Administrativos Seguridad Social | Tema 22

Ley Orgánica 3/2018 de Protección de Datos Personales: principios, derechos y ejercicio

La protección de datos personales es un tema recurrente en las oposiciones a Administrativos de la Seguridad Social. Las preguntas suelen centrarse en los principios del tratamiento, la edad del consentimiento de menores, los plazos de los procedimientos ante la AEPD y las diferencias entre figuras como responsable y encargado del tratamiento. Dominar la estructura de la LO 3/2018 y su relación con el RGPD es fundamental para no fallar preguntas que parecen sencillas pero esconden matices técnicos.

Objeto y ámbito de aplicación de la LO 3/2018

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales tiene un doble objeto: adaptar el ordenamiento español al Reglamento (UE) 2016/679 (RGPD), aplicable desde el 25 de mayo de 2018, y garantizar los derechos digitales de la ciudadanía conforme al artículo 18.4 de la Constitución.

La ley se estructura en un Preámbulo, diez Títulos (arts. 1 a 97), 22 disposiciones adicionales, 6 transitorias, 1 derogatoria y 16 finales. Entró en vigor el 7 de diciembre de 2018, al día siguiente de su publicación en el BOE.

Su ámbito de aplicación abarca cualquier tratamiento total o parcialmente automatizado de datos personales, así como el tratamiento no automatizado de datos contenidos o destinados a un fichero. No se aplica a:

• Tratamientos excluidos por el artículo 2.2 del RGPD (actividades personales o domésticas, prevención e investigación penal por autoridades competentes)
• Datos de personas fallecidas (con excepciones del art. 3)
• Tratamientos sometidos a normativa de materias clasificadas

Se rigen por su propia legislación específica, con carácter supletorio del RGPD y la LO 3/2018, los tratamientos del Registro Civil, Registros de la Propiedad y Mercantiles, instituciones penitenciarias y régimen electoral general.

Datos de personas fallecidas

La LO 3/2018 introduce una regulación propia sobre los datos de fallecidos. Pueden solicitar acceso, rectificación o supresión las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos. El fallecido puede haber prohibido expresamente ese acceso, pero esa prohibición nunca afecta al derecho de los herederos a acceder a los datos de carácter patrimonial.

En caso de fallecimiento de menores, los representantes legales y el Ministerio Fiscal (de oficio o a instancia de parte) pueden ejercer estas facultades. Para personas con discapacidad, también pueden hacerlo quienes hubieran sido designados para funciones de apoyo.

Conceptos clave del RGPD aplicables a la LO 3/2018

El artículo 4 del RGPD define los conceptos que vertebran toda la normativa:

• Datos personales: toda información sobre una persona física identificada o identificable. Los datos de personas jurídicas (CIF, denominación social) quedan fuera del RGPD
• Tratamiento: cualquier operación sobre datos personales, automatizada o no (recogida, registro, conservación, consulta, supresión)
• Responsable del tratamiento: quien determina los fines y medios del tratamiento
• Encargado del tratamiento: quien trata datos por cuenta del responsable
• Consentimiento del interesado: manifestación de voluntad libre, específica, informada e inequívoca
• Seudonimización: tratamiento que impide atribuir datos a un interesado sin información adicional separada

Principios de protección de datos

El Título II de la LO 3/2018 (arts. 4 a 10) desarrolla los principios que rigen el tratamiento. El principio de exactitud exige que los datos sean exactos y actualizados. La inexactitud no será imputable al responsable si los datos fueron obtenidos directamente del afectado o de un mediador, siempre que haya adoptado medidas razonables de rectificación.

El deber de confidencialidad vincula a los responsables, encargados y a todas las personas que intervengan en cualquier fase del tratamiento. Este deber se mantiene incluso después de finalizar la relación con el responsable.

Consentimiento y menores de edad

Cuando el tratamiento se base en el consentimiento para una pluralidad de finalidades, debe constar de manera específica e inequívoca que se otorga para todas ellas. La principal novedad de la LO 3/2018 frente al RGPD es la fijación de la edad para prestar consentimiento en 14 años. Por debajo de esa edad, el tratamiento solo será lícito si consta el consentimiento del titular de la patria potestad o tutela.

Derechos de las personas

El Título III regula la transparencia, la información al interesado y el ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGPD: acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad y oposición, así como el derecho a no ser objeto de decisiones individuales automatizadas.

El responsable debe facilitar información clara sobre la identidad del responsable, los fines del tratamiento, la base jurídica, los destinatarios y los plazos de conservación. El ejercicio de estos derechos es gratuito y el responsable debe responder en el plazo que fija el RGPD.

