«La nueva LOPD, ¿dónde estamos y hacia dónde vamos?», artículo de María Teresa Martínez, abogada de ECIJA, para The Law Clinic.
El pasado 25 de mayo tuvo lugar la 9ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD).
Se trata de una fecha simbólica, dado el hecho de que, precisamente ese día, comenzaba la que podríamos considerar como cuenta atrás definitiva para la plena aplicación del Reglamento General de Protección de Datos (RGPD), que se producirá a partir del 25 de mayo de 2018.
Las expectativas puestas en esta Sesión no eran pocas, pues se esperaba fuese aclaratoria o incluso definitoria en cuanto a muchos de los nuevos aspectos que supone la aplicación del RGPD y que aún se encuentran entre sombras.
Siendo ésta una norma con rango de Reglamento europeo, no es necesaria su trasposición al ordenamiento nacional de los Estados Miembros, puesto que es de aplicación directa. No obstante, el Reglamento establece que algunas de sus normas pueden ser especificadas o restringidas por el Derecho de los Estados Miembros por razones de coherencia y para que las disposiciones sean comprensibles para sus destinatarios. Asimismo, el RGPD delega en los Estados la toma de determinadas decisiones, como por ejemplo, la determinación de ciertos aspectos en relación con las sanciones.
En consecuencia, la actual Ley Orgánica de Protección de Datos (LOPD) 15/1999, dejará de ser aplicable en lo que contradiga al RGPD. Debido a todo ello, España planea la aprobación de lo que hasta ahora se conoce como “la nueva LOPD”.
Precisamente ésta era una de los cuestiones que más expectativas habían levantado de cara a la Sesión Anual de la Agencia. Una de las incógnitas que se esperaba resolver era la fecha de publicación esta nueva LOPD. Si bien desde un primer momento estaba prevista su publicación en los primeros meses de 2017, Mar España, Directora de la AEPD comunicó que el nuevo plazo previsto para su publicación no será hasta mayo de 2018.
Esta noticia fue recibida entre murmullos de sorpresa por parte de los asistentes. Este murmullo se puede entender justificado, ya que quedó patente que no podemos esperar que la nueva legislación nacional en materia de protección de datos se publique antes de la aplicación del RGPD. Si bien es cierto que determinados aspectos del Reglamento tienen una concreción que no da lugar a dudas, existen muchos otros extremos que causan una gran incertidumbre a las organizaciones, que han emprendido ya sus procesos de adaptación al RGPD acusando la falta de indicaciones claras en determinados aspectos por parte de las autoridades de control (la AEPD en el caso español).
En todo caso, también es justo señalar que ya existen documentos publicados que sirven de gran utilidad a los responsables y encargados del tratamiento en este proceso previo a la aplicación del RGPD. Entre éstos, cabe destacar los siguientes:
- En primer lugar, las Directrices del Grupo de Trabajo del Artículo 29 en materias tales como el nuevo derecho a la portabilidad, la figura del Delegado de Protección de Datos (DPO) o la determinación de la autoridad de control principal. Asimismo, se espera la próxima publicación de la Directrices sobre evaluaciones de impacto (PIAs por sus siglas en inglés).
- En segundo lugar, las guías y herramientas de la AEPD, entre las cuales cabe destacar la guía para la aplicación del RGPD por parte de los responsables del tratamiento, la referida al cumplimiento del deber de informar o la que establece directrices para la elaboración de contratos entre encargados y responsables del tratamiento. Además, durante esta Sesión Anual también se anunció la creación de una herramienta que ayude al cumplimiento del RGPD por parte de PYMES y MICROPYMES que realicen tratamientos de bajo riesgo.
A pesar de los importantes esfuerzos realizados, seguimos pendientes de determinar algunas cuestiones, como por ejemplo: las limitaciones que se van a implementar en cuanto al tratamiento de datos biométricos, genéticos y otros datos sensibles; la determinación de la edad para consentir por parte los menores; el tratamiento de los datos en el ámbito laboral; o la lista definitiva de tratamientos que van a requerir una evaluación de impacto, pues parece que las directrices del Grupo de Trabajo del Artículo 29 en esta materia no son demasiado aclaratorias.
Hay que tener claro que esta nueva LOPD y demás normas sectoriales en la materia no deben contradecir en ningún caso al RGPD y deben establecer y aclarar aquellos puntos que permiten cierta interpretación por parte de los Estados Miembros.
No debemos ser pesimistas, cierto es que aún queda mucho por avanzar y el tiempo apremia.
En todo caso, nos encontramos ante uno de los momentos más importantes para la protección de datos de los últimos años, claramente marcado por los retos de la era digital y la necesidad de buscar soluciones innovadoras que permitan proteger los derechos fundamentales de los ciudadanos comunitarios, así como lograr el impulso necesario para la consolidación de un fuerte Mercado Único Digital.