Claves y comentarios sobre el nuevo anteproyecto de la Ley Orgánica de Protección de Datos
El pasado junio, el Ministerio de Justicia remitió al Consejo de Ministros un informe sobre el Anteproyecto de Ley Orgánica de Protección de Datos. El objetivo de esta nueva regulación será el de adaptar la legislación española al Reglamento General de Protección de Datos, el Reglamento comunitario en esta materia, que entró en vigor el 25 de mayo de 2016 pero que no será de plena aplicación hasta el próximo 25 de mayo de 2018. Aunque el Anteproyecto está aún en una fase bastante preliminar de la tramitación, el referido informe nos permite destacar ya algunos de los cambios más significativos que traerá consigo la nueva normativa española en materia de protección de datos. En principio, la futura Ley Orgánica, dado precisamente la naturaleza de orgánica, debería tratar los aspectos relacionados con el derecho fundamental del que se deriva la protección, es decir, los recogidos en el art.18.4 de la Constitución Española, dejando que el resto de normativa aplicable sea el Reglamento General de Protección de Datos (RGPD). De ese modo, no se introducirían muchas particularidades que dejarían sin efecto lo pretendido por la regulación a través del Reglamento Europeo, que es la homogenización de normas aplicables a los tratamientos en la Unión Europea. Sin embargo, el Anteproyecto introduce otras cuestiones que no afectan directamente al derecho fundamental protegido. Podemos señalar como puntos llamativos del Anteproyecto de la Ley Orgánica de Protección de Datos los siguientes aspectos:
- Como notas generales al contenido del Anteproyecto, destaca que está estructurado de manera completamente diferente a la Ley Orgánica de Protección de Datos actualmente en vigor. Por ejemplo, ya no se distingue entre ficheros (con el nuevo Reglamento europeo, tratamientos de datos) de titularidad pública y privada.
- La alusión a los datos de fallecidos y el mecanismo para ejercitar algunos derechos sobre dichos datos.
- La regulación del consentimiento es escueta y deja sin efecto el consentimiento tácito, lo cual será un problema para las empresas que cuenten con este consentimiento como base para legitimar sus tratamientos previos a la entrada en vigor de la ley. Respecto a la edad mínima para otorgarlo, pudiendo haber mantenido la misma que había, se ha optado por rebajarla a los 13 años, que era la máxima rebaja posible establecida por el Reglamento General de Protección de Datos.
- Simplifica la información básica que hay que facilitar en una “primera capa“ a los afectados en caso de que los datos se obtengan a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información respecto a cómo estaba regulado en el Reglamento comunitario. Sin embargo, no se especifica sobre cómo ha de facilitarse esta información en caso de que los datos se obtengan por otros medios.
- Regula los derechos de los afectados, pero parece olvidar el derecho a no ser objeto de decisiones basadas en el tratamiento automatizado, incluida la elaboración de perfiles.
- Aclara cuestiones sobre las que se esperaba información para la interpretación por parte del legislador nacional del Reglamento comunitario. Por ejemploincluye una lista, que entendemos que no es cerrada, de tratamientos que pueden suponer un riesgo para los derechos y libertades de los afectados en atención a los cuales deberá adoptarse las medidas técnicas y organizativas necesarias; también establece algunos supuestos para el nombramiento de un Delegado de Protección de Datos, si bien tampoco queda claro si la lista de supuestos en los que el nombramiento de esta figura es obligatorio es un numerus clausus o no; e introduce también una graduación de las infracciones en muy graves, graves y leves que será útil para la imposición de sanciones.
- No obstante, el el texto del anteproyecto sigue sin aclarar otras cuestiones como cuándo será necesario realizar evaluaciones de impacto. Tampoco analiza las medidas de seguridad aplicables en el ámbito del sector privado (las del sector público serán las medidas establecidas por el Esquema Nacional de Seguridad según la Disposición adicional primera). No aclara el procedimiento de notificación a las autoridades de control de las violaciones de seguridad. Y tampoco entra a analizar, a pesar de la remisión del RGPD a las legislaciones nacionales, la conciliación de la protección de datos con el derecho a la libertad de expresión, incluyendo el tratamiento de datos con fines periodísticos, el conflicto entre protección de datos y secreto profesional en las labores de investigación de las autoridades de control. Tampoco se especifica el tratamiento de datos de empleados en el ámbito laboral.
En definitiva, el Anteproyecto aclara aspectos que esperábamos conocer después de la entrada en vigor del Reglamento General de Protección de Datos, pero quedan cuestiones que deberán ser matizadas y detalladas, vía Real Decreto, normativa de desarrollo de la Ley Orgánica o vía circulares de la Agencia Española de Protección de Datos, que servirán para interpretar cuestiones sobre las que quedan dudas y que serán necesarias para la efectiva aplicación de la Ley o incluso del Reglamento comunitario. Esto será muy necesario sobre todo para las pequeñas y medianas empresas, que tienen más dificultad para acceder a asesoramiento especializado y deberían entender el alcance de las nuevas obligaciones, pudiendo aplicar la normativa sin que suponga un esfuerzo desproporcionado.
Fuente: Paloma Arribas. Abogada de Consultoría Legal en I+D+i de PONS IP.