Carlos B Fernández. El Consejo de Ministros del pasado 10 de noviembre aprobó el Proyecto de nueva Ley Orgánica de protección de datos.
Hasta el momento de ofrecer un análisis más en profundidad de su contenido, presentamos a continuación un primer resumen de urgencia de su contenido.
El texto de la ley orgánica consta de 78 artículos, estructurados en 9 títulos, 17 disposiciones adicionales, 6 disposiciones transitorias, una disposición derogatoria y 5 disposiciones finales.
Título I - Disposiciones generales (artículos 1 a 3)
Regula el objeto de la ley, su ámbito de aplicación y los datos de las personas fallecidas.
El objeto de la ley es adaptar el ordenamiento jurídico español el Reglamento general de protección de datos, y completar sus disposiciones.
Establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución (LA LEY 2500/1978), se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) y en esta ley orgánica.
En cuanto al ámbito de aplicación, se excluyen los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la Directiva (UE) 2016/680 (LA LEY 6638/2016), previéndose en la disposición transitoria cuarta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), hasta que se apruebe la citada normativa.
También se regula el tratamiento de datos referidos a las personas fallecidas, que tras excluir del ámbito de aplicación de la ley su tratamiento, permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro.
Título II - Principios de protección de datos (artículos 4 a 10)
Este artículo recoge los principios de inexactitud de los datos; el deber de confidencialidad; el tratamiento basado en el consentimiento del afectado; el consentimiento de los menores de edad; el tratamiento de datos amparados por la ley; las categorías especiales de datos y el tratamiento de datos de categoría penal.
En cuanto al primer aspecto, se establece que a efectos del Reglamento (UE) 2016/679 (LA LEY 6812/2007), no serán imputables al responsable del tratamiento, siempre que éste haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, los datos personales que sean inexactos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando el responsable obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un intermediario o mediador.
En cuanto al deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia.
Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”.
Además, será preciso que en los supuestos de prestación del consentimiento del afectado para una pluralidad de finalidades conste de manera específica e inequívoca que se otorga para cada una de ellas.
Se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el Reglamento (UE) 2016/679 (LA LEY 6812/2007), cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal (como es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a objetivos específicos de control de riesgos y solvencia, supervisión e inspección del tipo de la Central de Información de Riesgos del Banco de España, o de los datos, documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros y Fondos de Pensiones).
En cuanto a las condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal sólo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley.
Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el Reglamento (UE) 2016/679 (LA LEY 6812/2007). Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de “listas negras” de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2 b) del Reglamento (UE) 2016/679 (LA LEY 6812/2007) o por los propios sindicatos en los términos del artículo 9.2 d) de la misma norma europea.
Título III – Derecho de las personas
Se divide en dos capítulos: Transparencia e información (art. 11) y Ejercicio de los derechos (arts. 12 a 18).
El art. 11 (Transparencia e información al afectado), al amparo de lo dispuesto en el Considerando 8 del RGPD, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento. Se recoge la denominada “información por capas” ya aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
A continuación, los arts. 12 a 18 del Proyecto se refieren a los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Título IV - Disposiciones aplicables a tratamientos concretos (arts. 19 a 27)
Incorpora una serie de supuestos de tratamientos (datos de contacto y de empresarios individuales; sistemas de información crediticia; realización de determinadas operaciones mercantiles; videovigilancia; sistemas de exclusión publicitaria; sistemas de información de denuncias internas en el sector privado; tratamiento de datos en el ámbito de la función estadística pública; tratamiento de datos con fines de archivo de interés público por parte de las Administraciones Públicas y datos relativos a infracciones y sanciones administrativas), con la prevención de que no se trata de una relación exhaustiva de todos los tratamientos considerados como lícitos.
Dentro de ellos cabe apreciar, como señala la exposición de motivos, en primer lugar, aquellos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto (si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo).
Junto a estos supuestos, se recogen otros, tales como la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en el sector privado en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1 e) del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
Finalmente, se hace referencia en este título a la licitud de otros tratamientos regulados en el Capítulo IX del Reglamento, como los relacionados con la función estadística o con fines de archivo de interés general.
En todo caso, se destaca, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva la obligación de los responsables de 13 adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del reglamento europeo y el Título V de esta ley orgánica.
Título V – Responsable y encargado del tratamiento
Se divide en cuatro capítulos dedicados, respectivamente, a las medidas generales de responsabilidad activa (arts. 28 a 32), al régimen del encargado del tratamiento (art. 33), a la figura del delegado de protección de datos (arts. 34 a 37) y a los códigos de conducta y certificación (arts. 34 a 37).
Estas figuras cobran particular relevancia, dada la evolución del modelo de protección de datos que pasa de un sistema basado fundamentalmente en el control del cumplimiento, a otro basado en el principio de responsabilidad activa, que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
El Delegado de protección de datos (DPO)
Destaca la regulación de la nueva figura del delegado de protección de datos, que puede tener un carácter obligatorio o voluntario, que puede estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. Para su desempeño no se exige una titulación concreta, aunque sí se prevé un sistema de certificación.
La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente, la Agencia Española de Protección de Datos, que mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.
Esta figura permite además configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
No podrá ser removido del cargo salvo supuestos de dolo o negligencia grave.
Título VI - Transferencias internacionales de datos (arts. 40 a 43)
Este título contempla el régimen de estas transferencias; los supuestos de adopción por la AEPD; los supuestos sometidos a autorización de la Agencia y los supuestos sometidos a información previa a la autoridad de protección de datos competente.
Se contemplan las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
Título VII – Autoridades de protección de datos
Se divide en dos capítulos. El primero (La Agencia Española de Protección de Datos), dividido a su vez en 3 secciones: Disposiciones generales (arts. 44 a 50); Potestades de investigación y planes de auditoría preventiva (arts. 51 a 54) y Otras potestades de la Agencia (arts. 55 y 56).
El segundo capítulo de este Título se dedica a las Autoridades autonómicas de protección de datos se divide en dos secciones: Disposiciones generales (arts. 57 a 59) y Coordinación en el marco de los procedimientos establecidos en el RGPD (arts. 60 a 62)
La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), que se relaciona con el Gobierno a través del Ministerio de Justicia.
Título VIII - Procedimientos en caso de posible vulneración de la normativa de protección de datos (arts. 63 a 69)
A la vista del modelo de “ventanilla única” previsto en el RGPD, que contempla una autoridad de control principal y otras autoridades interesadas, se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.
Con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.
La regulación contempla la iniciación de los procedimientos, siendo posible que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta; la inadmisión de las reclamaciones; las actuaciones previas de investigación; las medidas provisionales, entre las que destaca el bloqueo de los datos; y el plazo de tramitación de los procedimientos y, en su caso, su suspensión. Las especialidades del procedimiento se remiten al desarrollo reglamentario.
Título IX – Régimen sancionador (arts. 70 a 78)
Parte de que el Reglamento (UE) 2016/679 (LA LEY 6812/2007) establece un sistema de sanciones o actuaciones correctivas que permite un amplio margen de apreciación.
En este contexto, la ley orgánica procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones.
La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea.
Se prevén los supuestos de interrupción de la prescripción teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos.
Disposiciones adicionales (1.ª a 17.ª)
Se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos, el procedimiento en relación con las competencias atribuidas a la AEPD por otras leyes, la autorización judicial en materia de transferencias internacionales de datos, el acceso a contenidos de personas fallecidas, la incorporación de deudas a sistemas de información crediticia, la potestad de verificación de las administraciones públicas, la privacidad en las comunicaciones electrónicas, entre otros.
De conformidad con la disposición adicional decimoséptima, la normativa relativa a las excepciones y limitaciones en el ejercicio de los derechos que hubiese entrado en vigor con anterioridad a la fecha de aplicación del reglamento europeo y en particular los artículos 23 (LA LEY 4633/1999) y 24 de la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de protección de datos de carácter personal, seguirá vigente en tanto no sea expresamente modificada, sustituida o derogada. La pervivencia de esta normativa supone la continuidad de las excepciones y limitaciones que en ella se contienen hasta que se produzca su reforma o abrogación, si bien referida a los derechos tal y como se regulan en el Reglamento (UE) 2016/679 (LA LEY 6812/2007) y esta ley orgánica.
Así, por ejemplo, en virtud de la referida disposición adicional decimoséptima, las Administraciones tributarias responsables de los ficheros de datos con trascendencia tributaria a que se refiere el art. 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria (LA LEY 1914/2003), podrán, en relación con dichos datos, denegar el ejercicio de los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679 (LA LEY 6812/2007), cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
Disposiciones transitorias (1.ª a 6.ª)
Se dedican al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos, los consentimientos otorgados con anterioridad a la aplicación del RGPD y los contratos del encargado de tratamiento,
Disposición derogatoria
La nueva Ley deroga la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de protección de datos de carácter personal y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica.
Disposiciones finales (1.ª a 5.ª)
Se dedican a la naturaleza de la ley y al título competencial.
Se recogen también las modificaciones de los arts. 15 bis (Intervención en procesos de defensa de la competencia y de protección de datos) de la LEC y de los arts. 10, 11, 12 y nuevo art. 122 ter (Procedimiento de autorización judicial de conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos), de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LA LEY 2689/1998).
Entrada en vigor
Se prevé que la nueva LOPD (LA LEY 4633/1999) entrará en vigor el 25 de mayo de 2018.