LOPD: todo sobre la Ley Orgánica de Protección de Datos

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, los Estados miembros han ido adaptando sus normativas nacionales para alinearlas con este marco europeo. En el caso de España, esta adaptación se materializó con la aprobación de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Esta norma complementa y desarrolla el RGPD en aspectos clave, introduciendo novedades importantes que afectan tanto a empresas como a entidades del sector público y a cualquier organización que trate datos personales.

En este artículo repasamos los principales artículos de la LOPDGDD, explicando su alcance de forma clara y directa. Desde el consentimiento de los menores, hasta el papel del Delegado de Protección de Datos, pasando por el régimen sancionador, derechos digitales o los sistemas de videovigilancia y denuncias internas, analizamos punto por punto lo más relevante de la ley para ayudarte a cumplir con ella.

Cabe precisar que el consentimiento no será la única base legitimadora que permita el tratamiento de datos personales de menores de edad. Por ejemplo, en el caso de centros educativos, el tratamiento de datos de menores de edad, podrá estar legitimado en:

• El ejercicio de la función docente, tal y como se indica en la Ley Orgánica de Educación.
• La relación contractual generada con las matrículas de los alumnos. 
• Un interés legítimo que prevalezca sobre los derechos y libertades de los interesados.

Por su parte, el consentimiento expreso (del menor o de su representante legal, en función de cada caso), operará en otro tipo de situaciones, como por ejemplo en la captación y publicación de imágenes de actividades en las que participen menores y que puedan ser publicadas a través de servicios de la sociedad de información, donde se requiere, en virtud del artículo 92 de la LOPDGDD, el consentimiento de forma expresa.

Es importante señalar que para que este consentimiento sea libre se deberá poder revocar en cualquier momento y que se deberá guardar evidencia documentada del mismo.

En cualquier caso, resulta fundamental la contratación de consultoría LOPD para poder hacer un adecuado análisis de la base legitimadora de un tratamiento de datos de menores de edad.

El RGPD habilita a los Estados miembros de la Unión Europea a establecer por ley una edad inferior a 16 años para considerar lícito el tratamiento de sus datos basado en su consentimiento, siempre y cuando dicha edad no fuera inferior a 13 años.

A través de la LOPDGDD, en su Art. 7, España ha establecido ese límite de edad en los 14 años.

De forma que un mayor de 14 años podría consentir por sí mismo acerca del tratamiento de sus datos, pero para el tratamiento de los datos de un menor de 14 años, el consentimiento tendrá que ser dado por el titular de la patria potestad o tutela.

Cabe precisar que el consentimiento no será la única base legitimadora que permita el tratamiento de datos personales de menores de edad. Por ejemplo, en el caso de centros educativos, el tratamiento de datos de menores de edad, podrá estar legitimado en:

• El ejercicio de la función docente, tal y como se indica en la Ley Orgánica de Educación.
• La relación contractual generada con las matrículas de los alumnos. 
• Un interés legítimo que prevalezca sobre los derechos y libertades de los interesados.

Por su parte, el consentimiento expreso (del menor o de su representante legal, en función de cada caso), operará en otro tipo de situaciones, como por ejemplo en la captación y publicación de imágenes de actividades en las que participen menores y que puedan ser publicadas a través de servicios de la sociedad de información, donde se requiere, en virtud del artículo 92 de la LOPDGDD, el consentimiento de forma expresa.

Es importante señalar que para que este consentimiento sea libre se deberá poder revocar en cualquier momento y que se deberá guardar evidencia documentada del mismo.

En cualquier caso, resulta fundamental la contratación de consultoría LOPD para poder hacer un adecuado análisis de la base legitimadora de un tratamiento de datos de menores de edad.

Para hablar del bloqueo de datos nos debemos remontar a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos (LOPD) y su Reglamento de desarrollo el RD 1720/2007 de 21 de diciembre (RDLOPD), en los que aparece dicho término, de tal forma que en el artículo 16.3 de la LOPD se indica:

“La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de mayores”.
En el artículo 5.1 del RDLOPD se indica en su definición b):

“ Cancelación : Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de responsabilidades. Transcurrido ese plazo deberá procederrse a la supresión de los datos ”.

