1. Nuevo marco legal.
El pasado 10 de noviembre de 2017 el Gobierno de Mariano Rajoy, reunido en sesión del Consejo de Ministros, aprobó a instancias del Ministro de Justicia el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD).
Hasta el próximo 25 de mayo de 2018, fecha en la que comenzará a aplicarse este nuevo texto legal si llegara a aprobarse en las Cortes Generales, en España se aplicará la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta norma se ha caracterizado por una perspectiva estática: se ha articulado mediante la consideración de los ficheros como algo poco variable y notificados para su inscripción a la Agencia Española de Protección de Datos (AEPD).
Con la aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, RGPD), a escala europea se pretende acabar con la fragmentación en los diversos Estados miembros de la normativa en materia de protección de datos. Al mismo tiempo, la articulación de la protección de datos se modifica sustancialmente.
En adelante, la perspectiva ya no será estática, sino principalmente dinámica, al atender no tanto a la estructura de los ficheros, sino sobre todo a los flujos de los datos personales que merecen protección. Entre otras medidas, se prevé el establecimiento en cada empresa o entidad del denominado “registro de las actividades de tratamiento”. Ha de ser cíclicamente revisado y actualizado en función del habitual desarrollo de las actividades de la persona física o jurídica que procese los datos personales. Este registro debe incluir la información establecida en el RGPD (art. 30), desde el nombre y datos de contacto del responsable o encargados de tratamiento y del delegado de protección de datos, hasta los fines del tratamiento o la descripción de las categorías de interesados y de las categorías de datos personales, incluida la descripción general de las medidas técnicas y organizativas de seguridad.
Las fuentes jurídicas tenidas en consideración para la modificación de la LOPD, como es natural, parten de las disposiciones emanadas por el RGPD, junto con otras de diversa relevancia, principalmente la jurisprudencia del Tribunal de Justicia de la Unión Europea, como por ejemplo la doctrina sentada por la sentencia Schrems.
2. Riesgos.
En el panorama digital actual, la transmisión y flujos de datos constantes, con frecuencia además internacionales, a los que los usuarios estamos inevitablemente sujetos se han multiplicado exponencialmente, al ser más accesibles y fáciles de procesar.
Esto ha conllevado un aumento de los riesgos inherentes a que dichas informaciones y datos personales sobre los individuos circulen sin la debida protección, al tiempo que se ha hecho más difícil el control de su uso y destino por parte del propio afectado.
La nueva Ley, de la mano del Reglamento Europeo ya en vigor y pendiente de entrar en aplicación en el próximo semestre de 2018, asume todas estas situaciones y las regula, con el objetivo principal de garantizar jurídicamente una protección privilegiada de los datos personales de los particulares.
3. Consentimiento y habilitaciones legales para tratamiento.
Dada la rapidez con que la sociedad digital cambia y, sobre todo, por las constantes y ágiles transformaciones que se experimentan en materia tecnológica, la Ley en proyecto introduce importantes modificaciones en cuestiones tan esenciales y de aplicación práctica como el consentimiento necesario para poder procesar los datos.
Como suele ocurrir en las cuestiones jurídicas relevantes, no se trata solo de seguir procedimientos o de ofrecer leyendas informativas al usuario. En conformidad con el RGPD, la nueva LOPD quiere asegurar que el consentimiento de las personas para el tratamiento de sus datos proceda de una declaración o de una acción clara y afirmativa.
De esta manera la nueva regulación excluye el denominado “consentimiento tácito”, derivado de la manifestación de la negativa del afectado al tratamiento de sus datos, normalmente obtenido por la vía de no responder a una comunicación previa de la empresa o entidad responsable del tratamiento. Adicionalmente, se prevé la obligación de que el consentimiento del afectado para una pluralidad de finalidades de procesamiento de datos conste que se otorga de manera específica e inequívoca para cada una de ellas. Ya no cabe obtener ni prestar un consentimiento genérico o difuso para múltiples finalidades.
Asimismo, y en relación con la capacidad de obrar y de prestar el consentimiento explícito, aparece una novedad respecto de los menores, pues se adelanta a los 13 años la edad en que ya pueden prestar su consentimiento personal para el tratamiento de sus datos, en consonancia con la normativa de otros países de nuestro entorno. Sin embargo, algunas redes sociales como Facebook o Instagram requieren que los usuarios tengan una edad mínima de 14 años para crear una cuenta.
Otras de las novedades destacadas de la nueva regulación reside en el tratamiento de datos de fallecidos. Su relevancia obedece a la proliferación de perfiles de personas difuntas, por ejemplo, en redes sociales, bases de datos digitales, etc. Se colma así un vacío legal de creciente importancia social. Por consiguiente, la nueva LOPD excluye el tratamiento de su ámbito de aplicación y se permitirá que los herederos puedan solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su caso, a las instrucciones del fallecido. Estas previsiones legales son compatibles con las establecidas en otras regulaciones vigentes, como la Ley de Autonomía del Paciente (Ley 41/2002, de 14 de noviembre). Sobre dichas instrucciones del fallecido, la norma en proyecto prevé la posibilidad de que se puedan incorporar a un registro para su constancia y cumplimiento.
En la nueva Ley se regula también el modo de procesar las denominadas “categorías especiales de datos”, que incluyen aquellos reveladores del origen étnico o racial, opiniones políticas, religión o creencias filosóficas, militancia en sindicatos, tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual y las condenas e infracciones penales o medidas de seguridad conexas.
La norma española dispone que a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de los datos especialmente sensibles.
En consecuencia, será necesaria alguna habilitación adicional para el procesamiento, por ejemplo, el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado, el tratamiento efectuado en el ámbito de actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro o en los demás supuestos previstos en el artículo 9.2 del RGPD.
En todo caso, conviene tener presente que el consentimiento explícito obtenido debe ser verificable. La entidad que lo ha recogido ha de estar en condiciones de acreditar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
4. Transparencia y derechos.
La nueva norma española incorpora expresamente disposiciones sobre principios como el de transparencia de los interesados a ser informados sobre el tratamiento de sus datos, a la par que contempla los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición. Supone, por tanto, una ampliación de los conocidos como “derecho ARCO” (acceso, rectificación, cancelación y oposición).
Otro principio que se incluye es el de exclusión de la imputabilidad del responsable en el caso de que éste haya tomado todas las medidas razonables para la rectificación o supresión de los datos.
5. Listas Robinson y sistemas de videovigilancia.
Quizá resulten conocidas las listas de exclusión publicitaria, las llamadas “listas Robinson”, que en nuestro país han tenido una considerable difusión y aplicación. Son ficheros o directorios creados con la finalidad de ayudar a particulares a librarse del acoso publicitario a través de comunicaciones no solicitadas (“spam”) por teléfono, correos electrónicos, mensajes instantáneos, correo postal, fax, etc. Así, la LOPD prevé que será lícito el tratamiento de datos de carácter personal para evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.
La nueva Ley regula estas situaciones, al igual que los sistemas de videovigilancia, la función estadística pública y las denuncias internas en el sector privado, ya que todas ellas son situaciones en las que se aprecia la existencia de un interés público para proceder al tratamiento de los datos personales.
6. El Delegado de Protección de Datos y la AEPD.
Una de las figuras novedosas del RGPD es el Data Protector Officer (DPO).
Se potencia en la nueva regulación la figura de este DPO, el Delegado de Protección de Datos, que podrá ser una persona física o jurídica, cuya designación se debe comunicar a la AEPD (Agencia Española de Protección de Datos), en calidad de máxima autoridad competente en el ámbito nacional.
El régimen sancionador de la norma española tipifica varias infracciones, calificadas como graves, relativas al DPO: el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento (art. 73.v LOPD), o no posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73.w LOPD).
De hecho, otra de las novedades que incorpora la nueva Ley, y dentro del ámbito de los procedimientos en caso de posible vulneración de la normativa de protección de datos, son las medidas provisionales, que incluyen la potestad de ordenar el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado (art. 68.1 LOPD).
En la nueva norma española, la AEPD se configura como autoridad administrativa independiente, cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia, por lo que se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.
7. Procedimientos.
En relación con el procedimiento, la nueva Ley promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, y evitar así que se puedan borrar para encubrir el incumplimiento.
Igualmente, y en relación con los procedimientos administrativos, ha de ser la AEPD quien debe desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control. Tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.
Destacamos que el Reglamento, de directa aplicación en toda Europa, atiende a nuevas circunstancias, provocadas fundamentalmente por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la sociedad de la información.
Finalmente, el Legislador español pretende con la nueva regulación actualizar una normativa ya obsoleta y de vital importancia que, tras más de 15 años, reclamaba una adaptación a las nuevas circunstancias sociales y tecnológicas.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación