«Claves de la futura LOPD», artículo de Daniel López, socio de ECIJA, para The Law Clinic.
El Ministerio de Justicia remitió al Consejo de Ministros del pasado día 24 de junio, el Anteproyecto de Ley Orgánica de protección de datos de carácter personal. El citado texto pretende adecuar nuestra actual Ley Orgánica 15/1999 al Reglamento General de Protección de Datos, incorporando las nuevas obligaciones y derechos establecidos por la normativa europea y regulando aquellos aspectos que quedaban a discreción de los Estados miembros de la Unión.
El Anteproyecto de Ley Orgánica, entrará en vigor, en caso de aprobarse en sede parlamentaria, en la misma fecha de la plena aplicación del RGPD, el próximo 25 de mayo del 2018.
La nueva norma viene a concretizar determinadas obligaciones establecidas en el RGPD para los responsables del tratamiento. Aspectos clave como el consentimiento expreso o el derecho a la información asociado, se encuentran definidos en el texto presentado, aportando mayor información sobre el modo en que debe ser obtenido. En este sentido, se específica que deberá obtenerse el consentimiento para cada una de las finalidades del tratamiento que se pretenda realizar, un reto que deberán afrontar las entidades, definiendo dichas finalidades y pudiendo acreditar el consentimiento expreso para las mismas, toda vez que el consentimiento tácito desaparece de la normativa sobre protección de datos, tal y como recoge el artículo 7.2 del Anteproyecto, indicándose que “cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste claramente dicho consentimiento para cada una de ellas”.
Otro de los aspectos que introduce el Anteproyecto en relación con el consentimiento, se refiere a los menores de edad, rebajando la edad actual de los catorce a los trece años. En este aspecto, deberá tenerse en cuenta cómo puede incidir este aspecto en normativas sectoriales, como el ámbito sanitario en relación con la historia clínica o a los prestadores de servicio de la sociedad de la información en su actividad, entre otros sectores.
El texto ahonda en el tratamiento de datos referidos a las personas fallecidas, permitiéndose a los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. Debemos recordar que la normativa actual sólo posibilitaba la comunicación del óbito al responsable del tratamiento con la finalidad de proceder a la cancelación de los datos.
Entre otras cuestiones relevantes abordas en el Anteproyecto, debemos destacar las habilitaciones legales para el tratamiento de datos derivadas del ejercicio de potestades públicas o del cumplimiento de una obligación legal, se clarifica el tratamiento de datos de contacto y de empresarios individuales y se introducen cuestiones relativas al tratamiento de datos hechos manifiestamente públicos por el afectado (exceptuando los datos de menores de edad o personas con discapacidad para las que se hubiesen establecido medidas de apoyo).
Se abordan tratamientos específicos de datos personales, tales como la videovigilancia avanzando en aspectos tales como la captación de imágenes en la vía pública o las obligaciones a adoptar (hasta la fecha reguladas en la Instrucción de la Agencia Española de Protección de Datos), o la utilización de sistemas de denuncias internas, legitimándose la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable (cuestiones estrechamente relacionados con el establecimiento de políticas de compliance por parte de las empresas).
Igualmente, se abordan los nuevos derechos de las personas sobre sus datos; los supuestos en los que será exigible la designación de un Delegado de Protección de Datos (ampliando los supuestos contemplados en el RGPD), su designación, funciones y perfil; la regulación de las transferencias internacionales y el nuevo régimen de infracciones y sanciones, así como las relaciones entre responsable y encargado del tratamiento o aspectos relacionados con la Agencia Española de Protección de Datos y las autoridades autonómicas, entre otras cuestiones.
Finalmente, debemos recordar que el Ministerio de Justicia ha iniciado los trámites de audiencia e información pública en relación con el Anteproyecto. Estos tienen por objeto recabar la opinión de los ciudadanos titulares de derechos e intereses legítimos afectados, obteniendo aportaciones adicionales sobre el texto normativo, de cara a avanzar en el proceso legislativo hasta la aprobación en sede parlamentaria de la nueva Ley Orgánica de Protección de Datos y entrada en vigor en mayo de 2018.