Claves del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

Con ocasión de la aplicación a partir del día 25 de mayo del 2018 del nuevo Reglamento General de Protección de Datos (Reglamento UE 2016/679, en adelante «RGPD»), el Ministerio de Justicia acaba de abrir el trámite de consulta pública para la adaptación de la normativa española al RGPD. Sin perjuicio de que el texto sometido a consulta pública aún se trata del Anteproyecto de la futura Ley Orgánica de Protección de Datos (en adelante, «Anteproyecto»), desde Baker McKenzie han identificado los siguientes puntos clave que entendemos podrían ser de vuestro interés:

Consentimiento del afectado (artículo 7 del Anteproyecto): El nuevo texto introduce la obligación de que, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, se requerirá su consentimiento para cada una de dichas finalidades. Dicha obligación no quedaba recogida de forma tan clara en el texto del RGPD, e inevitablemente plantea cuestiones sobre su cumplimiento en un plano práctico, como por ejemplo, si serán necesarias varias casillas para cada una de las finalidades, y en ese caso, cómo debe implementarse dicho modelo en la práctica.

Consentimiento de los menores de edad (artículo 8 del Anteproyecto): El texto del Anteproyecto hace uso de la facultad concedida en el artículo 8.1 del RGPD, que por una parte establecía como regla general la edad mínima para la prestación de consentimiento para el tratamiento de datos personales en 16 años, pero por otra parte permitía a los Estados miembros reducir dicha edad hasta los 13 años. En consecuencia, el nuevo texto establece que podrán prestar consentimiento para el tratamiento de sus datos los mayores de 13 años.

Categorías especiales de datos (artículo 10 del Anteproyecto). El nuevo texto hace uso de la facultad conferida a los Estados Miembros en el art. 9.2 a) RGPD y establece que el consentimiento explícito del interesado no bastará para el tratamiento de determinadas categorías especiales de datos personales, sin hacer referencia a otras categorías especiales de datos (a saber, los datos de salud). El Anteproyecto, por tanto, no especifica si sensu contrario el resto de categorías especiales de datos no mencionadas pueden tratarse legítimamente sobre la base del consentimiento explícito del interesado.

Licitud de tratamientos (artículos 12-20 del Anteproyecto).
Los tratamientos previstos en los artículos 12-20 del nuevo texto (tratamiento de datos de contacto y de empresarios individuales, sistemas de información crediticia, tratamientos con fines de videovigilancia, listas Robinson, sistemas de información de denuncias internas, etc.) podrían formar un listado numerus clausus de supuestos en los que el tratamiento de datos personales podrá fundamentarse sobre la base del interés legítimo. Fuera de estos supuestos, parece que el interés legítimo como base para el tratamiento será difícil de alegar. Resulta también relevante la imposición de la obligación de que los datos personales incluidos en sistemas crediticios permanezcan bloqueados durante los primeros treinta días con el fin de que el interesado pueda ejercitar sus derechos. Por otro lado, destacar el empleo por parte del legislador de ciertos conceptos indeterminados cuya interpretación quedará sometida al criterio de la Agencia, tales como «mínimos datos imprescindibles para la localización profesional» o «datos hechos manifiestamente públicos por el afectado».

Canal de denuncias internas (artículo 17 del Anteproyecto). El nuevo texto recoge expresamente la posibilidad de que se puedan crear canales de denuncias internas en las entidades privadas a través de los cuales se puedan interponer denuncias de forma anónima, lo que supone un cambio respecto del criterio anteriormente seguido por la AEPD, principalmente reflejado en su informe jurídico 0128/2007.

Derecho a la portabilidad (artículo 27 del Anteproyecto). El nuevo texto parece que se aparta de lo previamente establecido por el Grupo de Trabajo del Artículo 29, en fecha 13 de diciembre de 2016, al no extender el derecho a la portabilidad a los datos que el responsable hubiera inferido a partir de aquéllos facilitados por el afectado y aquéllos derivados directamente del uso de los servicios prestados por el responsable. Por el contrario, el mencionado Grupo de Trabajo, considera que «el responsable del tratamiento debe incluir también los datos personales que se generan y se recaban a partir de las actividades de los usuarios en respuesta a una solicitud de portabilidad de los datos».

Medidas de seguridad (artículo 30 del Anteproyecto). El texto del Anteproyecto se hace eco del espíritu del RGPD en este sentido al no especificar las medidas de seguridad que deberán implementarse en cada caso, dejando al arbitrio de responsables y encargados la determinación de las mismas según sean o no adecuadas al nivel de riesgo de los tratamientos que en cada caso lleven a cabo (en línea con el principio de accountability). Por otro lado, el nuevo texto atribuye a determinados tratamientos un riesgo adicional a considerar por parte de responsables y encargados a la hora de adoptar dichas medidas de seguridad (por ejemplo, el tratamiento masivo que afecte a un gran número de interesados, el tratamiento que afecte a menores de edad, el tratamiento para la elaboración de perfiles, etc.). Se establecen por tanto dos niveles de exigencia a la hora de determinar las medidas técnicas y organizativas adecuadas.

Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea (artículo 32 del Anteproyecto). El representante en cuestión será responsable solidario junto con el responsable o encargado del tratamiento correspondiente en el cumplimiento del RGPD.

Encargados del tratamiento (artículo 34 del Anteproyecto). El nuevo texto aclara que un encargo de tratamiento seguirá siendo considerado como un mero acceso, y no como una comunicación de datos personales, por lo que cabe entender que, al igual que ocurría con la anterior regulación, no será necesario informar de dicho acceso a los interesados.

Designación de un Delegado de Protección de Datos (DPO) (artículo 35 del Anteproyecto)
. El nuevo texto enumera ciertos supuestos (15 supuestos concretamente) en los que se impone el deber de designar a un DPO ampliando y detallando el desglose incluido en el RGDP. Así, entre otras, cabe destacar la obligación de designar un DPO para las siguientes entidades: colegios profesionales, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos, establecimientos financieros, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades que desarrollen actividades de publicidad y prospección comercial, centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes u operadores que desarrollen la actividad del juego a través de canales electrónicos, informáticos o interactivo.

Más allá de la enumeración de supuestos en los que la designación del DPO resulta de obligado cumplimiento, en aquellos casos en los que las entidades lo hagan de manera voluntaria, este DPO quedará en todo caso sometido al mismo régimen previsto. Se establece en 10 días el plazo de comunicación del nombramiento o cese del DPO a la AEPD en todo caso y este registro actualizado de DPOs será accesible por medios electrónicos. El texto del Anteproyecto viene a concretar en este artículo el entendimiento de los supuestos de designación obligatoria de DPO anunciados en el RGPD ampliando expresamente el ámbito de las entidades afectadas por esta obligación.

Posición del DPO (artículo 37 del Anteproyecto). Además de recoger y desarrollar el rol y las funciones previstas para el DPO en el RGPD, el nuevo texto establece la obligación expresa para el DPO de comunicar inmediatamente a los órganos de administración y dirección del responsable o el encargado cualquier vulneración relevante en materia de protección de datos, proponiendo las medidas necesarias para evitar la persistencia de dicha conducta (artículo 37.5 del Anteproyecto). Esta obligación viene a ampliar el contenido de la función de supervisión del DPO incluida en el RGPD.

Transferencias internacionales (artículo 43 del Anteproyecto). En cuanto a la regulación de las transferencias internacionales de datos, el RGPD apostaba por un modelo en el que se eliminaba la necesidad de obtener autorización previa por parte de las autoridades de protección de datos, a diferencia de lo previsto por nuestra actual LOPD, que si requiere de dicha autorización. Sin embargo, el nuevo texto ha conservado la necesidad de obtener autorización en una serie de circunstancias concretas: (i) cuando la transferencia pretenda basarse en la adopción de cláusulas contractuales que no correspondan a las cláusulas tipo adoptadas por la Comisión (artículo 86.2 c) RGPD) o a las adoptadas por una autoridad de control y aprobadas por la Comisión (artículo 86.2 d) RGPD), y (ii) cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de la propio Anteproyecto (principalmente organismos del sector público), y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados.

Régimen sancionador (Título VIII del Anteproyecto). El Anteproyecto trata de complementar el régimen sancionador que establece el RGPD y adaptarlo en la medida de lo posible al ordenamiento jurídico español. El Anteproyecto establece la tradicional distinción entre infracciones leves, graves y muy graves e incorpora como criterios de graduación para la imposición de sanciones, además de los ya establecidos por el RGPD, los establecidos por la vigente LOPD (carácter continuando de la infracción, etc.). Respecto a la cuantía de las sanciones el Anteproyecto se remite expresamente a las establecidas en el RGPD. Sin embargo para establecer el plazo de prescripción de las sanciones, el Anteproyecto se remite a las cuantías establecidas por la vigente LOPD. Por tanto, si bien el nuevo texto contiene aspectos a valorar positivamente (listado exhaustivo de infracciones, criterios adicionales de graduación, etc.) siguen existiendo importantes lagunas respecto a la aplicación del régimen sancionador.

De presentar antes del 19 de julio alguna consulta u opinión ante el Ministerio de Justicia para la elaboración del nuevo proyecto normativo, Baker McKenzie ofrece ayuda en la preparación de las mismas.

No Comments Yet

Leave a Reply

SUSCRÍBETE AL BOLETÍN

Regístrate para recibir las últimas novedades del Programa de La Publicidad en tu email