Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

  • Inicio
  • Blog
  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

By bloghelas
In diciembre 11, 2018
On Blog
Comments off
455 Views

El pasado 6 de diciembre se publicó en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDyGDD), entrando en vigor al día siguiente.Las principales novedades son las siguientes:

Ámbito de aplicación.

Incluye un apartado específico relativo al tratamiento de los datos de personas fallecidas:

Podrán acceder a los datos personales de personas fallecidas:

  • Las personas vinculadas al fallecido por razones familiares o de hecho.
  • Las personas declaradas como herederos.
  • Las personas o instituciones a las que el fallecido hubiese designado expresamente con arreglo a instrucciones recibidas.

Estas personas o instituciones podrán ejercer el derecho de acceso a los datos personales del fallecido y, en su caso, podrán solicitar su rectificación o supresión, salvo que conste que la persona fallecida lo hubiese prohibido, expresamente, o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

Principios de protección de datos.

La LOPDyGDD no menciona todos los principios enumerados en el Capítulo II del RGPD, sino que se limita a hacer referencias o comentarios a los siguientes principios u obligaciones:

  • Principio de exactitud de los datos: se presumirán exactos y actualizados los datos obtenidos directamente del afectado.
  • Deber de confidencialidad: la obligación general de confidencialidad será complementaria de los deberes de secreto profesional regulados.
  • Tratamiento basado en el consentimiento del afectado: cuando se pretenda una pluralidad de finalidades de tratamiento será preciso que conste de manera individual que dicho consentimiento se otorga para todas y cada una de ellas y no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual principal.
  • Consentimiento de los menores de edad: se establece la edad mínima para dar el consentimiento al tratamiento de datos en 14 años (el RGPD permitía rebajar esa edad a 13 años).
  • Tratamiento de datos de naturaleza penal: los datos personales relativos a condenas e infracciones penales, procedimientos, medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.

Transparencia e información.

La LOPDyGDD establece la modalidad de “información por capas” que la AEPD adelantó en su Guía para el cumplimiento del Deber de Informar.

Así, el responsable del tratamiento podrá dar cumplimiento al deber de información facilitando al afectado determinada información básica e indicándole una dirección electrónica u otro medio que le permita acceder de forma sencilla e inmediata a la restante información.

Ejercicio de derechos.

La LOPDyGDD establece una serie de condiciones generales sobre el ejercicio de los derechos (no previstas en el RGPD), de las cuales ofrecemos las que afectarían en mayor medida a todas las organizaciones:

  • Se ha de informar al afectado sobre los medios a su disposición para ejercer los derechos. Estos medios serán fácilmente accesibles, pero si el afectado opta por otro medio diferente no será causa de denegación.  
  • La atención de estas solicitudes será gratuita, salvo en determinados casos previstos.

Por otro lado, la LOPDyGDD mantiene los mismos derechos enumerados y reconocidos por el RGPD de los que es interesante hacer ciertas puntualizaciones:

  • Derecho de rectificación: se puntualiza que el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse y que habrá de acompañar la solicitud de la documentación justificativa de la inexactitud o carácter incompleto de los datos afectados.
  • Derecho de supresión (“derecho al olvido”): cuando la supresión derive del ejercicio del derecho de oposición al tratamiento con fines comerciales, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa. Sería equivalente a crear una “Lista Robinson” propia.
  • Derecho a la limitación del tratamiento: el hecho de que el tratamiento de los datos personales esté limitado debe constar, claramente, en los sistemas de información del responsable.

 Disposiciones aplicables a tratamientos concretos.

Título importante pues se incluye la regulación de tratamientos concretos que fueron examinados de forma independiente por la Autoridad de Control (AEPD) en otro tipo de documentos como Instrucciones, Guías, Informes o estaban regulados en la LOPD 15/1999 o su Reglamento de Desarrollo.  

Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

El tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica se presumirá amparado en la base de la satisfacción de intereses legítimos, siempre que se cumplan los siguientes requisitos:

  • Que el tratamiento se refiera, únicamente, a los datos necesarios para su localización profesional.
  • Que la finalidad del tratamiento sea, únicamente, mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

El tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales se presumirá amparado, igualmente, en la base de la satisfacción de intereses legítimos, siempre que se cumplan los siguientes requisitos:

  • Que se refieran a ellos, únicamente, en dicha condición;
  • Que no se traten para entablar una relación con los mismos como personas físicas.

Sistemas de información crediticia.

Se podrán tratar datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas de información crediticia cuando se cumplan una serie de requisitos.

Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

No se incorporarán a los sistemas de información crediticia orgánica deudas en que la cuantía del principal sea inferior a cincuenta euros.

Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

Se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, derivados del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

En el caso de que la operación no se concluyese, la entidad cesionaria deberá proceder a la supresión de los datos, sin ser necesario el bloqueo.

Tratamientos con fines de videovigilancia.

En general no hay modificaciones respecto de la Instrucción 1/2005 de la AEPD que lo regulaba si bien incluye que las grabaciones serán suprimidas en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación. No será de aplicación a estos tratamientos la obligación de bloqueo.

Sistemas de exclusión publicitaria.

Las “Listas Robinson”: será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas, para lo cual podrán crearse sistemas de información, generales o sectoriales, con las siguientes características y condiciones:

  • Sólo se incluirán los datos imprescindibles para identificar a los afectados.
  • Podrán incluir servicios de preferencia (el afectado podrá limitar la recepción de comunicaciones comerciales a las procedentes de determinadas empresas).
  • Las entidades responsables comunicarán a la autoridad de control su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

¿Cómo habrá que actuar?

  • Se informará al afectado de los sistemas de exclusión publicitaria existentes.
  • Antes de realizar envíos comerciales, se consultarán estos sistemas para excluir a los interesados que hubieran manifestado su oposición o negativa.
  • No será necesario realizar esta consulta cuando el afectado hubiera prestado su consentimiento para recibir la comunicación a quien pretenda realizarla.

Sistemas de información de denuncias internas.

Respecto de los llamados “Canales de Denuncia” se tendrán que cumplir los siguientes requisitos:

  • Los empleados y terceros deben ser informados acerca de su existencia.
  • Se permite que las comunicaciones sean anónimas.
  • La información deberá conservarse durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
  • Si no procede la investigación, se suprimirán pasados 3 meses desde su introducción en el sistema.
  • Las denuncias a las que no se haya dado curso podrán conservarse de forma indefinida de forma anonimizada, para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos, sin que sea obligatorio el bloqueo.
  • Transcurrido el plazo de 3 meses, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero fuera del propio sistema de información de denuncias internas.

Registro de las actividades de tratamiento.

Tan sólo se realizan las siguientes puntualizaciones:

  • Cuando se hubiera designado un delegado de protección de datos (DPD), se le deberá comunicar cualquier adición, modificación o exclusión en el contenido del registro.
  • Los sujetos enumerados en el art. 77.1 de la LOPDyGDD harán público su registro de actividades de tratamiento, siendo accesible por medios electrónicos.

Bloqueo de los datos.

La LOPDyGDD desarrolla el Bloqueo de los datos, como medio para limitar el tratamiento de los datos cuando un interesado solicite su rectificación o supresión, imponiendo las siguientes condiciones:

  • Se identificarán los datos a bloquear, adoptando medidas técnicas y organizativas para impedir su tratamiento posterior, incluyendo su visualización.
  • Se exceptúan los datos susceptibles de puesta a disposición de jueces y tribunales, Ministerio Fiscal o AAPP competentes, en particular, de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo se destruirán de los datos.
  • Si el sistema de información no permite el bloqueo o requiere un esfuerzo desproporcionado, se podrá realizar una copia de la información, siempre que conste evidencia digital o de otra naturaleza que permita acreditar la autenticidad de esta, la fecha del bloqueo y la no manipulación de los datos.

Delegado de protección de datos

La LOPDyGDD ofrece un listado de entidades concretas que tendrán que designar, obligatoriamente DPD, entre los cuales se incluye:

  • Colegios profesionales y sus consejos generales;
  • Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas;
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala;
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio;
  • Entidades incluidas en el art. 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito;
  • Establecimientos financieros de crédito;
  • Entidades aseguradoras y reaseguradoras;
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores;
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural;
  • Entidades responsables de ficheros de evaluación de la solvencia patrimonial y crédito o de los ficheros para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo;
  • Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos;
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes;
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas;
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego;
  • Empresas de seguridad privada;
  • Federaciones deportivas cuando traten datos de menores de edad.

Además, desarrolla los siguientes puntos:

  • Se habrán de comunicar en el plazo de diez días a la AEPD o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los DPD.
  • Se podrá determinar la dedicación completa o a tiempo parcial del DPD, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
  • La cualificación requerida para ser nombrado DPD podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que podrán tener en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en derecho y práctica en materia de protección de datos.
  • Antes de presentar una reclamación ante la AEPD ante las autoridades autonómicas, el afectado podrá dirigirse al DPD de la entidad contra la que pretenda reclamar. En este caso, el DPD comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
  • Cuando el afectado presente una reclamación ante la AEPD o ante las autoridades autonómicas de protección de datos, aquéllas podrán remitir la reclamación al DPD para que éste responda en el plazo de un mes. Si transcurrido dicho plazo el DPD no hubiera trasmitido la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento sancionador.

