Analizamos la Exposición de Motivos del Anteproyecto de Ley Orgánica de Protección de Datos, por la que se adapta la normativa nacional al Reglamento General de Protección de Datos y lo complementa para su mejor integración en nuestro derecho interno.
1. Antecedentes y contexto
El 27 de abril de 2016, se aprobó el Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a las protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.
La relevancia del Reglamento estriba en que se produce un cambio en el ámbito de la protecciónde datos, pasando de un modelo basado en el control del cumplimiento, a otro fundamentado en el principio de responsabilidad activa, en que la valoracióndel riesgo derivado del tratamiento de datos de carácter personal, así como la adopción de medidas recae en el responsable o encargado del tratamiento.
2. Objetivo y principales novedades
El anteproyecto de Ley Orgánica no pretende reiterar el texto del Reglamento general, sino clarificar sus disposiciones.
Tal y como se explicita su Exposición de Motivos: “La adaptación al Reglamento general de protección de datos […] requiere, en suma, la elaboraciónde una nueva ley orgánica que sustituya a la actual”.
Entre las novedades que, de acuerdo con la Exposición de Motivos, recogerá la futura Ley Orgánica de Protección de Datos, cabe destacar la regulaciónde los datos referidos a personas fallecidas, que permite a los herederos el ejercicio de los derechos de acceso, rectificación o supresión, en su caso, sujeto a las instrucciones del fallecido.
También resulta relevante la fijación de la edad a la que el menor puede prestar su consentimiento para el tratamiento de datos en 13 años, de forma que se asimila el sistema español al de estados de nuestro entorno.
Asimismo, de acuerdo con lo que prevé el Reglamento y a diferencia de lo que ocurre con la aun vigente LOPD, se exigirá que el consentimiento proceda de “una declaración o de una clara acción afirmativa del afectado”, excluyendo el consentimiento tácito.
El Anteproyecto también considerará supuestos que eran objeto de tratamientos especiales, y que ahora recogerá como “Disposiciones aplicables a tratamientos concretos”, a los que debe aplicarse la regla de equilibrio de intereses o ponderación del interés legítimo.
Igualmente, el Anteproyecto ajustará a nuestro ordenamiento interno el principio, propio del Reglamento, de transparencia en el tratamiento, que regula el derecho de los afectados a ser informados acerca del tratamiento de sus datos. Esto incluye la “información por capas”, que ya se reconoce en ámbitos como la videovigilancia o la instalaciónde dispositivos de almacenamiento masivo de datos (cookies).
Del mismo modo, se procederá a la adaptaciónde lo previsto en el Reglamento en cuanto a los procedimientos a través de los cuales las autoridades pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
3. Figura del Delegado de Protección
Tal y como se ha avanzado, una de las principales novedades del Reglamento consiste en el paso de un modelo de control del cumplimiento a otro de responsabilidad activa del responsable o encargado del tratamiento.
En este contexto, la figura del Delegado de Protección instituida por el Reglamento, cobra una importancia destacable, que se reflejará asimismo en el Anteproyecto de Ley.
La futura Ley Orgánica mantendrá el carácter obligatorio o voluntario del Delegado, que puede ser tanto persona física como jurídica e integrarse o no en la organización del responsable o encargado del tratamiento.
La designación del mismo deberá comunicarse a la Agencia Española de Protección de Datos, que deberá mantener una relación pública y actualizada de los delegados de protección de datos, accesible a cualquiera.
El delegado deberá contar con los medios materiales y personales suficientes, provistos por el responsable o encargado del tratamiento, quienes no podrán removerlo salvo en supuestos de dolo o negligencia grave.
Entre sus funciones está la de mediar en la resolución amistosa de reclamaciones, pudiendo el interesado reproducir aquellas que no han sido atendidas por el responsable o encargado del tratamiento, ante el Delegado de Protección de datos.
4. Régimende la AEPD yModelo de Ventanilla única
En la Ley actual se regula el procedimiento en caso de reclamaciones tramitadas por la AEPD. El Reglamento ha evolucionado hacia un modelo de “ventanilla única” en el que existe una autoridad de control y otras interesadas.
En este sentido, el Anteproyecto establecerá un procedimiento de cooperación entre autoridades de los Estados Miembros. En caso de discrepancias entre los mismos, se deben someter a la decisión vinculante del Comité Europeo de Protección de Datos.
Asimismo, la nueva regulación delimitará el régimen jurídico, la iniciación de los procedimientos, la inadmisión de las reclamaciones, el plazo de tramitación de los procedimientos y su suspensión, las actuaciones previas, y las medidas provisionales como el bloqueo.
5. Régimen Sancionador
La regulación del régimen sancionador en el Reglamento resulta parca, al establecer un sistema de sanciones genérico sin calificar la conductas y su correspondiente sanción, lo que sí efectúa la Ley Orgánica vigente.
El Anteproyecto aprovechará la diferenciación que el Reglamento establece al fijar la cuantía de las sanciones para mantener dicha distinción entre la gravedad de las infracciones (muy graves, graves, y leves). Del mismo modo, y al amparo de la cláusula referida a factores agravantes o atenuantes prevista en el Reglamento, la nueva norma nacional, reflejará entre los elementos que podrán tenerse en cuenta los que ya aparecían en el artículo 45.4 y 5 de la LeyOrgánica 15/1999.