Delegado de Protección de Datos

El Delegado de Protección de Datos (DPD) es una figura obligatoria en los supuestos del artículo 37.1 del RGPD y voluntaria en los demás casos. Su nombramiento debe comunicarse a la Agencia Española de Protección de Datos (AEPD) y, en su caso, a la autoridad autonómica. Debe acreditar conocimientos especializados mediante titulación universitaria.

Posición e independencia del DPD

El DPD actúa como interlocutor del responsable ante la AEPD. No puede ser removido ni sancionado por el responsable en el ejercicio de sus funciones, salvo que concurra dolo o negligencia grave. Se garantiza su independencia dentro de la organización. Si aprecia una vulneración, la comunica al órgano de administración y al responsable o encargado.

Intervención del DPD en reclamaciones

El interesado puede dirigirse al DPD antes de reclamar ante la AEPD. En ese caso, el DPD dispone de 2 meses para responder. Si la reclamación se presenta directamente ante la AEPD, esta la traslada al DPD, que tiene 1 mes para responder. Transcurrido ese plazo sin contestación, se aplica el procedimiento del Título VIII.

La Agencia Española de Protección de Datos

La AEPD es una autoridad administrativa independiente con personalidad jurídica propia y plena capacidad pública y privada. Se relaciona con el Gobierno a través del Ministerio de Justicia y actúa como representante común de las autoridades de protección de datos españolas en el Comité Europeo de Protección de Datos.

Su Presidencia es nombrada por el Gobierno, a propuesta del Ministerio de Justicia, por un período de 5 años, renovable por otro de igual duración. Está asesorada por un Consejo Consultivo cuyas decisiones no son vinculantes y que se reúne, como mínimo, una vez al semestre.

La AEPD elabora y aprueba su propio presupuesto, que se integra en los Presupuestos Generales del Estado. Las modificaciones presupuestarias inferiores al 3% sin incremento de gasto en personal las autoriza la Presidencia de la Agencia; hasta el 5%, el Ministerio de Hacienda; el resto, el Gobierno.

Procedimientos en caso de vulneración

Los procedimientos ante la AEPD se inician por dos vías: reclamación del afectado por falta de atención a sus derechos, o investigación de infracciones. En el primer caso, el plazo de resolución es de 6 meses (silencio positivo). En el segundo, el plazo es de 9 meses (silencio por caducidad y archivo).

La admisión a trámite debe notificarse en 3 meses; transcurrido ese plazo, se entiende admitida. Las actuaciones previas de investigación no pueden durar más de 12 meses desde el acuerdo de admisión. La AEPD puede adoptar medidas provisionales necesarias y proporcionales, como el bloqueo de datos o la cesación de su tratamiento.

¿Cuál es la edad mínima para prestar consentimiento según la LO 3/2018 y en qué se diferencia del RGPD?

La LO 3/2018 fija la edad en 14 años. El RGPD establece un mínimo de 16 años, pero permite a los Estados miembros rebajarla hasta los 13. España optó por los 14, lo que supone una de las pocas diferencias sustantivas entre la ley orgánica y el reglamento europeo. Por debajo de esa edad, se necesita el consentimiento del titular de la patria potestad o tutela.

¿Qué efectos produce el silencio administrativo en los dos tipos de procedimiento ante la AEPD?

Son opuestos. Si el procedimiento se inicia por falta de atención a los derechos del afectado y transcurren 6 meses sin resolución, el silencio es positivo (la reclamación se entiende estimada). Si el procedimiento es por investigación de infracciones y transcurren 9 meses, se produce la caducidad y el archivo de actuaciones. Es un error frecuente en examen confundir ambos plazos o sus efectos.

¿Pueden los herederos acceder siempre a los datos del fallecido?

No siempre. El fallecido puede haber prohibido expresamente el acceso a sus datos, y esa prohibición vincula a familiares y herederos. Sin embargo, existe una excepción absoluta: la prohibición nunca puede impedir que los herederos accedan a los datos de carácter patrimonial del causante. Esta distinción entre datos personales generales y datos patrimoniales es un matiz clave.

¿Qué plazos tiene el Delegado de Protección de Datos para responder reclamaciones?

Depende de la vía. Si el interesado se dirige directamente al DPD antes de acudir a la AEPD, el plazo de respuesta es de 2 meses. Si la reclamación se presenta ante la AEPD y esta la traslada al DPD, el plazo se reduce a 1 mes. En ambos casos, la falta de respuesta abre la vía del Título VIII de la LO 3/2018.