COMENTARIOS AL ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

 

         A falta de poco más de diez meses para que sea de aplicación el Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679), el Ministerio de Justicia ha publicado el Anteproyecto de Ley Orgánica que derogará la LOPD y su reglamento de desarrollo, el Real Decreto 1720/2007, adaptando nuestro ordenamiento jurídico al nuevo marco comunitario.

         El objetivo del gobierno es que el anteproyecto sea aprobado antes del 25 de mayo de 2018. Si bien el texto podría verse modificado en los trámites parlamentarios, podemos hacer unos primeros comentarios acerca de las principales novedades de su contenido.

         En primer lugar, llamamos la atención sobre el hecho de que, pese a regular un derecho fundamental (art. 18 de la CE), la nueva ley es complementaria al Reglamento Europeo, por lo que no replica su contenido, sino que viene a completar aquellas materias en que el RGPD deja margen de desarrollo a los legisladores nacionales. Por ello, a partir de ahora deberemos acudir a ambos textos, poniéndolos en relación y asumiendo su directa aplicación.

         Contrariamente a lo que sucede en la actual LOPD, el anteproyecto publicado presenta una amplia Exposición de Motivos; por lo demás, consta de setenta y ocho artículos estructurados en ocho títulos, trece disposiciones adicionales, cinco transitorias, una disposición derogatoria única y cuatro disposiciones finales.

         En el Título I se introduce una novedad relevante al excluirse del ámbito de aplicación de la ley el tratamiento de datos referidos a las personas fallecidas. La aplicabilidad práctica de esta modificación es que los herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el derecho de acceso, rectificación o supresión de los mismos. Téngase en cuenta que en este caso los herederos deberán acreditar tal condición y no podrán ejercer estos derechos cuando la persona fallecida lo hubiese prohibido expresamente.

         En cuanto al Título II, destacamos la prohibición del tratamiento de datos referidos a infracciones y sanciones administrativas, fuera de los casos contemplados expresamente en la Ley, así como el deber de confidencialidad del responsable y del encargado impuesto por el artículo 6.

         En lo referente a la legitimación del tratamiento, debemos llamar la atención sobre la regulación del consentimiento, el cual deberá ser mediante una “declaración o una clara acción afirmativa”, excluyéndose por tanto la posibilidad de otorgar un consentimiento tácito.

         En relación con lo anterior, el anteproyecto alude expresamente a la posibilidad de recabar el consentimiento para una finalidad que no guarde relación directa con el mantenimiento, desarrollo o control de una relación contractual mediante la inclusión de una casilla específica y no marcada.

         Además,  se reduce de catorce a trece años la edad a partir de la cual el menor puede prestar su consentimiento.

         Por lo demás, el anteproyecto no desarrolla la licitud del tratamiento y se limita a remitirnos directamente al RGPD.

         Especialmente relevante es el artículo 12 del anteproyecto, por el cual se considera lícito el tratamiento de datos de contacto y de empresarios individuales, siempre que se cumplan unos requisitos, como son que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional y que no se traten para entablar una relación con las personas físicas.

         Por otra parte, el anteproyecto dedica su artículo 14 a los sistemas de información crediticia, por lo que la actividad de prestación de servicios de información patrimonial no necesitará fundamentar su legitimidad en el consentimiento, sino que directamente estará expresamente regulada por una ley orgánica.

         Además, se desarrolla correctamente el tratamiento con fines de videovigilancia, materia esta última que ha sido objeto de un importante debate y ha generado numerosa jurisprudencia en los últimos años.

         En otro orden de cosas, la derogación de la actual LOPD dejaría sin efecto el artículo 3. j), el cual contempla un listado taxativo de “fuentes accesibles al público”. Al no venir regulado en el anteproyecto, se generan ciertas dudas acerca del papel que tendrá este concepto de fuente accesible al público en la nueva normativa, sobre todo en lo que se refiere al deber de información al titular de los datos que no hayan sido recabados del interesado.

         En cuanto al envío de comunicaciones comerciales, el artículo 16 regula un sistema de exclusión publicitaria. De la lectura del mismo, puesto en relación con los considerandos 47 del RGPD (“El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”) el considerando 70 del RGPD (“Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento”), y el artículo 21.2 del RGPD (“Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan”), se desprende que el envío de comunicaciones comerciales en el marco de una relación comercial constituye una excepción a la regla general del consentimiento expreso y puede fundarse en el interés legítimo del responsable, estableciéndose en su lugar el derecho del titular a oponerse a este tipo de comunicaciones comerciales.    

         Del Título III destacamos la denominada “información por capas”. De manera similar a la doble capa de información que actualmente se da en el ámbito de las cookies y de la videovigilancia, se establece la posibilidad de cumplir con la obligación del deber de información dispuesto en el artículo 13 del RGPD facilitando al afectado la información básica e indicándole una dirección electrónica para acceder fácilmente a la restante información. La información básica se limita a informar sobre los siguientes extremos:

-          La identidad del responsable del tratamiento o de su representante, en su caso.

-          La finalidad del tratamiento.

-          El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

         Esta información por capas que regula el anteproyecto va en consonancia con las directrices dadas por la Agencia para dar cumplimiento al deber de informar al afectado.

         Finalmente, el Título IV viene a desarrollar lo dispuesto en el RGPD en relación al responsable. En este sentido el anteproyecto sigue claramente el criterio comunitario y regula medidas generales de responsabilidad activa, el régimen del encargado del tratamiento, la figura del delegado de protección de datos y los mecanismos de autorregulación y certificación.

         Resulta fundamental destacar que el Delegado de Protección de Datos (DPD) adquiere un papel muy relevante puesto que permite configurar un medio para la resolución amistosa de reclamaciones. En efecto, el afectado podrá acudir al DPD de manera previa a la interposición de una reclamación ante la AEPD, lo cual permitirá, sin lugar a dudas, reducir mediante una pronta gestión del conflicto el número de procedimientos sancionadores instados contra la empresa. Además, cuando el afectado presente una reclamación ante la AEPD sin haber comunicado su reclamación previamente al DPD de la empresa, la AEPD podrá remitir la reclamación al DPD a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes.

         Por último, el anteproyecto detalla aquellas infracciones que se catalogarán como leves, graves y muy graves y establece unos criterios de graduación y unos plazos de prescripción. Sin perjuicio de lo anterior, no se regula el importe de la sanción que corresponde a cada tipo de sanción, por lo que es difícil prever el criterio que adoptarán las distintas autoridades de control a la hora de imponer sanciones.

         Tal y como hemos visto, la aprobación del anteproyecto en su redacción actual supondrá un cambio muy significativo de la normativa vigente en materia de protección de datos. Se hace preciso seguir atentamente las alegaciones que en el trámite de consulta pública se realicen al mismo por parte de los distintos sectores afectados y, más adelante, cualquier enmienda que sea aprobada en trámite parlamentario.