Con motivo de la aprobación del Reglamento (UE) 2016/679, General de Protección de Datos, así como de la Carta de los Derechos Fundamentales de la UE que reconoce el derecho a la protección de datos, el Gobierno aprobó hace unos meses el Anteproyecto de Ley Orgánica de protección de datos, a razón de la transposición de la Directiva 95/46/CE de protección de datos y que derogará la actual LO 15/1999 (conocida como LOPD). En este artículo se verán algunas novedades introducidas por el Reglamento y contempladas en el Anteproyecto.

Si bien es sabido que las Directivas requieren de transposición nacional, salvo excepciones concretas, los Reglamentos son de aplicación directa en los estados miembros. Por lo tanto, surge la duda de ¿por qué es necesaria una Ley Orgánica para implementar el Reglamento (UE) 2016/679? A grandes rasgos, el Anteproyecto lo justifica en la necesidad de revisar las bases del modelo europeo de protección de datos y no en una mera actualización de las mismas. Por otro lado, el citado Reglamento establece un nuevo marco “al que los estados miembros han de adaptar su normativa interna, partiendo de la existencia de un régimen uniforme que deberá ser también aplicado de forma uniforme en toda la Unión”.

Entre las principales novedades del Anteproyecto se pueden destacar las relativas a los siguientes contenidos:

  • Consentimiento (artículo 7 del Anteproyecto y 7 del Reglamento):
    De la definición recogida en el Anteproyecto se desprende que ya no estará permitido el consentimiento tácito, además de establecer la obligación de requerir el consentimiento para cada una de las finalidades, sin validar un consentimiento genérico para el tratamiento.
  • Consentimiento de menores (Artículo 8 del Anteproyecto y 8 del Reglamento)
    El Anteproyecto fija la edad mínima para tratar los datos de los menores con su consentimiento a los 13 años, aunque los estados miembros disponen de cierto margen a la hora de fijar regular dicha edad, siempre que no sea inferior a 13 años. En cualquier caso, hasta la definitiva publicación de la Ley, la edad mínima continúa fijada en 14 años.
  • Personas fallecidas (Artículo 3 del Anteproyecto y considerandos 27, 158 y 160 del Reglamento)
    El Anteproyecto establece la posibilidad de los herederos de ejercer los derechos de acceso, rectificación o supresión en nombre de una persona fallecida.
  • Licitud del tratamiento e interés legítimo (Artículos 12-20 del Anteproyecto y artículo 6 del Reglamento)
    Algunos de los tratamientos recogidos en los artículos 12 a 20 parece que podrán contar con la base legal del interés legítimo, como es el caso del tratamiento de datos de contacto y de empresarios individuales, sistemas de información crediticia, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria o sistemas de información de denuncias internas en el sector privado. No parece tan claro el uso en el caso de marketing directo, que si lo permite el Reglamento.
  • Transparencia e información (artículo 21 del Anteproyecto y artículos 12, 13 y 14 Reglamento)
    Se incluye la posibilidad de informar por capas. Además, establece la obligatoriedad de incluir la información sobre la elaboración de perfiles en una primera capa de información. El afectado además puede oponerse a la toma de decisiones individuales automatizadas y que pueden producir efectos jurídicos sobre él o afectarle de medo significativo. Por el contrario, el Reglamento exige respecto de la elaboración de perfiles que la información sea más extensa.
  • Derecho portabilidad (Artículo 27 del Anteproyecto de la LOPD y artículo 20 RGPD)
    Se excluyen del derecho a la portabilidad los datos inferidos y solo será de aplicación para aquellos que el afectado haya facilitado y los derivados directamente del uso de los servicios prestados por el responsable.
  • Designación de delegado de protección de datos (Artículos 35 y 37 LOPD y artículos 37 a 39 del Reglamento)
    El Anteproyecto establece 15 supuestos en los que es obligatorio designar un DPO (Data Protection Officer), ampliando el listado del Reglamento. Entre otros, será necesario designar un DPO en las siguientes entidades:

    • Entidades que exploten redes y presten servicios de comunicaciones electrónicas
    • prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios
    • entidades que desarrollen actividades de publicidad y prospección comercial
    • operadores que desarrollen la actividad del juego a través de canales electrónicos, informáticos o interactivos.
    • Entidades financieras, de seguros y centros docentes
  • Evaluaciones de impacto (Artículo 30)
    El Anteproyecto incluye las evaluaciones de impacto como una de las obligaciones del responsable y el encargado. Se establece la obligación de realizar evaluaciones de impacto cuando se desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando se lleven a cabo tratamientos basados en las preferencias de los afectados o se realicen actividades que impliquen la elaboración de perfiles de los mismos, o cuando haya un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.
  • Régimen sancionador (Título VIII del Anteproyecto)
    El Anteproyecto adapta el régimen sancionador del Reglamento al ordenamiento español. Se describen de forma detallada las infracciones leves, graves y muy graves junto con los criterios de graduación para la imposición de las sanciones del Reglamento.
  • Falta de anonimato
    A fin de evitar la fragmentación del mercado interior, el Anteproyecto elimina el requisito relativo a la falta de anonimato de los canales de “whistle-blowing”.
  • Regulación ‘patria’ de aquellos que van a ayudar a las organizaciones a crear y mantener una cultura de protección de datos
    Íntimamente ligado con el apartado referido a la necesidad de designar DPO, el Ministerio de Justicia nombrará a profesionales de la privacidad para que sean oídos, cuando fuera necesario, en el Consejo Consultivo de la AEPD.
  • Procedimientos administrativosUn acierto ha sido el hecho de no regular por Ley Orgánica los distintos procedimientos administrativos y relegarlos a otra clase de disposición normativa de menor rango.

 

No sería extraño pensar que el Reglamento tiene “alma de directiva”, como afirman muchas voces, pues deja cierta libertad a los estados miembros para regular determinados aspectos como, entre otros:

  • Datos de las infracciones penales
  • Datos de salud (incluidos datos genéticos) y datos biométricos
  • Datos del ámbito del derecho del trabajo

En otros casos, es necesario que exista una norma, ya sea nacional o de la UE, para aplicar algunas disposiciones del Reglamento como es el caso de algunas de las causas de legitimación del tratamiento, por ejemplo:

  • Deberes impuestos por una Ley
  • Tratamiento basado en interés público
  • Tratamiento basado en investigación científica

La aplicación de disposiciones como estas requiere que las leyes nacionales cumplan con una serie de parámetros. Para el caso de España, sería necesario revisar y modificar aquellas normas que permitan utilizar lo establecido respecto al tratamiento de datos personales con plena seguridad jurídica, al menos en lo referido al tratamiento de datos sensibles, de acuerdo con la D.A. 9ª del Anteproyecto.

Por último, no todo son cambios. Se mantendrán figuras españolas derivadas de la LOPD o de interpretaciones controvertidas de la autoridad de control, como son:

  • El “bloqueo” de datos personales, que no comparte el concepto de “limitaciones del tratamiento” a que se refiere el Reglamento y puede imaginarse que es una forma de preservar el derecho de supervisión del afectado
  • La necesidad de consentimiento de los ficheros de solvencia positivos
  • La ausencia de de sanción económica al sector público por las infracciones en materia de protección de datos
  • El hecho de que una organización tenga que guardad “por cuenta” de su prestador de servicios cuando es éste quien tiene una obligación legal de conservación o el deber de chequear los listados Robinson

En definitiva, el Anteproyecto supone un texto que permite, en mayor o menor medida, realizar un trabajo parlamentario constructivo, capaz de eliminar meras repeticiones o contradicciones con el Reglamento o a nuestra jurisprudencia. Así mismo, cumplir con el propósito del Anteproyecto: coherencia, armonización y seguridad jurídica, y reconocer que el derecho a la protección de datos debe incorporarse a las formas de actuar en el sector público y privado y de forma equilibrada, como cualquier derecho o libertad fundamental.