto a las legislaciones anteriores.

En resumen, las personas en la UE tienen a día de hoy:

• más control sobre sus datos;
• más seguridad; y
• más transparencia.

Actualmente, los ciudadanos españoles tienen más derechos que con la LOPD. En concreto, el acrónimo ARSOPOL resume los derechos ciudadanos establecidos por el RGPD.

• Acceso a los datos
• Rectificación de datos personales
• Supresión en determinados casos (o derecho al olvido)
• Portabilidad de los datos
• Oposición a que se traten los datos
• Limitación del tratamiento

Todos estos derechos se resumen en uno: el consentimiento. El individuo debe consentir que se utilicen sus datos de carácter personal.

Las organizaciones que operan en el Espacio Económico Europeo o que manejan datos de ciudadanos de la UE, o el EEE en general, deben cumplir con el RGPD para evitar multas significativas y daños a su reputación.

En general se deben seguir siete pasos clave para poder estar al día en materia de protección de datos.

Las empresas deben identificar amenazas que podrían afectar a la privacidad de los datos. Además, es fundamental anticipar las consecuencias de posibles brechas de seguridad.

Hay dos tipos de medidas que se exigen a las organizaciones: técnicas y organizativas. Ambas son fundamentales para poder asegurar el cumplimiento de la normativa.

Las medidas técnicas pueden ser:

• Encriptación de datos personales
• Copias de seguridad regulares
• Control de acceso físico a las instalaciones de los datos

En cuanto a las medidas organizativas, estas son algunas de ellas:

• Designación de un responsable
• Formación del personal en materia de protección
• Creación de protocolos de respuesta

Hay muchas más medidas que se recogen en el RGPD y la LOPDGDD y que deben ser aplicadas por las empresas. Por eso es tan importante asesorarse con expertos y contar con las soluciones tecnológicas adecuadas.

La empresa debe designar a una persona o equipo encargado de supervisar el cumplimiento de la legislación. El Delegado de Protección de Datos (DPO, por sus siglas en inglés) actúa como punto de contacto entre los individuos y la empresa. Su función principal es garantizar la privacidad de los usuarios.

Es fundamental informar a las personas sobre el uso de sus datos de carácter personal. Además, se debe obtener un consentimiento libre, específico, informado e inequívoco del interesado. Una vez obtenido, las empresas deben registrarlo y documentarlo, para que quede constancia.

No basta con informar inicialmente a un usuario sobre el tratamiento de los datos. Además, se debe gestionar de forma continua el consentimiento. Esto es así porque en cualquier momento las personas físicas tienen derecho sobre su información.

La sucesora de la LOPD, es decir, la LOPDGDD, exige que se notifique a las autoridades sobre cualquier violación de datos. El organismo al que se debe informar es la Agencia Española de Protección de Datos (AEPD), que exige informarse en un máximo de 72 horas desde que se tenga conocimiento de la brecha de seguridad de datos de carácter personal.

Además, los usuarios también tienen el derecho a saber que sus datos han sido comprometidos. La notificación a los interesados debe realizarse lo antes posible.

Las empresas que quieran evitar sanciones y demostrar su compromiso por el cumplimiento deben llevar un registro de todas sus medidas en cuanto a tratamiento de datos.

La documentación exhaustiva también ayuda a identificar y corregir cualquier deficiencia en el tratamiento de datos. Además, permite dar una respuesta más ágil a las solicitudes de los interesados. Así, ayuda a la transparencia de la empresa, la mejora continua y la reputación, así como la fidelización de clientes.

Más allá de contar con un responsable del tratamiento de los datos y un encargado, y de designar en su caso a un DPO, las empresas pueden apoyarse en la tecnología para seguir el Reglamento de Protección de Datos y la LOPDGDD.

Por una parte, la AEPD pone a disposición de los ciudadanos y organizaciones una serie de recursos para entender y cumplir la normativa vigente. Éstas se pueden encontrar en la página web oficial de la Agencia Española de Protección de Datos, dentro de la categoría de Herramientas.

Además, hay una gran variedad de software LOPDGDD para todos los tamaños y sectores de empresas. Usercentrics CMP es una solución todo en uno para la gestión del consentimiento en los sitios web profesionales. No solo se trata de una herramienta intuitiva y completa, sino que además resulta asequible, con planes adaptados según las necesidades del negocio.

Hay una serie de materiales que pueden ayudar a las entidades a entender mejor el RGPD y a implementar las prácticas necesarias para el cumplimiento.

Se pueden encontrar muchos recursos educativos en la página de la AEPD, como vídeos, guías e infografías sobre tratamiento de datos. También muchas otras entidades y la propia administración pública ofrecen plantillas, cursos online, webinars y eventos, así como programas y herramientas varias, para cumplir la ley.

También existen diversos libros disponibles sobre el RGPD, tanto para principiantes como para expertos. Además, diversas webs especializadas detallan aspectos clave sobre qué es el RGPD y muchos otros temas.

A continuación ofrecemos una serie de respuestas clave a preguntas frecuentes sobre la LOPDGDD y el RGPD.

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.