Analizamos el Anteproyecto de Ley Orgánica de Protección de Datos (LOPD), por la que se adapta la normativa nacional al Reglamento General de Protección de Datos de la Unión Europea y lo complementa para su mejor integración en nuestro Derecho interno.
1. Antecedentes
El 27 de abril de 2016, se aprobó el Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a las protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.
El legislador europeo ha optado por utilizar el Reglamento, caracterizado por su aplicabilidad directa y sin necesidad de transposición, como instrumento jurídico para la ordenación de la protección de datos en la era digital, con el fin de disponer de un régimen uniforme que deberá ser aplicado también de forma uniforme en toda la Unión Europea.
2. Objetivo del Anteproyecto
El Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal no pretende reiterar el texto del Reglamento, sino adaptar y clarificar sus disposiciones en aquello que la referida norma habilita, cuando no impone, a los Estados miembros regular determinadas materias.
La presente versión del Anteproyecto completa el estatuto jurídico de determinadas figuras (v.gr. delegado de Protección de Datos, Régimen sancionador, entre otros), fija la edad mínima para prestar el consentimiento o aporta mayor detalle respecto de las obligaciones generales del responsable y encargado del tratamiento.
Por el contrario, el nuevo texto no aporta mayor luz a determinadas zonas grises como la determinación de qué se considera un tratamiento de datos a gran escala o cómo deberá ser regularizada la explotación de datos obtenidos bajo la fórmula del consentimiento tácito. Asimismo, apenas se detallan algunos aspectos que podrían requerir de mayor regulación, como la figura del interés legítimo.
En el presente Breves, por tanto, se detallan no solo las novedades más significativas introducidas por el Anteproyecto, sino que también daremos cuenta, una vez confrontado con la regulación europea, la configuración jurídica de las figuras más relevantes que resultan de la conjunción de ambos instrumentos normativos.
3. Consentimiento y deber de información
Por la importancia que ostenta en ámbito de la protección de datos, la regulación jurídica del consentimiento y el deber de información, en el análisis de este texto legislativo, merece un apartado específico, cuyas notas más relevantes a nuestro parecer son las siguientes:
- Siguiendo las bases del Reglamento y a diferencia de lo que ocurre con la aún vigente LOPD, el Anteproyecto exige que el consentimiento proceda de “una declaración o de una clara acción afirmativa del afectado», excluyendo de tal modo el consentimiento tácito.
- En consonancia con lo anterior, cuando en el marco de un proceso de negociación o formalización de un contrato se solicite el consentimiento del afectado para llevar a cabo un tratamiento cuya finalidad no guarde relación directa con la relación contractual, el Anteproyecto también detalla que la inclusión de una casilla específica en el contrato es suficiente para cumplir el requisito de consentimiento expreso, siempre y cuando la misma no se encuentre previamente marcada.
- En cuanto a los datos de los menores de edad, el legislador español utiliza la potestad que le confiere el Reglamento, fijando en 13 años la edad a la que el menor puede prestar el consentimiento, de forma que se asimila el sistema español al de Estados de nuestro entorno.
- Asimismo, se relajan las obligaciones de información cuando los datos se obtienen del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información.
De este modo, se permite que el responsable del tratamiento pueda dar cumplimiento a dicho deber facilitando al afectado determinada información básica, esto es, la identidad del responsable, la finalidad del tratamiento y el modo de ejercitar los derechos. Con todo, el responsable del tratamiento deberá también indicar al interesado una dirección electrónica para acceder fácilmente al resto de información.
Con ello, el Anteproyecto ajusta a nuestro ordenamiento interno el principio de transparencia en el tratamiento, que regula el derecho de los afectados a ser informados acerca del tratamiento de sus datos.
Esto incluye el sistema de “información por capas”, que ya está siendo utilizado en ámbitos como la instalación de cookies.
4. Otras novedades relevantes
- En cuanto al régimen jurídico de los datos especialmente protegidos, el Anteproyecto establece restricciones adicionales en comparación con el Reglamento. En este sentido, se prevé que no bastará con el consentimiento del afectado para levantar la prohibición para aquellos tratamientos de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
En el plazo de dos años, el Gobierno elaborará un proyecto de ley en el que se establecerán condiciones adicionales, y, en su caso, limitaciones al tratamiento de datos genéticos, biométricos o relativos a la salud.
- En lo referente al tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica, el legislador nacional lo incluye en la figura del interés legítimo (siendo prácticamente la única referencia del Anteproyecto a esta figura), indicando que su tratamiento será lícito siempre que se haga sobre los mínimos datos imprescindibles y que la finalidad del tratamiento sea mantener relaciones con la persona jurídica.
- Aporta mayor detalle en relación con las obligaciones generales del responsable y enargado del tratamiento, que tras ponderar los riesgos que el tratamiento puede generar en los afectados y en su derecho a la protección de datos, determinarán las medidas a aplicar, para lo que enumera diferentes situaciones que comportan especial riesgo en los derechos de los afectados (por ej. crear o utilizar perfiles personales, mediante el análisis o la predicción de aspectos referidos a su situación económica, salud, preferencias o intereses personales ; tratamiento de datos especialmente protegidos; cuanto el tratamiento pueda generar situaciones de discriminación o daño a la reputación, etc.), en cuyo caso se recomienda valorar la realización de la evaluación de impacto y la consulta previa.
- En lo que concierne a las Evaluaciones de Impacto en la protección de datos (PIAs), el Anteproyecto no incorpora novedades con respecto al Reglamento, más allá de establecer como infracción grave que esta no se lleve a cabo cuando resulte exigible.
- En cuanto al ejercicio de los derechos de los interesandos, el Anteproyecto también incorpora algunas precisiones adicionales. En particular, el derecho de rectificación que prevé el Reglamento ha sido matizado, estableciendo que el afectado, con la solicitud, deberá incluir a qué datos se refiere y la corrección que haya de realizarse. Además, respecto al derecho a la portabilidad, este únicamente aplicará a los datos que el afectado hubiera facilitado directamente al responsable y no se extenderá a los datos que hubieran sido inferidos por el responsable a partir de estos.
- Respecto al Delegado de Protección de Datos, refuerza, más si cabe, su inviolabilidad dentro de la organizacíón. En este sentido, el Delegado no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.
- Asimismo, la futura Ley Orgánica mantiene el carácter obligatorio o voluntario de Delegado, que puede ser tanto persona física como jurídica e integrarse o no en la organización del responsable o encargado del tratamiento.
- No obstante lo anterior, el Anteproyecto sí que prevé una retahíla de supuestos en que la figura del Delegado resulta obligatoria, entre los que destacan: colegios profesionales, centros docentes, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de información que recaben información de los usuarios, establecimientos financieros de crédito, entidades aseguradoras, empresas de servicios de inversión, distribuidores de energía eléctrica, etc.
- En relación con los datos de personas fallecidas, el Anteproyecto permite a los herederos el ejercicio de los derechos de acceso, rectificación o supresión, según las instrucciones del fallecido.
- Respecto a los sistemas de canal de denuncias internas, será lícito que sean cursadas incluso anónimamente, estableciendo plazos de conservación de los datos a estos efectos e imponiendo obligaciones relativas a la confidencialidad de los datos.
- Del mismo modo, se procede a la adaptación de lo previsto en el Reglamento en cuanto a los procedimientos de aprobación de las autoridades de control, pudiendo estas probar modelos contractuales o normas corporativas vinculantes, autorizar determinadas transferencias o tramitar solitudes de información.
- También resulta destacable que el Anteproyecto otorga a la ENAC (Entidad Nacional de Acreditación) la función de acreditación y certificación prevista por el Reglamento para organismos de certificación con un nivel adecuado de pericia en materia de protección de datos.
- Para las compañías del sector público, prevé que el Esquema Nacional de Seguridad incluya «las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o acceso no autorizado”, remitiendo en lo relativo a los criterios de determinación del riesgo, al Reglamento General Europeo.
- En materia de régimen sancionador, el Anteproyecto clasifica las infracciones en tres grandes bloques (muy graves, graves y leves) graduando a tal efecto las infracciones incluidas en el Reglamento, con sus respectiva relación de atenuantes. También resulta relevante que el Anteproyecto adapta los plazos de prescripción, ligándolos a la cuantía de la sanción y no a que la infracción sea calificada como muy grave, grave o leve.
El texto prevé como fecha de entrada en vigor de la futura Ley el 25 de mayo de 2018.