Falta menos de un año para que sea exigible el cumplimiento del nuevo Reglamento Europeo 2016/679 de Protección de Datos, que regulará la protección de los datos de carácter personal de manera uniforme en toda la Unión Europea. Una normativa que se caracteriza, además, porque será de aplicación directa, es decir, no requerirá su transposición al derecho nacional. No obstante, el Reglamento Europeo deja en manos de los Estados miembros la capacidad para adaptar determinadas materias, según sus principios y su tradición jurídica en el ámbito de la privacidad, siempre y cuando se respete la existencia de este régimen uniforme recogido en el texto comunitario.
Con ese afán, el legislador español ha elaborado un borrador de Anteproyecto de Ley Orgánica de Protección de Datos, que derogará la actual Ley 15/1999, donde recoge entre sus 78 artículos, aspectos como: el estatuto jurídico del Delegado de Protección de Datos; la edad mínima para prestar el consentimiento; las obligaciones generales del Responsable y Encargado del tratamiento; así como varias de las recomendaciones que publicó el Grupo de Trabajo del Artículo 29 (órgano consultivo independiente formado por las autoridades de protección de datos de la UE) y de las guías publicadas por la Agencia Española de Protección de Datos.
Con respecto a la forma de recabar el consentimiento, el Anteproyecto difiere de la actual Ley Orgánica de Protección de Datos en relación a la forma de recabar el consentimiento para su utilización: elimina la posibilidad de que éste pueda ser tácito y exige una declaración o una acción clara afirmativa del afectado, en línea con el Reglamento Europeo.
Asimismo, prevé que, en el marco de un proceso de negociación o formalización de un contrato, la inclusión de una casilla específica (sin marcar) sea suficiente para garantizar el requisito de consentimiento expreso, aun cuando la finalidad del tratamiento de datos no guarde relación directa con la relación contractual.
El anteproyecto también matiza las obligaciones de información con respecto a los datos obtenidos mediante redes de comunicaciones electrónicas o en el contexto de la prestación de un servicio de la sociedad de la información.
Se permite que el responsable del tratamiento cumpla el citado deber facilitando determinada información básica al afectado, como la identidad del responsable, la finalidad del tratamiento y el modo de ejercitar sus derechos, quedando asimismo obligado a proporcionar al interesado una dirección de correo electrónico que permita el fácil acceso a su información.
Resulta destacable que el anteproyecto ajusta a nuestro ordenamiento el principio de transparencia en el tratamiento. Este incluye el sistema de “información por capas”, similar al que se viene utilizando en la instalación de cookies.
Respecto al tratamiento de datos de menores de edad, la nueva LOPD, establece en 13 años la edad en la que éstos pueden prestar su consentimiento para el tratamiento de sus datos. De esta forma, el legislador busca acercar nuestro sistema al de Estados de nuestro entorno.
Bajo un esquema de análisis y ponderación de riesgo para la privacidad de los ciudadanos, consumidores y usuarios, establece nuevas obligaciones para el responsable y el encargado del tratamiento, quienes, tras valorar los riesgos que entraña el tratamiento para la protección de los datos del afectado, determinarán qué medidas aplicar.
En este sentido, el borrador de texto normativo, enumera diferentes situaciones que comportan especial riesgo (como la creación o utilización de perfiles personales mediante el análisis o la predicción de aspectos referidos a su situación económica, salud, preferencias o intereses personales). Sin embargo, no se introducen novedades con respecto al Reglamento europeo en lo relativo a las Evaluaciones de Impacto (PIAs).
También se incorporan precisiones sobre el ejercicio de derechos de los interesados, matizando el derecho de rectificación previsto por el reglamento, al establecer que el afectado debe incluir con la solicitud a qué datos se refiere y su correspondiente corrección.
Con respecto al ejercicio del derecho a la portabilidad, aclara que tan solo se prevé para los datos facilitados directamente al responsable por el afectado y no a los inferidos por el responsable, tal y como avanzaba el Grupo de Trabajo del Artículo 29.
Asimismo, el anteproyecto regula los datos de personas fallecidas, permitiendo a los herederos el ejercicio de los derechos de acceso, rectificación o supresión, conforme hubiera dispuesto el fallecido.
También se permite en el marco de los canales de denuncias internas que éstas sean cursadas anónimamente, estableciendo plazos de conservación e imponiendo obligaciones respecto a la confidencialidad de los datos.
Finalmente, la figura del Delegado de Protección de Datos, ve reforzada su protección al no poder ser removido ni sancionado por el responsable o encargado por el desempeño de sus funciones, salvo que incurriese en dolo o negligencia grave.
Se permite que sea persona física o jurídica, que se integre o no en la organización del responsable o encargado del tratamiento. Y, aunque se mantiene su carácter obligatorio o voluntario, el Anteproyecto enumera algunos supuestos en que la figura del Delegado es necesaria (colegios profesionales, establecimientos financieros de crédito, etc.).