Novedades del Proyecto de Ley Orgánica de Protección de Datos de carácter personal

Analizamos el nuevo Proyecto de Ley Orgánica de Protección de Datos (LOPD) que acaba de aprobar el Consejo de Ministros,  incidiendo especialmente en las diferencias existentes con el Anteproyecto presentado en el pasado mes de junio.

1. Contexto

El 27 de abril de 2016, se aprobó el Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a las protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos (en adelante, el “RGPD”).

Si bien esta nueva norma será directamente aplicable a partir de mayo de 2018 en todos los Estados Miembros, sin necesidad de transposición, es necesario que los ordenamientos nacionales se actualicen, siempre sin contradecir lo dispuesto en el RGPD.

En este sentido, se ha producido el procedimiento correspondiente hasta que el Consejo de Ministros ha remitido a las Cortes Generales el Proyecto de nueva Ley Orgánica de Protección de Datos (cuyo texto integro os remitimos el pasado día 16). Este texto, que se basa en el borrador de Anteproyecto de Ley Orgánica de Protección de Datos, tiene por objetivo adaptar la legislación nacional al RGPD y, por tanto, sustituir a la actual Ley Orgánica 15/1999.

El Proyecto de Ley está estructurado en nueve títulos que contienen setenta y ocho artículos, diecisiete disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y cinco disposiciones finales. Asimismo, mantiene el espíritu del  mencionado Anteproyecto, que ya completaba el estatuto jurídico de determinadas figuras  (como el régimen sancionador, entre otros),  fijaba la edad mínima para prestar el consentimiento o aportaba mayor detalle respecto de las obligaciones generales del responsable y encargado del tratamiento.

Sin embargo, también incluye novedades con respecto al anterior texto, entre las que destacan las incluidas en el ámbito de aplicación, en la regulación del DPO o en las disposiciones relativas al deber de colaboración de los responsables con la Agencia Española de Protección de Datos (AEPD).

En el presente Breves, por tanto, se detallan las diferencias existentes entre este nuevo Proyecto de Ley y el anterior Anteproyecto, el cual fue objeto de análisis en el Breves del pasado mes de junio.

2. Principales diferencias introducidas por el Proyecto de Ley Orgánica de Protección de Datos

Las principales novedades detectadas en el nuevo Proyecto de LOPD se analizan en comparación con el texto anterior, clasificadasclas por las distintas materias en las que se engloban:

2.1 Ámbito de aplicación

En el apartado 2 del Artículo 2 del Proyecto, relativo a tratamientos que quedan fuera del ámbito de aplicación de la Ley, se recogen tres supuestos que no incluía el Anteproyecto: (i) los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; (ii) los tratamientos llevados a cabo por los órganos de la Administración General del Estado en el marco de ciertas actividades contempladas en el marco del Derecho de la Unión Europea, y (iii) los tratamientos efectuados por parte de las autoridades competentes y sus agentes con fines de seguridad pública y en el ámbito de la investigación y persecución de infracciones penales.

En el apartado 3 del mismo artículo, referente a los tratamientos a los que no aplica el RGPD porque quedan fuera del ámbito del Derecho de la Unión Europea, recoge tres casos particulares nuevos: a) los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general; b) los tratamientos realizados en el ámbito de instituciones penitenciarias, y c) los tratamientos derivados de los Registros Civil, de la Propiedad y Mercantil.

2.2 Consentimiento del afectado

Se produce un cambio de redacción en el apartado 2 del artículo 6, el cual versa sobre el supuesto concreto en el que se pretenda obtener el consentimiento del afectado para una pluralidad de finalidades. A tal efecto, el antiguo Anteproyecto indicaba que “será preciso que conste claramente dicho consentimiento para cada una de ellas”, mientras que el Proyecto establece que “será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas”.

Este cambio de redacción podría dar lugar a la interpretación de que bastaría con la obtención de un único consentimiento para diversas finalidades, mientras que del texto anterior se infería que era necesario un consentimiento diferenciado para cada finalidad. No obstante, si el propósito de este cambio de redacción fuera efectivamente hacer posible la obtención de un único consentimiento para todas las finalidades, debe tenerse en cuenta que esto podría colisionar con lo dispuesto en el propio RGPD, por lo que esta interpretación requerirá en todo caso de una evaluación minuciosa.

Por otro lado, se incluye un nuevo apartado que establece que no podrá supeditarse la ejecución de un contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. De esta manera, no sería posible establecer como condición obligatoria para formalizar un proceso de contratación que el usuario otorgue su consentimiento para finalidades accesorias.

2.3 Delegado de Protección de Datos

Existen algunas diferencias en lo relativo al listado de tipos de entidades que deben nombrar obligatoriamente un Delegado de Protección de Datos (DPO). En este sentido, en lo referente a las entidades que exploten redes y presten servicios de comunicaciones electrónicas se aclara que esto se dará únicamente cuando traten habitual y sistemáticamente datos personales a gran escala, de la misma forma que en relación con los prestadores de servicios de la sociedad de la información se matiza que será obligatorio en todo caso cuando elaboren a gran escala perfiles de los usuarios del servicio.

2.4 Derechos de los afectados

En relación con el derecho de acceso, el Anteproyecto indicaba que cuando el afectado eligiera un medio para ejercitar el derecho distinto al que le fuera ofrecido, asumiría los riesgos y los costes desproporcionados que su elección comporte. Sin embargo, este apartado ha sido eliminado en el nuevo Proyecto.

En relación con el derecho a la portabilidad de los datos, se han eliminado las disposiciones relativas a este derecho. De esta manera, el Proyecto de Ley no establece ningún tipo de regulación adicional en relación con el mismo con respecto al RGPD.

2.5 Inexactitud de los datos

Se amplía el concepto de presunción de exactitud cuando los datos proceden del afectado. En este sentido, se establece que no serán imputables al responsable que los datos sean inexactos, además de cuando se hayan recabado directamente del afectado, también cuando se hayan obtenido de un mediador o intermediario -cuando las normas aplicables al sector de actividad establezcan la posibilidad de intervención de dicho intermediario o mediador- y cuando los datos se hubieran recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad.

2.6 Procedimientos y régimen sancionador

Deber de colaboración. Se amplía bastante este concepto en relación con el Anteproyecto. A tal efecto, destaca la regulación de la posibilidad de que la AEPD, cuando no haya podido realizar la identificación por otros medios, recabe de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información los datos que obren en su poder.

Procedimiento. Se incluyen novedades en relación con el procedimiento en caso de posible vulneración de la normativa de protección de datos. Entre ellas, destaca el hecho de que se incluye un examen por parte de la AEPD del ámbito territorial y competencial del procedimiento. Los plazos máximos de tramitación de los procedimientos y notificación de las resoluciones se establecerán mediante real decreto, y no se podrá fijar un plazo superior a 9 meses.

Régimen sancionador. Se incorpora como infracción grave el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del RGPD.

2.7 Transferencias internacionales de datos

Matiza que el plazo máximo del proceso de autorización de la transferencias internacionales de datos será de un año.

2.8 Disposiciones aplicables a tratamientos concretos

Datos de contacto de empresas y de empresarias individuales. Se mantiene la presunción de que el tratamiento de datos de contacto y de empresarios individuales estaría amparado por la figura del interés legítimo del art. 6.1.f del RGPD, si bien se incluye que será así “salvo prueba en contrario”, abriendo por tanto la posibilidad de que esto pueda ser objeto de discusión en determinados casos.

Sistemas de información crediticia. Se mantienen las nuevas disposiciones relativas a los sistemas de información crediticia ya incluidas en el Anteproyecto, con cambios menores en la redacción y el orden, si bien se incluye también la salvedad de que será lícito “salvo prueba en contrario”, abriendo igualmente una vía para que se pueda discutir la licitud de la inclusión de datos en ficheros de solvencia patrimonial.

Datos manifiestamente públicos. Se ha eliminado en el Proyecto de Ley la presunción de licitud del tratamiento de los datos que el propio afectado hubiese hecho manifiestamente públicos.

Elaboración de estadísticas y archivo en interés público. En lo relativo al tratamiento de datos en el ámbito de la función estadística pública, si bien antes se impedía utilizar a estos efectos las categorías especiales de datos, el Proyecto matiza que podrán recogerse este tipo de datos previo consentimiento expreso de los afectados. Asimismo, se incluye un artículo relativo al tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas.

Datos de personas fallecidas. Añade en el Proyecto que, en el caso de que la persona fallecida fuera una persona con discapacidad, estas facultades también podrán ejercerse por quienes hubieran sido designados para el ejercicio de funciones de apoyo.

Videovigilancia y sistemas de exclusión publicitaria. Se mantienen los artículos relativos a Videovigilancia y sistemas de exclusión publicitaria con pequeños cambios, entre los que destacan que se añade que los responsables de sistemas de exclusión publicitaria deberán comunicar a la AEPD su creación.

 

Periscopio: