Cargando. Por favor, espere

Las «10+1» claves del Proyecto de Ley...

Las "10+1" Claves del Proyecto de Ley Orgánica de Protección de Datos

Laura DAVARA FERNÁNDEZ DE MARCOS

Doctora en Derecho y Socia en Davara&Davara

@lauradavara www.davara.com

Diario La Ley, Nº 12, Sección Ciberderecho, 5 de Diciembre de 2017, Wolters Kluwer

LA LEY 9198/2017

Reseña de los aspectos esenciales del Proyecto de Ley Orgánica de Protección de Datos remitido por el Gobierno a las Cortes Generales para adaptar adaptar la legislación española a las disposiciones del Reglamento Europeo de Protección de datos.

El 10 de noviembre de 2017 el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos, que tiene por objeto adaptar la legislación española a las disposiciones del Reglamento Europeo de Protección de datos (RGPD).

Como novedades principales, este Proyecto de Ley Orgánica incorpora, entre otras cuestiones: las medidas de responsabilidad activa, la figura del Delegado de Protección de Datos (DPO), el tratamiento de datos de personas fallecidas o los sistemas de denuncias internas en una entidad. Conviene tener en cuenta, en todo caso, que el Reglamento Europeo es de aplicación directa en nuestro país y, por tanto, si, cuando se apruebe el texto definitivo, hay algo de la nueva Ley Orgánica que contradiga lo dispuesto por el Reglamento Europeo, será este el que prevalezca.

Hay que destacar, igualmente, que el texto presentado es un Proyecto de Ley Orgánica, por lo que, hasta su aprobación definitiva puede experimentar cambios en la redacción y contenidos.

Hasta ese momento, estas son sus claves:

1

LAS 4 “W” DEL PROYECTO (WHO, WHEN, WHY, WHAT)

“Who and When”: El Anteproyecto de Ley Orgánica de Protección de Datos fue impulsado por el Consejo de Ministros el 23 de junio de 2017, a propuesta del ministro de Justicia; es consecuencia del Reglamento General de Protección de Datos (LA LEY 6637/2016) aprobado por el Parlamento Europeo. qué entró en vigor el 25 de mayo de 2016 y que será de plena aplicación el próximo 25 de mayo de 2018.

“Who and When”: El 10 de noviembre de 2017 el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos que adaptará la legislación española a las disposiciones del RGPD de 2016, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país.

“Why”: Pese a que el Reglamento Europeo es de aplicación directa en todos los Estados Miembros de la Unión, en la propia Exposición de Motivos del Proyecto de Ley Orgánica de Protección de datos se indica que “La adaptación al Reglamento general de protección de datos (LA LEY 6637/2016), que será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual. En esta labor se han preservado los principios de buena regulación, al tratarse de una norma necesaria para la adaptación del ordenamiento español a la citada disposición europea y proporcional a este objetivo, siendo su razón última procurar seguridad jurídica”.

“What”: El Proyecto de Ley Orgánica de Protección de Datos está compuesto por una Exposición de Motivos, 9 títulos, 17 disposiciones adicionales, 6 disposiciones transitorias, 5 disposiciones finales, una única disposición derogatoria y un total de 78 artículos.

2

NOVEDADES RESPECTO A LA ANTERIOR LOPD (LA LEY 4633/1999)

Hay varios aspectos que, en la LOPD (LA LEY 4633/1999) de 1999 no estaban contemplados. Los aspectos novedosos que introduce el texto del Proyecto de LOPD respecto a la LOPD son:

• El tratamiento de datos de personas fallecidas (Art.3)

• El Whistleblowing, esto es, el tratamiento de datos en el sistema interno de denuncias en una empresa (Art.24)

• Las medidas de responsabilidad activa -más conocido como Accountability-. (Arts. 28-32)

• El derecho de supresión y el derecho a la portabilidad de los datos y (Arts. 15 y 17)

• El delegado de protección de datos, más conocido por sus siglas en inglés: DPO

• El tratamiento con fines de videovigilancia

Y, por supuesto, todas las cuestiones que incorpora el RGPD y que suponen un cambio de actitud -de una mentalidad reactiva a una mentalidad proactiva- y a las que, en muchos casos, se remite el texto del Proyecto de Ley al Reglamento y no las regula extensamente (Privacidad desde el diseño y privacidad por defecto o el Comité Europeo de Protección de datos, a los que alude el Proyecto de Ley).

3

EL CONSENTIMIENTO: NOVEDADES

Consentimiento:

Si bien no cabe duda de que el consentimiento es uno de los ejes vertebradores de toda la normativa en protección de datos, el Proyecto de Ley Orgánica de Protección de datos sigue la línea de lo dispuesto por el Reglamento Europeo y exige que el consentimiento (Art.6) sea una “clara acción afirmativa”. Con esto surge una de las principales diferencias respecto a la LOPD (LA LEY 4633/1999) del 99 que, como sabemos, en determinados casos, permitía el consentimiento tácito.

En concreto, el artículo 6 apartado segundo del Proyecto, reza así:

“2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas”

Llamamos la atención sobre el hecho de que en el Anteproyecto de LOPD -al igual que en el Reglamento de desarrollo de la LOPD (LA LEY 4633/1999)- sí que se hacía referencia a la inclusión de una casilla y en el texto del Proyecto se ha suprimido la referencia explícita y se ha sustituido por “será preciso que conste de manera específica e inequívoca”.

Consentimiento en menores de edad:

Respecto a los menores de edad, la LOPD (LA LEY 4633/1999) no mencionaba nada y es que, en 1999 no estaba tan generalizado como ahora el acceso de los menores a Internet y, por ende, no se producía un tratamiento de datos de carácter personal tan masivo. No fue hasta el año 2007 cuando el Reglamento de desarrollo de la LOPD (LA LEY 4633/1999) introdujo la posibilidad de que fuera el menor -a partir de los catorce años- quien prestara el consentimiento para el tratamiento de sus datos, siempre y cuando una Ley no dispusiera lo contrario.

Por su parte, y en nuestra opinión teniendo en cuenta las condiciones de uso de los servicios más usados por los menores en la Sociedad de la Información en la que vivimos (nos referimos a Instagram, Snapchat, algunos videojuegos y diversos juegos online), el legislador español hace uso de la habilitación otorgada por el Reglamento Europeo para reducir la edad mínima para prestar el consentimiento y fija el límite de edad para prestar el consentimiento en los trece años en el artículo 7 del Proyecto de Ley.

Por último, llamamos la atención sobre el hecho de que, el artículo 73 del Proyecto de Ley califica como infracción grave “No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007)”

4

INFORMACIÓN Y TRANSPARENCIA

El derecho-deber (puesto que tiene una doble vertiente: derecho del interesado a obtener información sobre el tratamiento de sus datos y deber del responsable del fichero a informar sobre el tratamiento de datos de carácter personal que realiza) a la información es uno de los principios, esto es obligaciones, para el responsable del fichero previsto en la LOPD (LA LEY 4633/1999) de 1999. El Reglamento Europeo ha aumentado ese deber de información, incluyendo una mayor información del interesado que, al final, comporte un mayor control del mismo sobre sus datos de carácter personal. Se trata de una cuestión de matices pero nos llama la atención cómo en el Reglamento Europeo se habla de “Transparencia de la información” y en el Proyecto de la Ley se habla de “Transparencia e información” (Art.11).

En concreto, el artículo 11 del Proyecto de Ley establece bajo el título “transparencia e información al afectado”, que cuando los datos de carácter personal sean obtenidos del afectado “a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, así como en aquellos otros supuestos expresamente establecidos por la ley o cuando así lo autorice la Agencia Española de Protección de Datos”, el responsable del tratamiento podrá cumplir con el deber de información del artículo 19 del Reglamento Europeo siempre y cuando le indique una dirección electrónica u otro medio que permita acceder “de forma sencilla e inmediata” a toda la información restante que exige el Reglamento y le proporcione, al menos, la siguiente información:

• La identidad del responsable del tratamiento y de su representante, en su caso.

• La finalidad del tratamiento.

• El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento Europeo

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, además de la información sobre la identidad del responsable, la finalidad del tratamiento y el modo para ejercitar los derechos, se deberá informar sobre la finalidad de la elaboración de perfiles y sobre su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente.

Por último, en caso de que los datos no hayan sido recabados directamente del titular, el deber de información incluirá, además de los tres ítems mencionados, información sobre las categorías de datos objeto de tratamiento y las fuentes de la que procedieran los datos. Además de proporcionar al interesado esta información, es necesario ofrecerle una dirección electrónica -o medio equivalente- mediante la que pueda tener acceso sencillo al resto de información que exige el Reglamento.

5

MEDIDAS DE RESPONSABILIDAD ACTIVA

Desde que salió a la luz la primera versión del Reglamento Europeo, mucho se ha oído hablar de la supresión del deber de notificar los ficheros a la Agencia Española de Protección de Datos. Y es cierto. Pero también lo es que el Reglamento Europeo y, por ende, el Proyecto de Ley suponen un cambio de paradigma y de actitud en los responsables de los ficheros, que han de pasar de una responsabilidad pasiva-reactiva a una responsabilidad proactiva.

Esta responsabilidad activa -también conocida por su denominación en inglés “accountabilty”-, está integrada por una serie de nuevas obligaciones para los responsables del fichero y encargados del tratamiento en lo que a tratamiento de datos se refiere impuestas por la normativa europea. Por ello, se ha de proceder a implementar en la entidad todas las medidas necesarias para cumplir con los principios de protección de datos y poder demostrarlo -debiendo, por tanto, documentar toda su actuación-.

Como no podía ser de otra manera, el Proyecto de Ley sigue esta misma línea de actuación y exigencia y así podemos encontrar estas medidas plasmadas en el Capítulo I del Título V bajo el título “Medidas de responsabilidad activa”. Y, en concreto, hacemos hincapié en los artículos 28, 31 y 32 que versan, respectivamente, sobre las obligaciones del responsable y del encargado del tratamiento así como sobre la evaluación de impacto (PIA, por sus siglas en inglés) y el registro de actividades de tratamiento (1) que deberán implementar todos los responsables -remitiendo, en determinados puntos a lo dispuesto por el Reglamento Europeo a estos efectos.

6

MÁS ALLÁ DE LOS DERECHOS ARCO: PORTABILIDAD Y SUPRESIÓN

Puesto que el Proyecto de Ley Orgánica de Protección de Datos nace a raíz del Reglamento Europeo de Protección de datos, además de los conocidos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), también queremos hacer alusión a dos nuevos derechos que incorpora esta normativa: Derecho a la portabilidad de los datos y Derecho de supresión (Derecho al olvido)

La primera pregunta a la que queremos responder es si hay alguna novedad en el Proyecto de Ley respecto a los derechos ARCO.

Respecto al derecho de acceso, si bien es el mismo derecho de acceso de la normativa europea y, por ende, del Proyecto de Ley es el mismo que contempla la LOPD del 99, se introducen algunas cuestiones novedosas que consideramos de interés resaltar.

• En primer lugar, el Proyecto de Ley (artículo 13) no fija un plazo de respuesta para atender el derecho de acceso, a diferencia de los 30 días que establece la LOPD (LA LEY 4633/1999).

• En segundo lugar, en el Proyecto de Ley, a diferencia de su predecesora LOPD, se menciona como sistema de acceso a los datos de carácter personal objeto de solicitud un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad.

• Por último, respecto a la posibilidad de denegar el acceso o de cobrar un canon por los gastos administrativos que le supone a un responsable del fichero un ejercicio abusivo del derecho de acceso, el Proyecto de Ley considera que el responsable del fichero podrá adoptar una de las dos medidas antedichas cuando el interesado ejerza el derecho de acceso en intervalos inferiores a seis meses, siempre y cuando no exista una causa que lo legitime, mientras que, en la LOPD (LA LEY 4633/1999) del 99 dicho plazo estaba establecido en doce meses.

Por lo que respecta al derecho de rectificación, el Proyecto de Ley, en el artículo 14 se remite a lo dispuesto en el Reglamento Europeo en materia de derecho de rectificación e indica que “Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679 (LA LEY 6812/2007), el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento”. Además, al igual que en el ejercicio del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta para atender el derecho de acceso, a diferencia de los 10 días que establece la LOPD (LA LEY 4633/1999).

Por su parte, el artículo 18 del Proyecto de LOPD se limita a remitirse a lo dispuesto por el Reglamento Europeo de Protección de Datos al afirmar que “El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).”

Los dos nuevos derechos son: el derecho de supresión (derecho al olvido) y el derecho a la portabilidad de los datos.

Mucho se ha oído hablar en los últimos años del derecho al olvido. Y es que, el Reglamento Europeo es la primera normativa en materia de protección de datos que regula, bajo esa denominación, el derecho al olvido. Hay quien opina que el derecho al olvido no es sino una nueva denominación del derecho de cancelación pero no entraremos a debatir esta cuestión en este momento.

Lo que sí diremos es que la expresión ”derecho al olvido” está contemplada en el Reglamento Europeo pero no en el Proyecto de Ley en el que, en todo momento, se refiere a él como “derecho de supresión”. Más allá de la denominación, cabe destacar que el artículo 15 del Proyecto de Ley se remite por completo a lo dispuesto por el Reglamento Europeo en este sentido. Asimismo, ha de tenerse en cuenta que ni el Reglamento Europeo ni el Proyecto de Ley establece un plazo de respuesta para atender el derecho al olvido. De hecho, la única referencia que hace el Reglamento Europeo es que la entidad ante quien se solicite responderá “sin dilación indebida”

Por último, el Proyecto de Ley dedica su artículo 17 a regular el Derecho a la portabilidad de los datos -creado por el Reglamento Europeo de Protección de datos- y se limita a incorporar una referencia al artículo 20 del Reglamento dedicado íntegramente al contenido y requisitos de este derecho.

7

EL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Junto con el derecho al olvido, una de las cuestiones que más revuelo ha causado en empresas, abogados y formadores ha sido la figura del conocido como DPO o, lo que es el mismo, Delegado en protección de datos. En el Proyecto de Ley, todo lo referente a esta figura se encuentra en el Capítulo III del Título V.

Lo primero que hay que dejar claro es que si bien en la normativa del 99 y en el Reglamento de desarrollo se habla del “responsable de seguridad”, el DPO es, sin duda, una figura que abarca y supone mucho más que el responsable de seguridad. No vamos a entrar a enumerar las funciones y tareas del DPO en la entidad porque están especificadas en el Reglamento Europeo y a él nos remitimos pero sí vamos a hacer hincapié en las cuestiones plasmadas en el Proyecto de Ley que, son de interés. Estas cuestiones son:

• El artículo 34 incorpora un listado -de la a a la ñ- enumerando los sujetos obligados a designar un DPO -entre los que cabe destacar: los colegios profesionales, las Universidades, las entidades aseguradoras, los distribuidores y comercializadores de energía eléctrica y los operadores que desarrollen la actividad de juego a través de canales electrónicos, por citar sólo algunos.

• Se indica también que, tanto el nombramiento como el cese del DPO deberá ser notificado a la AEPD en un plazo de diez días. Por su parte, la AEPD mantendrá un listado actualizado de los DPO que se podrá consultar vía electrónica.

• Por último, destacar que el artículo 35 del Proyecto de Ley, sobre la necesidad de demostrar los conocimientos y experiencias de la persona designada como DPO, menciona los procedimientos voluntarios de certificación como medio para acreditarlo.

8

CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN

Los Códigos de conducta son una herramienta que ya estaba plasmada en la normativa del 99 pero el Reglamento Europeo los incluye en su articulado y les dota de gran importancia para la aplicación práctica de sus disposiciones. En este sentido, el Proyecto de Ley, en su artículo 38, indica que los códigos de conducta a los que se refiere el Reglamento Europeo serán vinculantes para quienes a ellos se adhieran y tendrán que ser aprobados por la Agencia Española de Protección de datos o por la autoridad autonómica correspondiente. Asimismo, afirma el Proyecto de Ley que, tanto La Agencia Española de Protección de Datos como las autoridades autonómicas de protección de Datos, mantendrán un registro -que deberá ser accesible por medios electrónicos- de los códigos de conducta aprobados

En materia de certificación, el artículo 39 del Proyecto de Ley establece que la acreditación de las instituciones de certificación a las que se refiere el Reglamento Europeo será llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones.

En este sentido, cabe destacar que ya se ha publicado en la web de la Agencia Española de Protección de Datos -en el apartado dedicado a la aplicación del Reglamento Europeo- el Esquema de Certificación de Delegados de Protección de Datos de la Agencia Española de Protección de Datos en donde constan los requisitos, formalidades y demás cuestiones de interés -tanto para los que quieren ejercer como DPO como las entidades que deseen acreditarse como entidades de certificación-.

Por último, tener en cuenta que, si bien no será un requisito indispensable certificarse para acceder a la posición de Delegado de Protección de Datos, la AEPD pretende que sirva como mecanismo riguroso para dar a las entidades garantías suficientes sobre la cualificación y capacidad profesional de los candidatos.

9

SANCIONES

Como no podía ser de otra manera, el Proyecto de Ley incorpora un régimen sancionador a aplicar en caso de vulneración del derecho fundamental a la protección de datos por incumplimiento de lo dispuesto en la Ley.

En un primer momento, llama la atención cómo, al hablar de sujetos potencialmente sancionables, la LOPD (LA LEY 4633/1999) del 99 se limitaba a los responsables del fichero y encargados del tratamiento, mientras que el Proyecto de Ley, en su artículo 70, añade, además, a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Y deja, expresamente, fuera del régimen sancionador al DPO.

Por lo que se refiere a las infracciones, mantiene tanto la distinción de la LOPD (LA LEY 4633/1999) entre infracciones leves, graves y muy graves como los plazos de prescripción de las mismas en uno, dos y tres años y hace una enumeración de cada una de las tipologías.

De las infracciones del artículo 72 del Proyecto de Ley -las consideradas como muy graves- traemos a colación las que pueden resultar más llamativas o de mayor interés:

d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello

e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679 (LA LEY 6812/2007), sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y 12 de esta ley orgánica.

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.

De las infracciones contempladas en el artículo 73 y consideradas “graves”, destacamos las siguientes:

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679 (LA LEY 6812/2007)

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

t) El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica

De las consideradas como infracciones leves, contempladas en el artículo 74, destacamos las siguientes:

a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

m) La notificación incompleta o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica.

El Proyecto de Ley se remite a lo dispuesto en materia de sanciones en el Reglamento Europeo y en su artículo 76 incorpora algunos criterios de graduación de las sanciones entre los que cabe destacar: a) El carácter continuado de la infracción, la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal y los beneficios obtenidos como consecuencia de la comisión de la infracción, la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción y la existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

Por su parte, el apartado tercero del artículo 76 matiza que “Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007)”

Por último, se indica que, cuando la AEPD haya impuesto a una persona jurídica una sanción que suponga una multa superior a un millón de euros los datos del infractor y la infracción cometida serán publicados en el BOE

10

ENTRADA EN VIGOR Y DEROGACIONES

La Disposición final quinta establece que la Ley entrará en vigor el 25 de mayo de 2018. Recordemos que el Reglamento Europeo entró en vigor el 25 de mayo de 2016 y será de aplicación directa el 25 de mayo de 2018.

Las normas que quedan derogadas son:

Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de protección de datos de carácter personal (LOPD (LA LEY 4633/1999)) (Disposición derogatoria única)

— Todas las disposiciones de igual o inferior rango a la LOPD (LA LEY 4633/1999) que contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) y la Ley (cuando se apruebe el Proyecto de Ley) (Disposición derogatoria única)

Por último, la Disposición adicional decimoséptima indica que “Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 (LA LEY 4633/1999) y 24 de la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de protección de datos de carácter personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas”

11

CURIOSIDADES DEL PROYECTO DE LEY

1. La máxima autoridad de la Agencia Española de Protección de Datos se denominará “Presidente” y no “Director” y su mandato tiene una duración de 5 años (a diferencia de los 4 años que prevé la LOPD (LA LEY 4633/1999))

2. El Proyecto de Ley ha suprimido la referencia explícita a la “casilla” cuando se solicita el consentimiento para una pluralidad de finalidades por la alusión a una “manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas

3. El Proyecto de Ley ha suprimido -respecto al texto del Anteproyecto- el artículo dedicado a “tratamiento de datos hechos manifiestamente públicos por el interesado

4. En materia de videovigilancia, se incluye expresamente la posibilidad de que el empleador video-vigile a sus empleados.

5. Ya no se habla de “datos especialmente protegidos” sino de “categorías especiales de datos” y la relación de datos integrados en “categorías especiales de datos” no es exactamente la misma en el Reglamento Europeo que en el Proyecto de Ley.

6. Se establece que “Las infracciones cometidas y los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado”.

7. Se incorpora como principio de protección de datos la inexactitud de los datos.

8. Introduce un artículo específico y califica como obligación el “bloqueo de datos

9. No se habla de “Inspecciones Sectoriales” pero, con una finalidad similar, se habla de “Planes de auditoría preventiva”.

10. El Proyecto de Ley no menciona las Instrucciones de la AEPD sino las “Circulares

11. El Proyecto de Ley -a diferencia de la LOPD. sí hace referencia al cómputo de los plazos previstos en esta Ley afirmando que cuando los plazos se señalen por días, se entiende que éstos son hábiles -especificando que quedan excluidos los sábados, los domingos y los declarados festivos-.

(1)

La Agencia Española de Protección de Datos acaba de lanzar a través de su página web una nueva opción que “permite a los responsables descargar en formato digital un contenido que puede ser utilizado como base para elaborar el registro de actividades de tratamiento que será obligatorio cuando sea aplicable el RGPD” Disponible en http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php Visitado el 24 de noviembre de 2017

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll