La nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), aprobada esta semana en el Senado con un consenso inédito en lo que llevamos de legislatura, llega con la intención inicial de adaptar así el ordenamiento español a la legislación europea consagrada en el Reglamento General de Protección de Datos (RGPD), que es de aplicación directa desde el pasado 25 de mayo.

El RGPD da margen a los estados para regular algunos aspectos y eso es precisamente lo que ha hecho el Legislativo con la nueva normativa española, que entrará en vigor al día siguiente de su inminente publicación en el BOE.

La nueva ley, de hecho, ha querido ir más allá de la mera protección de datos e incluye un título entero (Título X) dedicado a regular algunos derechos digitales de los ciudadanos y ciertos preceptos que han suscitado polémica entre varios expertos.

Repasamos los puntos más controvertidos de la norma.

Partidos políticos e información ideológica

Las introducción de una disposición final en la norma, que introduce un nuevo artículo en la Ley Electoral (LOREG), el "58 bis", ha generado mucha inquietud por la habilitación que otorga a los partidos políticos para recoger datos sobre opiniones políticas de los ciudadanos —el aspecto más preocupante , según el ingeniero y abogado especializado Sergio Carrasco— "obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".

También da carta blanca a las formaciones para enviar propaganda electoral por medios electrónicos o sistemas de mensajería (WhatsApp, por ejemplo y para entendernos) a partir de los datos personales que encuentren en "páginas web y otras fuentes de acceso público". es decir, da amparo al 'spam electoral'.
Enseguida, algunos juristas  especializados en tecnología y protección de datos pusieron el grito en el cielo por la 'habilitación legal' para que los partidos pudiesen rastrear la red, peinarla, analizar los datos "abiertos" y generar perfiles de ciudadanos y sus opiniones políticas para el envío de propaganda electoral.

La redacción de este artículo generó tanta polémica que, en un gesto extraordinario, la Agencia Española de Protección de Datos (AEPD) llegó a publicar un comunicado aclarando cuál iba a ser su interpretación —muy restrictiva, según promete—, antes incluso de que la ley fuese aprobada. Ni la AEPD ni la Eurocámara avalan ese texto.

La Plataforma para la Defensa de la Libertad de Expresión (PDLI) trabaja ya en una herramienta para poder ejercer el derecho de oposición de una manera sencilla.

No obstante, otros expertos ven "temores infundados" en estas reacciones, que además perjudican a la imagen del país. Tal es el caso de Ricard Martínez Martínez, director de la Cátedra de Privacidad y Transformación Digital de la Universitat de València, estima que la disposición "impone deberes muy gravosos a los partidos políticos antes de haber tratado un solo dato, mantiene todas las garantías del RGPD intactas, y acota de modo muy preciso su ámbito de aplicación/finalidad a la propia electoral".

Derecho de rectificación digital (con esteroides)

El nuevo artículo 85, que ha sido modificado sustancialmente desde su redacción inicial, consagra el derecho de cualquiera, ante "cualquier medio de comunicación social", a exigir una rectificación de "hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio". Es decir, el requisito que establece para poder solicitar una rectificación es doble: ha de tratarse de una información inexacta y perjudicial.

La ley no obliga a eliminar la información, sino a añadir un aviso visible aclaratorio donde se indique que la noticia no refleja la situación actual de la persona.

Una de las controversias que arroja este artículo es que, hasta ahora, este derecho sólo habilita para rectificar información inexacta, por lo que no debería estar para proteger el derecho al honor o la intimidad.

Si bien el principal responsable de la redacción de este precepto, el diputado socialista Artemi Rallo, comentaba recientemente a este diario que "no se trata de rectificar opiniones, o valoraciones, sino hechos inexactos que causen perjuicio", algunos expertos como el abogado Carlos Sánchez Almeida remarcan algunas de las consecuencias negativas de este artículo para la libertad de expresión en la red. "Hasta ahora las opiniones no eran objeto de rectificación, pero con la nueva ley lo serán", declaró a El País.

Olvido digital para todos

La norma nueva recoge en sendos artículos el derecho al olvido digital en buscadores (artículo 93) y "redes sociales y servicios equivalentes" (artículo 94). El primer precepto recoge lo que ya establecía la Justicia europea en el llamado caso Costeja: los buscadores, como Google, tienen la obligación de desindexar contenidos a petición de terceros en determinadas condiciones.

Este precepto se extiende ahora a las redes sociales y otros servicios de internet. En última instancia, la decisión de la supresión de datos en redes sociales corresponde a la propia red social que se trate.

En declaraciones a este diario, la directora de la AEPD, Mar España, reconoció que "es posible que haya un incremento de solicitudes a la Agencia en este ámbito". Una agencia que sólo cuenta a día de hoy con 16 inspectores. "Hablamos, por ejemplo, de 22 millones de usuarios de Facebook en España, por ejemplo", recordó, aunque afirmó que se irá "viendo caso a caso".

Denunciantes anónimos, la "oportunidad perdida"

En cuanto a la regulación de los denunciantes anónimos, en la nueva ley se recoge únicamente un precepto en el artículo 24, que se refiere a los Sistemas de información de denuncias internas.

Entidades ciudadanas como Xnet, defensores de la protección de estos denunciantes que son cruciales para destapar casos de corrupción económica o política, lamentan que se ha perdido una buena oportunidad para regular esta actividad más a fondo y con más garantías.

Sin embargo, la intención del Legislador parece que ha sido otra. Tal y como explicó el diputado Artemi Rallo en una conversación con Público justo después de la tramitación de la norma en el Congreso, "no conviene enmarcar la regulación de los casos de denuncias de corrupción de forma exhaustiva en la Ley de Protección de Datos, ya que requiere de una ley específica".

Algunas indefiniciones (y más)

Aparte de las críticas de una parte de la industria tecnológica acerca de la introducción de un catálogo de derechos digitales en la nueva norma sobre protección de datos, lo que en su opinión va más allá del objeto establecido en el RGPD europeo, existen algunas indefiniciones en la norma.

Las imprecisiones tiene que ver, por ejemplo, con el concepto de "interés legítimo": la normativa no llega a definir en qué supuestos podría entenderse el interés legítimo como causa legitimadora del tratamiento de datos personales. Además, el régimen sancionador no es especialmente claro. Y algunos, algunos delegados de protección de datos y expertos echan de menos que se especifique en qué supuestos es obligatoria la realización de la evaluación de impacto.

La abogada Ofelia Tejerina, de la Asociación de Internautas, explica en un extenso post por qué esta nueva normativa "nos inquieta, nos atormenta y nos perturba", poniendo el acento en el hecho de que la ley ha incluido una serie de derechos digitales que, quizá, no deberían haberse regulado en esta norma.

"La LOPD ordenaba el derecho fundamental a la protección de datos de carácter personal de forma específica, y tiene que hacerlo conforme le ha marcado el RGPD", afirma esta experta, "pero esto nada tiene que ver con la neutralidad de la red, el derecho del trabajador a un horario digno, el derecho de un heredero a conocer la vida y milagros de un familiar o allegado que fallece sin testar, o la libertad de expresión en Internet".

Otros preceptos de la nueva norma

Como principales novedades, la nueva norma mantiene en 14 años la edad mínima de consentimiento de los menores para el uso por parte de terceros de sus datos personales, por ejemplo en redes sociales; la norma europea permite fijarla en una franja desde los 13 a los 16 años, tal y como resume Efe.

Entre los derechos que incluye está el de la desconexión laboral para respetar el descanso de los empleados sin bombardearlos con correos electrónicos u otros mensajes en línea. La norma también recoge el derecho al testamento digital, el de "neutralidad" en internet, y el de seguridad y confidencialidad de las comunicaciones electrónicas para proteger a los menores y las posibles víctimas de violencia machista.

Asimismo se garantiza el derecho a la intimidad personal en el ámbito laboral con la limitación de videocámaras y dispositivos de audio en lugares de trabajo y además se prohíben estos en áreas de descanso como comedores u otros espacios similares para ocio de los trabajadores.

También se refuerza la privacidad de los empleados frente a sistemas de geolocalización en el trabajo. Por ejemplo en el caso de camioneros con sistemas GPS integrados en sus vehículos u otros colectivos cuyos equipos de trabajo puedan incluir sistemas o sensores que detecten en tiempo real su ubicación.

Se garantiza además que la protección de datos personales no pueda suponer un freno a la investigación biomédica especialmente la de carácter público