El Anteproyecto de la Ley Orgánica de Protección de Datos ha recibido propuestas de modificación en su articulado. El Consejo de Estado ha emitido Dictamen puntualizando algunas sugerencias que considera ‘esenciales’ sobre el contenido de los artículos 5, 9.3, 13, 14, 20, 21, 22, 26, 35, 39, 49, 53 y 56.
Entre otros asuntos que han sido objeto de análisis por el Consejo de Estado, cabe destacar las relativas en materia de presunción de exactitud de datos obtenidos directamente; tratamiento de datos amparados por la Ley; la acreditación de la identidad del afectado para el ejercicio de sus derechos; derecho de acceso; los tratamientos relacionados con la realización de determinadas operaciones mercantiles; del Delegado de Protección de Datos (DPO); Códigos de Conducta y de nombramiento y; potestades normativas del Presidentes de la Agencia Española de Protección de Datos (AEPD).
De manera esquemática, a continuación, se expondrán las propuestas del Consejo sobre los 13 artículos mencionados anteriormente.
A efectos de consulta del contenido de cada artículo
– Reglamento UE 2016/679 Protección de Datos
Artículo 5. Presunción de exactitud
El Consejo apunta que el Reglamento (UE) 2016/679 no habilita a los Estados para desarrollar el ‘principio de exactitud’ y, por lo tanto, el contenido del artículo va ‘más allá de los previsto en el Reglamento comunitario’. Aunque la AEPD explica que lo pretendido con el contenido es evitar que recaiga sobre el responsable del tratamiento la responsabilidad de acreditar la exactitud de datos que ha recibido del afectado o de otro responsable en caso de ejercicio del derecho a la portabilidad de datos.
- El Consejo propone incluir en el Anteproyecto un previsión y no una presunción de exactitud como es este caso. En este sentido podría reemplazarse por ‘’no será imputable al responsable la inexactitud’’.
Artículo 9.3. Tratamiento de datos amparados por la Ley
El Consejo de Estado considera que este artículo 9.3 incurre en incumplimiento del Reglamento. La norma europea no realiza ninguna habilitación expresa para el desarrollo y concreción por los Estados miembros del supuesto contemplado en el artículo 6.1.f), al que hace mención este artículo 9.3, sobre el alcance de la legitimación del tratamiento.
- El Consejo aboga por eliminar completamente la disposición en este artículo 9.3.
Artículo 13. Disposiciones generales sobre ejercicio de los derechos
Este artículo contiene disposiciones sobre el ejercicio de los derechos del interesado regulados en los artículo 15 a 22 del Reglamento europeo. El Consejo realiza un apunte sobre la exigencia de un documento válido (válido también en formato electrónico) exigido por el artículo 13 para acreditar la identidad del afectado o su representante. En este sentido, señala que el artículo 13 va más allá de lo previsto en el Reglamento, puesto que éste último establece en su artículo 12.6 que el responsable del tratamiento, solo en caso de duda razonable, podrá solicitar del interesado o su representante, información adicional para confirmar su identidad.
- El Consejo considera necesario suprimir íntegramente el artículo 13.2, pues se excluyen medios de identificación alternativos al ‘documento válido’, contraviniendo así lo dispuesto en el Reglamento.
Artículo 14. Derecho de acceso
El Consejo considera que el apartado 3 de este precepto contraviene a lo dispuesto en el artículo 12.5 del Reglamento cuando se refiere a que el ‘acceso’ será a cargo del interesado cuando manifieste su desacuerdo con el medio propuesto por el responsable del tratamiento. El Reglamento establece, como regla general, la gratuidad del ejercicio de los derechos del interesado a los casos en que las solicitudes sean manifiestamente infundadas o excesivas.
- El Consejo opina que debe suprimirse esta disposición del Anteproyecto.
Artículo 20. Tratamiento de datos de contacto y de empresarios individuales
Relativo al tratamiento de datos de contacto de personas físicas que presten servicios en una persona jurídica y de empresarios individuales, se ampara en lo dispuesto por el artículo 6.1.f) del Reglamento europeo.
En cuanto a la prestación de servicios en un persona jurídica (20.1 Anteproyecto LOPD), el tratamiento debe referirse únicamente a los datos necesarios para la localización profesional del interesado y la finalidad deberá ser para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. Por lo tanto, resulta contrario a lo establecido en la norma europea, tal y como ya se ha visto en el análisis del artículo 9.3.
- El consejo, respecto del 20.1 del Anteproyecto considera que, si bien no cabe amparo en el artículo 6.1.f), si podría tenerlo en el artículo 88 del Reglamento, debiendo cambiar la referencia del artículo 20.1.
- Respecto al 20.2 del Anteproyecto, debería suprimirse.
Artículo 21. Tratamiento de datos hechos manifiestamente públicos por el afectado
En esta disposición no se hace referencia expresa al artículo 6.1 del Reglamento ni al 9.3 del Anteproyecto y, por lo tanto, no podrá considerarse incluido en ninguno de los supuestos de licitud contemplado en la norma europea y, del mismo modo, extralimitándose al límite de desarrollo del Reglamento por los Estado miembros. Además, la justicia europea ya estableció la incompatibilidad de los Estados miembros para la incorporación en el ordenamiento nacional de principios de legitimación del tratamiento no contemplados por la regulación europea.
- El Consejo considera debe eliminarse este artículo 21 del Anteproyecto.
Artículo 22. Sistemas de información crediticia
Al establecer el legislador comunitario que la determinación de las circunstancias en que un sistema de información crediticia será legítimo, serán valoradas, caso a caso, por el responsable del tratamiento y, en último término, por las autoridades de protección de datos y por los tribunales.
- Solo aquellos sistemas de información crediticia que responden a un determinado interés público podrán ser tratados por el legislador nacional.
Artículo 26. Tratamientos relacionados con la realización de determinadas operaciones mercantiles
La regulación de este artículo se ampara de nuevo en los ya citados 6.1.f del Reglamento y 9.3 del Anteproyecto y, siguiendo con lo ya mencionado al respecto, el legislador nacional no dispone de la habilitación necesaria para tal regulación.
- El Consejo considera que el artículo 26 debe eliminarse.
Artículo 35. Designación de un Delegado de Protección de Datos
La norma prevista en este artículo, a juicio del Consejo, es una extensión del artículo 37.1 del Reglamento, forzando la aplicación de los supuestos de éste último. Sin embargo, no resulta necesario, ni aceptable dice el Consejo, aplicar los término del 37.1, pudiendo conseguirse el mismo efecto por medio del artículo 37.4 habilitando a los Estados a ampliar los casos en que sea necesario designar un DPO.
- El Consejo propone una redacción alternativa del artículo 35.1 del Anteproyecto y completar el 35.2 haciendo mención expresa al Reglamento europeo.
Artículo 39. Códigos de conducta
El Consejo en este caso no contradice el contenido del artículo, ratificando la posibilidad de que existan otras entidades y organismos habilitadas para que promuevan la elaboración de códigos de conducta.
- El Consejo propone una reestructuración de los apartados de este artículo 39, sin que afecte al contenido del mismo.
Artículo 49. El Presidente de la AEPD
El Consejo echa en falta la regulación, respecto al Presidente de la AEPD, sobre las obligaciones, prohibiciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo. El Reglamento europeo, en su artículo 54.1, remite expresamente a los Estados tal regulación por Ley.
- El Consejo propone la incorporación de un artículo o varios epígrafes que completen tal regulación.
Artículo 53. Deber de colaboración
El Consejo se refiere sobre a la vinculación de este precepto con la potestad sancionadora de la AEPD y la incidencia sobre la configuración del derecho a la protección de datos de carácter personal y del derecho al secreto de las comunicaciones.
- Debería dotarse con carácter orgánico dicha vinculación, haciendo mención expresa de ello en la disposición final primera del Anteproyecto.
Artículo 56. Potestades de regulación. Circulares de la Agencia Española de Protección de Datos
El Consejo destaca la potestad normativa atribuida al Presidente de la Agencia, constituyendo una novedad que no se contemplada en la L.O. 15/1999. En los términos establecidos en este artículo 56, no solo se tiene atribuida la potestad reglamentaria, sino que la configura en unos términos muy amplios, permitiéndole ejercerla para dictar disposiciones de desarrollo y ejecución necesarias para la interpretación y el cumplimiento de una Ley Orgánica y de un Reglamento europeo.
Ahora bien, la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Pública, establece en su artículo 129.4 que la habilitación directa requiere que las autoridades u organismos tengan previamente atribuida potestad para dictar normas en desarrollo y aplicación, siempre que la naturaleza de la materia así lo exija, lo que no ocurre en este caso, de acuerdo al Dictamen del Consejo.
- Deben reconsiderarse las potestades normativas del Presidente de la AEPD, suprimiendo y/o modificando aquellas que resulten necesarias y adecuadas a las normas nacionales.
