Analytics

martes, 26 de septiembre de 2017

Sobre el Anteproyecto de Ley de Protección de Datos para adaptarla al Reglamento Europeo de Protección de Datos, Reglamento UE 2016/679

El pasado 23 de junio, el Gobierno informó que el Consejo de Ministros había recibido un informe del Ministro de Justicia sobre el Anteproyecto de Ley Orgánica de Protección de Datos que tiene previsto entrar en vigor (al igual que el nuevo Reglamento Europeo de Protección de Datos, Reglamento UE 2016/679) el próximo 25 de mayo de 2018, (según establece el artículo 99 del citado Reglamento) quedando derogada la actual Ley Orgánica 15/1999 (LOPD).

El Anteproyecto (que consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales), cumple con dos aspectos principales:
  • La necesidad de cumplir con las obligaciones derivadas de la pertenencia de España a la Unión Europea, adaptando previsiones de la normativa comunitaria.
  • Desarrollar algunos puntos que quedan en manos de los legisladores locales.
Entre los aspectos desarrollados, destacamos:
  • Título I, Regulación de los datos referidos a las personas fallecidas, (No eran objeto en la anterior LOPD) que permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
  • Título II, “Principios de protección de datos”, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado.

    Se recoge expresamente el deber de confidencialidad.

    El consentimiento, ha de proceder de una declaración afirmativa excluyendo por tanto el “consentimiento tácito”,

    Se fija en trece años (antes catorce) la edad a partir de la cual el menor puede prestar su consentimiento.
  • Título III, Derechos de las personas. Regula el derecho de los afectados a ser informados acerca del tratamiento (derecho de transparencia), se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”) y se especifican las circunstancias que permiten que la información se pueda facilitar a través de una dirección electrónica.

    Se prevé el ejercicio de los derechos por medio de un representante voluntario.

    Se contempla los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, derecho a la portabilidad y derecho de oposición.

    Se introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un Tribunal u otras autoridades competentes para la exigencia de posibles responsabilidades derivadas de su tratamiento, y así evitar la ocultación de un incumplimiento.
  • Título IV, Responsable y encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es, la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento el riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.

    Con el fin de aclarar estas novedades la Ley mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a las disposiciones generales y medidas de responsabilidad activa, el régimen del encargado del tratamiento, la figura del delegado de protección de datos (que adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica) y los códigos de conducta y certificación.

    La Agencia creará un Registro de Delegados, manteniendo una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.

    El responsable o el encargado, deberá dotar al delegado de medios materiales y personales suficientes y no podrá removerlo, salvo en los supuestos de dolo o negligencia grave.
  • Título V, Transferencias internacionales de datos, procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
  • Título VI. Autoridades de Protección de Datos.
  • Título VII Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos. Se establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas.

    También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.
  • Título VIII, El Reglamento (UE) 2016/679 que establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión. Las sanciones impuestas son especialmente elevadas yendo desde los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).

El anteproyecto armoniza el procedimiento sancionador adecuándolo a la legislación estatal en esta materia: conductas típicas, graduación de infracciones y, en función de éstas, la cuantía de la sanción, recursos, prescripción, etc.

  • Disposición Adicional Primera se refiere a las medidas de seguridad en el ámbito del sector público. En la actualidad, las medidas establecidas en el Esquema Nacional de Seguridad (ENS) para garantizar la protección de los datos de carácter personal, lo son por remisión al Título VIII del Reglamento de desarrollo de la Ley Orgánica 15/1999, dado que esta norma va a quedar derogada, será preciso que el ENS amplíe el ámbito de las medidas que considere oportuno adoptar en relación con la seguridad de los datos a partir del enfoque de riesgo exigido por el Reglamento General de Protección de Datos.
  • Disposición Adicional Segunda, sobre protección de datos y transparencia y acceso a la información pública.
  • Disposición Adicional Tercera, normas sobre el cómputo de los plazos, para tratar de establecer un régimen uniforme para los sectores público y privado. Como peculiaridad, se establece el modo de cómputo del plazo por semanas.
  • Disposición adicional cuarta, referida al procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.
  • Disposición Adicional Quinta, se refiere a la autorización judicial en materia de transferencias internacionales de datos y prevé que la AEPD, cuando considere fundada la reclamación de un afectado, deberá solicitar de la Sala de lo contencioso-administrativo de la Audiencia Nacional autorización para declarar contraria a Derecho la transferencia internacional de datos sobre la que versa dicha reclamación.
  • Disposición Adicional Sexta, reconoce expresamente el régimen regulador de los registros de apoyo a la Administración de Justicia, recogido actualmente en el Real Decreto 95/2009, de 6 de febrero, como base legal para el tratamiento de datos relacionados con infracciones penales y condenas y medidas de seguridad.
  • Disposición Adicional Séptima, acceso a contenidos de personas fallecidas. El interesado podrá incorporar en un documento de instrucciones su manifestación de voluntad en lo que respecta al uso y destino de sus datos, documentos o ficheros, si opta por su conservación, destrucción o portabilidad, así como por el mantenimiento o cancelación de sus cuentas, pudiendo designar a una persona para que ejecute sus instrucciones. Las instrucciones se podrán incorporar a un registro, para cuya creación y regulación se habilita al Gobierno y que sólo será accesible por terceros en caso de fallecimiento. Además, sólo el designado y, en su defecto, los herederos del difunto podrán acceder al contenido mismo de las instrucciones para poder dar cumplimiento a la voluntad del fallecido y ejercer por él los derechos que le otorga el ordenamiento jurídico.
  • Disposición Adicional Octava, establece qué deudas pueden incorporarse a los sistemas de información crediticia.
  • Disposición Adicional Novena, condiciones adicionales para el tratamiento de categorías especiales de datos.
  • Disposición Adicional Décima, especialidades del régimen jurídico de la Agencia Española de Protección de Datos.
  • Disposición Adicional Undécima, identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.
  • Disposición Adicional Duodécima, potestad de verificación de las Administraciones Públicas.
  • Disposición Adicional Decimotercera, no incremento de gasto.
Es necesario recordar que estamos hablando de un Anteproyecto por lo que tendremos que ver cómo se va desarrollando o retocando de aquí a mayo de 2018 esa futura LOPD.


Carmen Areces
Dpto. Comercial