Régimen sancionador.

La AEPD, a pesar de los dos tramos establecidos por el RGPD, mantiene la distinción entre Infracciones Leves, Graves y Muy Graves.  

Las Infracciones Muy Graves serían las correspondientes al artículo 83.5 del RGPD, sancionables con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Por su parte, las Infracciones Graves y Leves serían las correspondientes al artículo 83.3 y 4 del RGPD sancionables con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

 Garantía de los derechos digitales.

La LOPDyGDD incorpora un nuevo título derivado del auge de la sociedad digital. Se han incluido temas que no guardan relación alguna con la materia de protección de datos, pero otras que sí resultan de gran interés:

Protección de los menores en Internet.

El Ministerio Fiscal podrá establecer medidas de protección al menor si detecta que la utilización, difusión de imágenes o información personal de menores en redes sociales y otros servicios de la sociedad de la información puedan suponer una intromisión ilegítima en sus derechos fundamentales.

Derecho de rectificación en Internet y actualización de informaciones en medios de comunicación digitales.

Estos medios tienen derecho a la libertad de expresión en Internet, no obstante, se aplicarán unas garantías:

  • Los responsables de redes sociales y servicios equivalentes adoptarán protocolos para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra los derechos al honor, la intimidad personal y familiar en Internet y a comunicar o recibir libremente información veraz.
  • Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos procederán a la publicación en sus archivos digitales de un aviso aclaratorio y en lugar visible junto a la información original, poniendo de manifiesto que la noticia original no refleja la situación actual del individuo.
  • Toda persona tiene derecho a solicitar de los medios de comunicación digitales la inclusión de un aviso de actualización visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.

Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.

Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador, debiendo el mismo:

  • Acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
  • Establecer, con participación de los representantes de los trabajadores, criterios de utilización de los dispositivos digitales respetando los estándares mínimos de protección de su intimidad, de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.
  • Especificar los usos autorizados, estableciendo garantías para preservar la intimidad de los trabajadores cuando se trate de dispositivos digitales respecto de los que se haya admitido su uso con fines privados.
  • Informar a los trabajadores de los criterios de utilización mencionados.

Derecho a la desconexión digital en el ámbito laboral.

Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar para el fomento de la conciliación de la actividad laboral y la vida personal y familiar.

Se cumplirán los siguientes requisitos:

  • Las condiciones se establecerán en función de la naturaleza y objeto de la relación laboral y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre empresa y representantes de los trabajadores.
  • El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.

Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública con las siguientes condiciones:

  • Se informará con carácter previo y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
  • Si se ha captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos un cartel informativo.
  • NO se admite la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.
  • El uso de estos sistemas o similares se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo, pero respetando el principio de proporcionalidad e intervención mínima.
  • Los sonidos conservados por estos sistemas de grabación serán suprimidos en el plazo máximo de un mes desde su captación.

Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, con las siguientes condiciones:

  • Se habrá de informar con carácter previo y de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos;
  • Se les habrá de informar igualmente acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

Protección de datos de los menores en Internet.

  • Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
  • Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o equivalentes deberán contar con el consentimiento del menor o sus representantes legales.

Derecho al olvido en búsquedas de Internet y servicios de redes sociales y servicios equivalentes.

Toda persona tiene derecho a:

  • Que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona.
  • Que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado por sí mismo o por terceros para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes.

Se podrá realizar esta solicitud cuando:

  • Los datos sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
  • Las circunstancias personales que invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de esos datos o enlaces.

Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.

El ejercicio de este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejercitara el derecho.

En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas.

Derecho al testamento digital.

Se regula el “testamento digital” como el acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas con las siguientes reglas:

  • Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión.
  • El albacea testamentario, así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.
  • Las personas legitimadas podrán decidir acerca del mantenimiento o eliminación de perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, salvo que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones.
  • El responsable del servicio al que se le comunique la solicitud de eliminación del perfil deberá proceder sin dilación a la misma.

Disposiciones adicionales, transitorias y finales.

A continuación, se mencionan ciertas Disposiciones de interés.

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.

El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el art. 32 del RGPD sobre medidas de seguridad del tratamiento.

Los responsables enumerados en el art. 77.1 de la LOPD y GDD deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al ENS.

Disposición transitoria quinta. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD y en el Capítulo II del Título V de la LOPDyGDD.

 

Paloma Mendo Samitier

Consultor de Helas Consultores

       

bloghelas

Related Articles

Comments are closed.