Si bien, como se ha indicado anteriormente, no se hace mención expresa al bloqueo de datos en el RGPD, sí se considera la «retención» de los mismos. En particular, los tendrán derecho a que sus datos personales se supriman y dejen de tratarse si la finalidad para la que se recabaron ha finalizado, si se ha retirado el consentimiento en el que se basa el tratamiento de los mismos, o si se oponen a dicho tratamiento, siempre que no sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público,

Con la entrada en la aplicación de la nueva LOPD el bloqueo de datos es una obligación de los responsables de tratamiento.
La Ley 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD) regula en su artículo 32 el Bloqueo de datos , por tanto, todos los responsables de tratamiento a los que les sea de aplicación deberán bloquear lo s datos cuando proceda a su rectificación o supresión. Estas dos situaciones sucederán cuando:

• El interesado solicite al responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
• El interesado solicite al responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando los datos no sean necesarios para cumplir con las finalidades por los que fueron recogidos.

¿En qué consiste El bloqueo de los datos en la LOPDGDD?

Consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.

Es decir, consiste en la obligación de conservar los datos datos cifrados cuya única función es desencriptarlos para poder utilizarlos para determinadas reclamaciones de las administraciones competentes, cuyo acceso será mediante una persona autorizada.

Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, deberá procederse a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita evidenciar:

• La autenticidad de la evidencia.
• La fecha del bloqueo.
• La no manipulación de los datos.

El Art. 34 de la LOPDGDD 3/2018, trae una importante novedad consigo, ya que además de los supuestos que recoge el Art. 37 del RGPD, se detallan, y amplían las casuísticas en las que la designación de un DPD será obligatoria.

Algunos de los ejemplos más relevantes son los siguientes. No obstante, la lista completa puede consultarse aquí, en el artículo 34, señalado anteriormente:

• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades aseguradoras y reaseguradoras.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. No obstante, en este caso hay una salvedad, dado que se indica que: “Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. .” Es decir, sanitarios que ejerzan su profesión por cuenta propia.
• Las empresas de seguridad privada.

Asimismo, y fuera de los supuestos indicados en la normativa, es igualmente muy recomendable la designación de un DPD de forma voluntaria en las organizaciones, cuyo nombramiento también habrá de notificarse a la Agencia Española de Protección de Datos mediante el procedimiento establecido (Art. 34.3. LOPDGDD 3/2018), al igual que en aquellos casos en los que la designación es obligatoria.

1. Informar y asesorar al Responsable o Encargado y a los trabajadores sobre las obligaciones que impone la normativa de protección de datos.
2. Supervisar el cumplimiento de dicha normativa.
3. Asesorar respecto de la evaluación de impacto relativa a la protección de datos, para lo que deberá aconsejar al Responsable de Tratamiento sobre:
   • Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos.
   • Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos.
   • Si se debe llevar a cabo esta evaluación de impacto con recursos propios o mediante una contratación externa.
   • Qué salvaguardas, incluidas las medidas técnicas y organizativas a interponer, deben aplicarse para mitigar cualquier riesgo para los derechos o intereses de los afectados.
   • Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y si la conclusión de la misma es conforme a la normativa en la materia.

4. Cooperar con la autoridad de control.
5. Actuar como punto de contacto para cualquier cuestión relativa a los tratamientos.
6. Ayudar al Responsable o Encargado de tratamiento a controlar el cumplimiento interno del RGPD, para lo que necesitará:

• • Recabar la información necesaria para determinar las actividades de tratamiento.
  • Analizar y comprobar la conformidad de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al Responsable o Encargado de tratamiento.

7. Deberá considerar debidamente el riesgo asociado a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance y los fines del tratamiento.
8. Elaborar inventarios y mantener un registro de las operaciones de tratamiento basados en la información que les proporcionan los diversos departamentos de su organización responsables del tratamiento de datos personales
9. Comunicar a los órganos de administración y dirección del RT o del ET la existencia de una vulneración relevante en materia de protección de datos, y proporcionar las medidas necesarias para evitar la persistencia de esta conducta.
10. Recibir las reclamaciones contra un RT o ET presentadas por un afectado, comunicar al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
11. Recibir las reclamaciones contrato un RT o ET por parte de un afectado, directamente de Agencia Española de Protección de Datos o, de las autoridades autonómicas de protección de datos, cuando el afectado se ha dirigido a las autoridades de control directamente, debiendo dar respuesta en el plazo de un mes.

Establecido lo anterior, respecto de la posición dentro de la organización del DPD atendiendo a lo establecido en el artículo 36 de la misma LOPDGDD, cabe señalar lo siguiente:

• Cuando el DPD se trate de una persona física contratada por una entidad u organización, no podrá ser amonestado ni sancionado por el Responsable o Encargado para el que preste sus servicios en el desempeño de sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Por tanto, se garantiza de esta forma la independencia del DPD dentro de la organización mediante la evitación de cualquier conflicto de intereses.
• En el ejercicio de sus funciones el DPD tendrá acceso a todos los datos personales y procesos de tratamiento, sin posibilidad de oposición a ello por parte del Responsable o Encargado.
• En caso de que el DPD detecte cualquier irregularidad relevante en la materia, deberá documentarlo y comunicarlo de forma inmediata a la Dirección y Órgano de Administración del Responsable o Encargado de Tratamiento.

En relación con los derechos de los afectados contenidos en el RGPD, la nueva LOPD no contempla novedades significativas. La única salvedad se encuentra en la redacción del artículo 13 LOPD, relativa al derecho de acceso, el cual establece que cuando el responsable trate una gran cantidad de datos en relación con la persona que ejercita el derecho de acceso y ésta ejercita dicho derecho sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el interesado especifique los datos o actividades de tratamiento a los que se refiere la solicitud. Adicionalmente, el articulado de la nueva LOPD prevé que cuando el interesado elija un medio distinto al que se le ofrece para responder a su solicitud que suponga un coste desproporcionado al responsable, la solicitud será considerada excesiva, por lo que dicho interesado asumirá el exceso de costes que su elección comporte. Además, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas, pudiendo incumplir el plazo de un mes de respuesta que aplica al resto de solicitudes.

Por otro lado, la nueva LOPD regula una serie de derecho digitales, con independencia del derecho a la libertad de expresión en Internet que todo ciudadano debe poseer. En este sentido, surge “Derecho al olvido en búsquedas de Internet” (art. 93), el “Derecho al olvido en servicios de redes sociales y servicios equivalentes” (art.94) y el “Derecho de portabilidad en servicios de redes sociales y servicios equivalentes” (art.95).
El primero faculta al interesado a solicitar que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtengan, tras una búsqueda efectuada a partir de su nombre, los enlaces publicados que contengan información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. No obstante lo anterior, el ejercicio del presente derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho, por lo que cambiando los criterios de búsqueda se podrá seguir localizando la noticia.
El segundo establece que toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes, cuando estos fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.

Finalmente, el tercero establece que todos los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que ello sea técnicamente posible.

Una de las novedades más significativas que nos trae la nueva LOPD es en relación con el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
En este sentido, el GDPR no prevé ninguna referencia específica sobre estos datos de contacto profesionales. No obstante, la LOPD con respecto al tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales, indica que, salvo prueba en contrario, se presumirá amparado en interés legítimo el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica. Sin embargo, para que sea de aplicación lo anteriormente dispuesto sobre los datos de contacto, deberán cumplirse dos requisitos:

1. Que el tratamiento se refiera únicamente a los datos de contacto que sean necesarios para su localización profesional.
2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

eguimos con las novedades que nos trae la nueva LOPD. En este caso, nos referimos al tratamiento de datos relacionados con la realización de determinadas operaciones mercantiles entre empresas.

Y según el artículo 4 del RGPD, una empresa es aquella persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.

En este sentido, se presume lícito el tratamiento de datos derivados del desarrollo de una operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que sea necesario para el buen fin de la operación y garantice la continuidad de los servicios. Los datos podrán ser comunicados con carácter previo a dicha operación, si bien, deberán ser suprimidos siempre que dicha operación no llegase a efectuarse.

En base a lo anterior, la cesión de datos producida será lícita sin necesidad de obtener el consentimiento de los interesados, y todo ello sin perjuicio del deber de informar.

Y es que esta novedad ya se venía contemplando como supuesto especial en el artículo 19 del RDLOPD.

Además, puede consultar información relacionada sobre las modificaciones estructurarles de las sociedades mercantiles en la Ley 3/2009, de 3 de abril.

Existen responsables de sistemas de exclusión publicitaria. Este tratamiento será lícito siempre y cuando el tratamiento de datos personales tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

En el caso de que un afectado solicite a un responsable su negativa a recibir comunicaciones comerciales, el responsable deberá informar al afectado de la existencia de estos sistemas de exclusión pudiendo remitirse a la información publicada por la autoridad de control competente.

Si alguna entidad pretende realizar comunicaciones de mercadotecnia directa deberá previamente consultar estos sistemas, excluyendo del tratamiento a los afectados que hubiesen manifestado su oposición o negativa al mismo. No será necesario realizar la consulta cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.

La gran novedad en estos sistemas de denuncias internas es que las mismas podrán ser efectuadas de forma anónima, en contra de lo que venía recomendando la AEPD a raíz de la respuesta a una consulta efectuada al Gabinete Jurídico de la Agencia, donde se recomendaba “evitar la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas”.

Con esta importante novedad, por otro lado, queda así solventada la contradicción establecida por la norma UNE 19601 de Sistemas de Gestión de Compliance Penal (publicada en mayo de 2017), que, en su apartado 8.7 Comunicación de incumplimientos e irregularidades, establece la necesidad de que la organización implante procedimientos adecuados para facilitar canales de comunicación para que se informar de las circunstancias que pudieran suponer la materialización de un riesgo penal, de forma anónima o confidencial.

En todo caso, se debe informar a los empleados y terceros de la existencia de estos sistemas de información y se limita el acceso a los datos contenidos en estos sistemas a quienes desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que gestionen los mismos.

Los datos, tanto de quien formula la denuncia, como de las personas vinculadas a la misma, solo se podrán conservar durante el tiempo imprescindible para decidir el inicio de una investigación sobre los hechos denunciados. Como máximo, pasados 3 meses desde que se comenzó el tratamiento, se debe suprimir la información del sistema de denuncias.

Existe una excepción: que se deba dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica (aquel que se certifica por la norma UNE comentada al principio).

Para terminar, los datos de las denuncias que no hayan ido a más solo podrán constar de forma anonimizada (no procede el bloqueo en este caso). Y las que sí, pasado el plazo de 3 meses, deberán registrarse fuera del propio sistema de información de denuncias internas.

Todo lo indicado aplica, según la LOPD, también a los sistemas de denuncias internas de las AAPP.

El RGPD establece en los artículos 24 y 25 que el Responsable del Tratamiento debe establecer medidas para la protección de los datos desde el diseño y por defecto, es decir, aplicar a los tratamientos de datos personales las medidas técnicas y organizativas que garanticen que no son accesible a terceras personas sin la aprobación o intervención del interesado de los datos.

Partiendo de esta base, la nueva LOPD, es su artículo 28 detalla que, a la hora de aplicar medidas, el responsable del tratamiento debe tener en cuenta el mayor riesgo que se pueda producir en los siguientes supuestos:

1. Perjuicio económico, moral o social significativo para a los interesados del tratamiento.
2. Privación de derechos o control de los datos de los interesados.

