
La rápida evolución tecnológica y la globalización, el flujo de datos personales en la sociedad de la información y la sobreexposición en RRSS y omnipresencia de las TIC… permite nuevos y mejores servicios pero también supone una avalancha de nuevos riesgos toda vez que los datos personales son más accesibles, y circulan de manera vertiginosamente rápida a través de la red, siendo más complicado su control, uso y tratamiento.
Ello hizo necesario la aprobación del Reglamento Europeo de Protección de Datos, que ha determinado la redacción del presente anteproyecto que nos ocupa, a fin de adaptarse a esta nueva realidad digital donde los datos de carácter personal adquieren especial relevancia y significado.
Como señala la Exposición de Motivos del Anteproyecto de Ley que nos ocupa, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española, estableciendo que “ la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
El Tribunal Constitucional señaló en la Sentencia de 4 de Mayo de 1998 que nos encontramos ante un derecho fundamental por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, uso y destino, para evitar el tráfico ilícito, y la Sentencia de 30 de Noviembre del 2000 lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales.
La norma, viene a adecuarse y a perfilar los términos del novísimo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. De aprobarse dicho anteproyecto vendría a sustituir a la actual y vigente LOPD de 1999 ,dictada en trasposición de la Directiva 95/46 CE , hoy superada por el Reglamento Europeo anteriormente mencionado.
Las 10 Novedades Más Relevantes
1.- El título I relativo a disposiciones comunes, trata de adaptar el ordenamiento jurídico español al Reglamento ( UE) .
Destaca la novedosa regulación sobre los datos personales de personas fallecidas. Permite que los herederos puedan solicitar el acceso a los datos de carácter personal, así como su rectificación o supresión, con sujeción a las instrucciones del fallecido.
El artículo 3 del ALOPD establece que “1. los herederos de una persona fallecida que acredite debidamente tal condición, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales y , en su caso, su rectificación o supresión.
Como excepción, los herederos no podrán acceder a los datos del causante , ni solicitar su rectificación o supresión , cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
2.El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese conferido un mandato expreso para ello también podrá solicitar , con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso, su rectificación o supresión”.
Mediante Real Decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones, y , en su caso, el registro de los mismos.
“3. En caso de fallecimiento de menores o personas con discapacidad para las que se hubiesen establecido medidas de apoyo, estas facultades podrán ejercerse, en el marco de sus competencias, por el Ministerio Fiscal”.
2.- El título II, relativo a “ principios de protección de datos”,
Entre las cuestiones más destacadas:
.-Se presumen exactos y actualizados los datos obtenidos directamente por el afectado.
.-Se recoge expresamente el deber de confidencialidad.
.-Se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos pro quien carezca de competencia.
.-En cuanto al consentimiento, debe realizarse con un declaración o una clara acción afirmativa del afectado, excluyendo lo que se conocía como “ consentimiento tácito”.
.- Se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años.
Especialmente criticable este último inciso, ya que el Reglamento actual que desarrolla la LOPD, en su artículo 13 , establecía una edad superior ( concretamente 14 años) como edad mínima para que el menor pudiera prestar su consentimiento para transferir datos de carácter personal y por tanto abrir cuentas en RRSS y demás cuestiones relacionadas con la materia.
Hay que tener en cuenta, que el Reglamento Europeo de Protección de Datos, en su artículo 8 establece como edad mínima para la prestación del consentimiento del menor los 16 años, con posibilidad de que cada uno de los Estados miembros pueda fijar una edad distinta siempre que no baje del mínimo de 13 años.
¿Por qué nuestro legislador ha optado por rebajar la edad mínima del menor para transferir datos de carácter personal y prestar su consentimiento? ¿Por qué se ha , desprotegido al menor de esta manera?. El Código Penal en su modificación del año 2015 elevaba la edad para prestar el consentimiento sexual de 13 a 16 años, pero con la nueva regulación parece haberse optado por rebajar la edad mínima para abrir al menor la puerta a todo tipo de riesgos por Internet. ¿ Está realmente preparado y cuenta con suficiente madurez un menor de 13 años para abrir cuentas por sí mismo en RRSS y transferir datos de carácter personal?
La aparente justificación de armonizar la edad con las requeridas por ejemplo por EEUU ( en el que están establecidos la mayor parte de prestadores de servicios) y que fijan legislaciones tales como la COPPA ( Children Online Privacy Protection Act) no es óbice para que nuestro legislador haya optado por la solución más fácil y complaciente con los grandes prestadores de servicios, haciendo responsable a un menor de tan sólo 13 años de cuestiones tan sensibles y delicadas como el tratamiento de datos de carácter personal y la prestación de su consentimiento.
Y ello , sin entrar en nuestra eterna crítica, de que de nada sirve establecer un límite o mínimo de edad en menores para proteger a nuestros niños, si en la práctica no hay ningún control, filtro o baremo para garantizar la autenticidad de esa edad y la veracidad de este consentimiento.
En cambio si debemos criticar muy duramente , que haya desaparecido y se ha suprimido ( casual o intencionadamente ¿?) el inciso de que el prestador del servicio y el responsable del tratamiento debería garantizar que se cumple dicho procedimiento y que el consentimiento se ha prestado válidamente ( recordemos que el todavía actual reglamento que desarrolla la LOPD, en su artículo 13 en cuanto al consentimiento del menor establece en su último inciso que “ corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales”) , algo que sí hace el último inciso del artículo 8 del Reglamento Europeo, y que hace el actual Reglamento que desarrolla la LOPD Y que dejará de tener efecto con la entrada de la nueva Ley en el caso de que fuera aprobada.
Adapta al Derecho español el principio de transparencia en el tratamiento del Reglamento europeo , que regula el derecho de los afectados a ser informados acerca del tratamiento , se recoge al denominada “ información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos ( tales como las “ cookies”).
En cuanto a los tratamientos con fines de videovigilancia, el artículo 15 establece que sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones. Dichos datos serán suprimidos en el plazo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de las personas , bienes o instalaciones. El deber de información previsto en el artículo 12 del Reglamento Europeo, se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento UE 2016/679.En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.
Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20 del ET. En el supuesto de que las imágenes hayan captado la comisión flagrante de un acto ilícito por los trabajadores, bastará haber facilitado la información a la que se refiere el apartado anterior.
El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediantee la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control , regulación, vigilancia y disciplina del tráfico se regirá por su legislación específica y supletoriamente por el RUE.
3.- Título III dedicado a los derechos de las personas
Se vuelve a contemplar los ya conocidos derechos “ ARCO” sobre derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
4.- El título IV se refiere al responsable y al encargado del tratamiento.
La mayor novedad del Reglamento es pasar de un modelo basado en el control de cumplimiento, a otro que descansa en el principio de responsabilidad activa. Ello se traduce en que el encargado del tratamiento, como responsable, debe hacer una previa valoración del riesgo que pudiera generar el tratamiento de los datos, para , a partir de esa valoración, adoptar las medidas que procedan. El ALOPD sigue la misma estructura y sistemática que el Reglamento Europeo, y distingue entre medidas generales de responsabilidad activa, el régimen del encargado del tratamiento , la figura del DPO ( delegado de protección de datos) y a los mecanismos de autoregulación y certificación.
EL ALOPD dedica un capítulo entero al Delegado de Protección de Datos ( en adelante DPO) en los artículos 35 y ss. Siguiendo la línea del Reglamento, la norma establece que los responsables y encargados del tratamiento deberán ( con carácter obligatorio) designar un delgado de protección de datos en los supuestos previstos por el citado Reglamento ( artículo 37.1 del RUE 2016/679). Se consideran incuidas dentro de estos supuestos: los colegios profesionales y sus consejos generales, los centros docentes ,entidades que exploten redes y presten servicios, prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios , entidades de ordenación , supervisión y solvencia de entidades de crédito, los establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, las empresas de servicios de inversión reguladas por la LMV, los distribuidores y comercializadores de energía eléctrica, entidades responsables de ficheros comunes para la evaluación de solvencia patrimonial, entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, centros sanitarios legalmente obligados al mantenimiento de historias clínicas de los pacientes, las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas , los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, quienes desempeñen las actividades reguladas por la Ley de Seguridad Privada.
No obstante, con carácter potestativo y no preceptivo, además, los responsables o encargados del tratamiento no incluidos en la enumeración citada anteriormente ( artículo 35 del ALOPD) podrán designar un DPO voluntario .
Los responsables y encargados del tratamiento comunicarán en el plazo de 10 días a la AEPD y en su caso a las autoridades autonómicas de protección de datos, las designaciones, nombramientos, y ceses de los DPO ( haya sido la designación obligatoria o voluntaria). La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos accesibles por cualquier persona.
El DPO , ya sea una persona física o jurídica ( ¿?) deberá reunir los requisitos del Reglamento Europeo y demostrar reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios correspondientes , incluidos los mecanismos de certificación.
El DPO actuará como interlocutor y responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento , el DPO no podrá ser removido ni sancionado por el responsable o el encargado de desempeñar sus funciones salvo dolo o negligencia grave en su ejercicio.
El DPO tendrá acceso a los datos personales y procesos de tratamiento y cuando aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección , proponiéndole las medidas necesarias para evitar la persistencia de esta medida.
Es de destacar que el delgado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones , pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
5.-El Título V relativo a transferencias internacionales de datos
Regula los supuesto en los que las autoridades de protección de datos pueden aprobar modelos o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia o información previa.
La Agencia Española de Protección de Datos podrá aprobar cláusulas atipo para la realización de transferencias internacionales de datos , que se someterán previamente al Dictamen del Comité Europeo de Protección de Datos previsto en el RUE. La Agencia Española de Protección de Datos podrá aprobar normas corporativas vinculantes . El procedimiento se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de un año.
Los responsables del tratamiento deberán informar a la AEPD o en su caso autoridades autonómicas de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos.
6.-El Título VI, se dedica a las autoridades de protección de datos
Manteniendo el esquema anterior, la nueva Ley regula el régimen de al AEPD y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente.
7.- El Título VII regula “ el procedimiento en caso de reclamaciones tramitadas pro la Agencia Española de Protección de Datos”.
El Reglamento Europeo ( UE) 2016/679 establece un sistema novedoso , evolucionando hacia un modelo de “ ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y , en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos. En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si el tratamiento tiene o no carácter transfronterizo, y en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.
8.- El título VIII contempla el régimen sancionador.
La Ley Orgánica procede a describir las conductas típicas ( manteniendo la clasificación entre infracciones muy graves, graves y leves, de importancia capital en materia de plazos de prescripción).
El Reglamento deja amplio margen para la determinación de la cuantía de las sanciones ( factores agravantes y atenuantes).
Son sujetos responsables : los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación, entidades acreditadas de supervisión de los códigos de conducta.
En cuanto a la prescripción de las sanciones, las mismas prescribirán : las de importe inferior a 40.000€ al año, las de importe comprendido entre 40.001 y 3”.000 € a los dos años , las que tengan un importe superior a 300.000€ a los tres años.
9.- Las disposiciones adicionales se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos, y transparencia y acceso a la información pública , cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos .
Las disposiciones transitorias es´tan dedicadas, entre otras cuestiones , al Estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva ( UE) 2016/680.
10.-Disposiciones finales y entrada en vigor.
El presente ALOPD, en el caso de aprobarse tendría la consideración de Ley Orgánica, y se dicta al amparo de la competencia estatal exclusiva conforme a lo dispuesto en el artículo 149.1.1 de la CE.
La presente norma modifica la LEC, y concretamente el artículo 15 bis de la misma.
La presente Ley entrará en vigor el 25 de Mayo de 2018, coincidiendo con la entrada en vigor del Reglamento Europeo.
Conclusiones.
El CGPJ ya ha criticado duramente la falta de coherencia de algunos aspectos del anteproyecto de LOPD. El pasado mes de Julio, EL CGPJ emitía un informe en el que se ponían de manifiesto algunas de sus deficiencias técnicas y en el que se le reprochaba al texto “ una cierta falta de coherencia con la función y finalidad de la norma”, considerando que “ en ocasiones el articulado propuesto traspasa los límites de las funciones que serían de su competencia”. Otras de las críticas que se le recrimina al texto es que “ es innecesaria y vacía de contenido , habida cuenta del efecto directo del Reglamento” , “ ser reiterativa” y que en ocasiones “ no respeta debidamente la prelación normativa , derivada de la primacía de la norma del Derecho de la Unión y de la eficacia y aplicabilidad directa de los Reglamentos”.
El COPJ ya ha anunciado que se reserva la posibilidad de emitir un nuevo informe y todavía queda mucho camino hasta su aprobación definitiva. Un texto , sin duda mejorable, donde se podían haber escuchado a diversos colectivos afectados. La norma, que es de capital importancia marcará un nuevo hito en materia de protección de datos, como ya lo hiciera su antecesora, a finales de los años 90: la todavía vigente LOPD.
Firmado por: Miriam Guardiola Salmerón
Colaboradora en Derecho & Perspectiva.