Mes: junio 2017

«Claves de la futura LOPD», artículo de Daniel López, socio de ECIJA, para The Law Clinic.

El Ministerio de Justicia remitió al Consejo de Ministros del pasado día 24 de junio, el Anteproyecto de Ley Orgánica de protección de datos de carácter personal. El citado texto pretende adecuar nuestra actual Ley Orgánica 15/1999 al Reglamento General de Protección de Datos, incorporando las nuevas obligaciones y derechos establecidos por la normativa europea y regulando aquellos aspectos que quedaban a discreción de los Estados miembros de la Unión.

El Anteproyecto de Ley Orgánica, entrará en vigor, en caso de aprobarse en sede parlamentaria, en la misma fecha de la plena aplicación del RGPD, el próximo 25 de mayo del 2018.

La nueva norma viene a concretizar determinadas obligaciones establecidas en el RGPD para los responsables del tratamiento. Aspectos clave como el consentimiento expreso o el derecho a la información asociado, se encuentran definidos en el texto presentado, aportando mayor información sobre el modo en que debe ser obtenido. En este sentido, se específica que deberá obtenerse el consentimiento para cada una de las finalidades del tratamiento que se pretenda realizar, un reto que deberán afrontar las entidades, definiendo dichas finalidades y pudiendo acreditar el consentimiento expreso para las mismas, toda vez que el consentimiento tácito desaparece de la normativa sobre protección de datos, tal y como recoge el artículo 7.2 del Anteproyecto, indicándose que “cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste claramente dicho consentimiento para cada una de ellas”.

Otro de los aspectos que introduce el Anteproyecto en relación con el consentimiento, se refiere a los menores de edad, rebajando la edad actual de los catorce a los trece años. En este aspecto, deberá tenerse en cuenta cómo puede incidir este aspecto en normativas sectoriales, como el ámbito sanitario en relación con la historia clínica o a los prestadores de servicio de la sociedad de la información en su actividad, entre otros sectores.

El texto ahonda en el tratamiento de datos referidos a las personas fallecidas, permitiéndose a los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. Debemos recordar que la normativa actual sólo posibilitaba la comunicación del óbito al responsable del tratamiento con la finalidad de proceder a la cancelación de los datos.

Entre otras cuestiones relevantes abordas en el Anteproyecto, debemos destacar las habilitaciones legales para el tratamiento de datos derivadas del ejercicio de potestades públicas o del cumplimiento de una obligación legal, se clarifica el tratamiento de datos de contacto y de empresarios individuales y se introducen cuestiones relativas al tratamiento de datos hechos manifiestamente públicos por el afectado (exceptuando los datos de menores de edad o personas con discapacidad para las que se hubiesen establecido medidas de apoyo).

Se abordan tratamientos específicos de datos personales, tales como la videovigilancia avanzando en aspectos tales como la captación de imágenes en la vía pública o las obligaciones a adoptar (hasta la fecha reguladas en la Instrucción de la Agencia Española de Protección de Datos), o la utilización de sistemas de denuncias internas, legitimándose la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable (cuestiones estrechamente relacionados con el establecimiento de políticas de compliance por parte de las empresas).

Igualmente, se abordan los nuevos derechos de las personas sobre sus datos; los supuestos en los que será exigible la designación de un Delegado de Protección de Datos (ampliando los supuestos contemplados en el RGPD), su designación, funciones y perfil; la regulación de las transferencias internacionales y el nuevo régimen de infracciones y sanciones, así como las relaciones entre responsable y encargado del tratamiento o aspectos relacionados con la Agencia Española de Protección de Datos y las autoridades autonómicas, entre otras cuestiones.

Finalmente, debemos recordar que el Ministerio de Justicia ha iniciado los trámites de audiencia e información pública en relación con el Anteproyecto. Estos tienen por objeto recabar la opinión de los ciudadanos titulares de derechos e intereses legítimos afectados, obteniendo aportaciones adicionales sobre el texto normativo, de cara a avanzar en el proceso legislativo hasta la aprobación en sede parlamentaria de la nueva Ley Orgánica de Protección de Datos y entrada en vigor en mayo de 2018.

 

«La nueva LOPD, ¿dónde estamos y hacia dónde vamos?», artículo de María Teresa Martínez, abogada de ECIJA, para The Law Clinic.

El pasado 25 de mayo tuvo lugar la 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).

Se trata de una fecha simbólica, dado el hecho de que, precisamente ese día, comenzaba la que podríamos considerar como cuenta atrás definitiva para la plena aplicación del Reglamento General de Protección de Datos (RGPD), que se producirá a partir del 25 de mayo de 2018.

Las expectativas puestas en esta Sesión no eran pocas, pues se esperaba fuese aclaratoria o incluso definitoria en cuanto a muchos de los nuevos aspectos que supone la aplicación del RGPD y que aún se encuentran entre sombras.

Siendo ésta una norma con rango de Reglamento europeo, no es necesaria su trasposición al ordenamiento nacional de los Estados Miembros, puesto que es de aplicación directa. No obstante, el Reglamento establece que algunas de sus normas pueden ser especificadas o restringidas por el Derecho de los Estados Miembros por razones de coherencia y para que las disposiciones sean comprensibles para sus destinatarios. Asimismo, el RGPD delega en los Estados la toma de determinadas decisiones, como por ejemplo, la determinación de ciertos aspectos en relación con las sanciones.

En consecuencia, la actual Ley Orgánica de Protección de Datos (LOPD) 15/1999, dejará de ser aplicable en lo que contradiga al RGPD. Debido a todo ello, España planea la aprobación de lo que hasta ahora se conoce como “la nueva LOPD”.

Precisamente ésta era una de los cuestiones que más expectativas habían levantado de cara a la Sesión Anual de la Agencia. Una de las incógnitas que se esperaba resolver era la fecha de publicación esta nueva LOPD. Si bien desde un primer momento estaba prevista su publicación en los primeros meses de 2017, Mar España, Directora de la AEPD comunicó que el nuevo plazo previsto para su publicación no será hasta mayo de 2018.

Esta noticia fue recibida entre murmullos de sorpresa por parte de los asistentes. Este murmullo se puede entender justificado, ya que quedó patente que no podemos esperar que la nueva legislación nacional en materia de protección de datos se publique antes de la aplicación del RGPD. Si bien es cierto que determinados aspectos del Reglamento tienen una concreción que no da lugar a dudas, existen muchos otros extremos que causan una gran incertidumbre a las organizaciones, que han emprendido ya sus procesos de adaptación al RGPD acusando la falta de indicaciones claras en determinados aspectos por parte de las autoridades de control (la AEPD en el caso español).

En todo caso, también es justo señalar que ya existen documentos publicados que sirven de gran utilidad a los responsables y encargados del tratamiento en este proceso previo a la aplicación del RGPD. Entre éstos, cabe destacar los siguientes:

 

• En primer lugar, las Directrices del Grupo de Trabajo del Artículo 29 en materias tales como el nuevo derecho a la portabilidad, la figura del Delegado de Protección de Datos (DPO) o la determinación de la autoridad de control principal. Asimismo, se espera la próxima publicación de la Directrices sobre evaluaciones de impacto (PIAs por sus siglas en inglés).

 

• En segundo lugar, las guías y herramientas de la AEPD, entre las cuales cabe destacar la guía para la aplicación del RGPD por parte de los responsables del tratamiento, la referida al cumplimiento del deber de informar o la que establece directrices para la elaboración de contratos entre encargados y responsables del tratamiento. Además, durante esta Sesión Anual también se anunció la creación de una herramienta que ayude al cumplimiento del RGPD por parte de PYMES y MICROPYMES que realicen tratamientos de bajo riesgo.

A pesar de los importantes esfuerzos realizados, seguimos pendientes de determinar algunas cuestiones, como por ejemplo: las limitaciones que se van a implementar en cuanto al tratamiento de datos biométricos, genéticos y otros datos sensibles; la determinación de la edad para consentir por parte los menores; el tratamiento de los datos en el ámbito laboral; o la lista definitiva de tratamientos que van a requerir una evaluación de impacto, pues parece que las directrices del Grupo de Trabajo del Artículo 29 en esta materia no son demasiado aclaratorias.

Hay que tener claro que esta nueva LOPD y demás normas sectoriales en la materia no deben contradecir en ningún caso al RGPD y deben establecer y aclarar aquellos puntos que permiten cierta interpretación por parte de los Estados Miembros.

No debemos ser pesimistas, cierto es que aún queda mucho por avanzar y el tiempo apremia.

En todo caso, nos encontramos ante uno de los momentos más importantes para la protección de datos de los últimos años, claramente marcado por los retos de la era digital y la necesidad de buscar soluciones innovadoras que permitan proteger los derechos fundamentales de los ciudadanos comunitarios, así como lograr el impulso necesario para la consolidación de un fuerte Mercado Único Digital.