Carlos B Fernández. El Consejo de Ministros del pasado día 24 de junio recibió del Ministerio de Justicia el Anteproyecto de Ley Orgánica de Protección de datos de Carácter Personal que ya ha sido publicado por el Ministerio de Justicia para su información pública. Por su interés, reseñamos su principal contenido.
Esta ley orgánica consta de setenta y ocho artículos estructurados en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y cuatro disposiciones finales.
Título I, Disposiciones generales (artículos 1 a 3)
Establece el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), Reglamento general de protección de datos, y completar sus disposiciones.
Establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución (LA LEY 2500/1978), se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) y en esta ley orgánica.
Según la Exposición de motivos de la ley "Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro".
También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680 (LA LEY 6638/2016), previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 (LA LEY 4633/1999) hasta que se apruebe la citada normativa.
Título II. Principios de protección de datos (arts. 4 a 20)
Se divide en dos capítulos: Principios generales de protección de datos (artículos 4 a 10) y Disposiciones aplicables a tratamientos concretos (arts. 11 a 20).
En primer lugar, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia.
Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.
En el Capítulo II se recogen las disposiciones aplicables a tratamientos concretos, que que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento.
En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.
Título III. Derechos de las personas (arts. 21 a 29)
Se divide en tres capítulos: Transparencia e información (art. 21); Ejercicio de los derechos (arts. 22 a 28) y Obligación de bloque (art. 29).
El primero adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).
También se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.
Título IV. Responsable y encargado del tratamiento (arts. 30 a 40)
Se divide en cuatro capítulos: Disposiciones generales y medidas de responsabilidad activa (arts. 30 a 33); Encargado del tratamiento (art. 34); Delegado de protección de datos (arts. 35 a 38) y Códigos de conducta y certificación (arts. 39 y 40).
La Ley Orgánica mantiene la misma denominación del Capítulo IV del Reglamento, una de cuyas mayores novedes es el paso de un modelo basado en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa. Esto exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
De esta manera, la ley orgánica recoge la destacada importancia que el delegado de protección de datos adquiere en el RGPD. Para ello se parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.
La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.
Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave.
Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
Título V. Transferencias internacionales de datos (arts. 41 a 44)
Adapta lo previsto en el RGPD y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
Título VI. Autoridades de protección de datos (arts. 45 a 63)
Se organiza en dos capítulos: I. La Agencia Española de Protección de Datos, dividido en tres secciones: Disposiciones Generales (arts. 45 a 51), Potestades de investigación y planes de auditoría preventiva (arts. 52 a 55) y Otras potestades de la Agencia Española de Protección de Datos (arts. 56 y 57) y II. Autoridades autonómicas de protección de datos, dividido en dos secciones: Disposiciones generales (arts. 58 a 60) y Coordinación en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) (arts. 61 a 63).
la ley orgánica regula el régimen de la Agencia Española de Protección de Datos manteniendo su esquema anterior, reflejando refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control.
La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), que se relaciona con el Gobierno a través del Ministerio de Justicia.
Título VII. Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos (arts. 64 a 69)
El Reglamento (UE) 2016/679 (LA LEY 6812/2007) establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos. En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.
La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos, siendo posible que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta; la inadmisión de las reclamaciones; el plazo de tramitación de los procedimientos y, en su caso, su suspensión; las actuaciones previas de investigación; y las medidas provisionales, entre las que destaca el bloqueo de los datos. Las especialidades del procedimiento se remiten a desarrollo reglamentario.
Título VIII. Régimen sancionador (arts. 70 a 78)
Dado que el Reglamento (UE) 2016/679 (LA LEY 6812/2007) establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión, la ley orgánica procede a describir las conductas típicas, manteniendo la distinción entre infracciones muy graves, graves y leves, a la vista de la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones.
En cuanto a los plazos de prescripción, la ley orgánica regula los supuestos de su interrupción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos.
La ley orgánica aprovecha la cláusula residual del artículo 83.2 de la norma europea, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el artículo 45.4 (LA LEY 4633/1999) y 5 de la Ley Orgánica 15/1999 (LA LEY 4633/1999), y que son conocidos por los operados jurídicos.
Disposiciones adicionales (1.ª a 13.ª)
Se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos, acceso a contenidos de personas fallecidas, incorporación de deudas a sistemas de información crediticia, condiciones adicionales para el tratamiento de categorías, especialidades del régimen jurídico de la AEPD e identificación de los interesados en las notificaciones por medio de anuncios y publicaciones, entre otros.
Disposiciones transitorias
Están dedicadas al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680 (LA LEY 6638/2016).
Disposición derogatoria única
Sin perjuicio de lo previsto en las disposiciones transitorias cuarta y quinta, quedan derogadas la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de protección de datos de carácter personal y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica.
Disposiciones finales
La primera regula la naturaleza de la presente ley, que tiene el carácter de ley orgánica, a excepción del Capítulo II del Título II, el Título VI, salvo el artículo 61, el Título VII, el Título VIII, las disposiciones adicionales, salvo la disposición adicional segunda, las disposiciones transitorias y las disposiciones finales, salvo esta disposición final primera
La segunda, su título competencial.
La tercera modifica el artículo 15 bis (Intervención en procesos de defensa de la competencia y de protección de datos) de la
Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LA LEY 58/2000)
.
Entrada en vigor
Según la disposición final cuarta, la ley entrará en vigor el 25 de mayo de 2018, el mismo día en que comience a ser aplicable el RGPD.
Puede acceder al téxto íntegro del anteproyecto en el siguiente ENLACE