Legislación y proyectos normativos - España

Adaptación normativa europea de protección de datos

Anteproyecto de Ley

En abril de 2016, el Parlamento Europeo aprobó el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando con ello la Directiva 95/46/CE (Reglamento general de protección de datos).

El Reglamento, aplicable a partir del 25 de mayo de 2018, no solo ha supuesto una actualización de la normativa comunitaria, sino un refuerzo de la seguridad jurídica y la transparencia, al permitir que “el Derecho de los Estados miembros pueda especificar o restringir sus normas en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios".

En este sentido, el pasado mes de julio, el Consejo de Ministros publicó el presente Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que, una vez aprobada, derogará la actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y cuantas disposiciones nacionales de igual o inferior rango sean contrarias o incompatibles con el Reglamento general de protección de datos. Actualmente el Anteproyecto se encuentra en fase de trámite de audiencia e información pública.

Entre las principales novedades, destacamos las siguientes:

Personas fallecidas

El título primero, además de determinar el objeto de la ley (adaptar el ordenamiento jurídico español al Reglamento general de protección de datos), establece también su ámbito de aplicación: cualquier tratamiento, total o parcialmente automatizado, de los datos personales, y el tratamiento no automatizado de los datos personales contenidos o destinados a ser incluidos en un fichero. Incluye además una referencia a los casos en que la ley no será de aplicación.

Destaca como novedad la regulación de los datos relativos a las personas fallecidas, ya que permite que los herederos (o cualquier autorizado por mandato expreso del fallecido) puedan dirigirse al responsable o encargado del tratamiento de los datos y solicitar acceso a los mismos, así como su rectificación o supresión, salvo que la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. En caso de que los fallecidos fueran menores o personas con discapacidad, dichas facultades podrían ejercerse por el Ministerio Fiscal.

Consentimiento expreso

El anteproyecto establece en su título II que los datos obtenidos directamente del propio afectados se presumen exactos y actualizados.

En relación a la legitimación para el tratamiento, se hace referencia expresa al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”. La norma también permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato.

En concreto, se establece en el artículo 8 que la edad a partir de la cual el menor puede prestar su consentimiento es trece años.

También se incluyen en este título disposiciones aplicables a tratamientos concretos de: datos de contacto y de empresarios individuales, de datos hechos manifiestamente públicos por el afectado, de sistemas de información crediticia, de datos con fines de videovigilancia, de sistemas de exclusión publicitaria, de sistemas de información de denuncias internas en el sector privado, así como del tratamiento de datos en el ámbito de la función estadística pública y de datos de naturaleza penal. El denominador común de todos ellos es que exista un equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento de los datos.

Bloqueo de datos

Incorpora el principio de transparencia en el tratamiento de los datos, de tal manera que el responsable del tratamiento deberá aportar información clara, concisa y fácilmente accesible y comprensible por el afectado, que contenga un contenido básico que dependerá si la información se ha obtenido o no por parte del afectado.

En este título también se contemplan los derechos de acceso, rectificación, supresión (“olvido”), oposición, limitación del tratamiento y portabilidad, y se introduce como novedad la obligación de bloqueo de los datos en los casos previstos por el Reglamento y cuando, de oficio, deba procederse a su rectificación o supresión. Los datos bloqueados estarán a disposición exclusiva del organismo público correspondiente, para garantizar la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

Delegado de protección de datos

En línea con la novedad incorporada en el Reglamento relativa al principio de responsabilidad activa, que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal, para adoptar las medidas que procedan, la ley dedica este título a definir las medidas de responsabilidad activa, a regular la figura del encargado del tratamiento y del delegado de protección de datos, y a los códigos de conducta y certificación.

La designación del delegado de protección de datos será obligatoria para determinadas organizaciones contempladas en el artículo 35. El delegado podrá estar o no integrado en la organización del responsable o el encargado del tratamiento, y ser una persona física o jurídica. En cualquier caso, deberá reunir los requisitos contenidos en el Reglamento y demostrar su competencia reconocida en la materia, acreditando los requisitos por los medios correspondientes, incluidos los de certificación.

El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave.

Ventanilla única

Se contempla en el título VII el modelo de “ventanilla única” introducido como novedad en el Reglamento, que consiste en que la organización que tenga filiales en varios estados miembros, solo tendrá que tratar con la autoridad de protección de datos del estado miembro en que se encuentre su establecimiento principal. La Agencia Española de Protección de Datos (AEPD) será quien examine su competencia ante el inicio de un procedimiento y determine el carácter nacional o transfronterizo del mismo, remitiendo la reclamación a la autoridad correspondiente en el segundo caso.