• Tratamiento no incidental de categorías especiales de datos.
• Tratamiento que revele una evaluación de aspectos personales de los interesados.
• Tratamiento de datos de personas vulnerables en especial, menores o personas discapacitadas.
• Tratamiento masivo de datos, tanto en la recogida como en su tratamiento.
• Cuando se efectúen transferencias de datos a países cuyo nivel de seguridad no sea adecuado.

En lo relativo a las sanciones y partiendo de lo dispuesto por el RGPD en su artículo 83, la nueva LOPD a través de sus artículos 72 y siguientes, introduce además, una relación exhaustiva de infracciones que serán consideradas como muy graves, graves y leves.

Veamos a continuación cuáles son algunos de estos casos:

1. Serán consideradas infracciones muy graves y prescribirán a los 3 años, entre otras, las siguientes:

• El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.
• El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
• La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

2. Serán consideradas infracciones graves y prescribirán a los dos años, entre otras, las siguientes:

• El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
• No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad.
• La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

3. Serán consideradas infracciones leves y prescribirán al año, entre otras, las siguientes:

• El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.
• El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
• Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.

En píldoras anteriores ya hicimos referencia a algunas de las novedades que introducía la nueva LOPD en lo que a derechos de los interesados se refiere. Sin embargo, en relación con los nuevos derechos digitales que se contemplan, debemos hacer referencia igualmente a los nuevos derechos de rectificación y de actualización de la información en medios digitales. En este sentido, nos encontramos por un lado con el “Derecho de rectificación en Internet” (art. 85); por medio del cual los responsables de redes sociales, plataformas digitales y servicios de la sociedad de la información equivalentes adoptarán y ejecutarán protocolos efectivos para garantizar el ejercicio del derecho de rectificación, en particular en relación con los contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz.
A los efectos anteriores, el derecho de rectificación en los medios de comunicación social resultará de aplicación a redes sociales, plataformas digitales y servicios de la sociedad de la información equivalentes.
Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del interesado. Dicho aviso deberá aparecer en un lugar visible y junto con la información original.
Igualmente, el “Derecho a la actualización de informaciones en medios de comunicación digitales” (art. 86) permitirá a todo interesado a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible y junto a las noticias que le conciernan, cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.
En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso deberá hacer referencia a la decisión posterior.

Una de las novedades que se podrían considerar más importantes, sería la regulación sobre la intimidad y uso de dispositivos digitales en el ámbito laboral.

En el caso de que dentro de una organización se faciliten a los empleados cualquier tipo de dispositivo digital, los empleadores tendrán que establecer una serie de criterios para el uso de estos. Deberán establecerse los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.

En el caso concreto de que haya podido admitir el uso privado en dispositivos digitales, para acceder a los mismos será necesario especificar los usos autorizados que se van a permitir y además se deberá establecer una serie de garantías para preservar la intimidad de los trabajadores, como por ejemplo, la determinación de los períodos en que los se podrán utilizar los dispositivos para esos usos.

La entrada en vigor de la LOPDGDD 3/2018, se reitera en el criterio del RGPD en esta materia, y permite el tratamiento de este tipo de datos de geolocalización, en este caso, en virtud del Art. 20.3 del Estatuto de los Trabajadores, para el ejercicio de las funciones de control de los trabajadores, siempre que éstas, se ejerzan dentro del marco legal establecido, y con ciertos límites inherentes al mismo.

En este sentido, para permitir este tratamiento, los empleadores, con carácter previo, deberán haber informado de manera expresa, clara, e inequívoca a los trabajadores acerca de la existencia, y características de estos dispositivos.

Se debe garantizar por tanto que la única finalidad es el control laboral de los empleados, o, por poner un ejemplo, de la mercancía transportada en el caso de una empresa de transporte, por lo que la geolocalización en principio solo estará permitida en horario laboral, y con ninguna otra finalidad que la informada.