Consejo de Ministros |
El día 27 de abril de
2016 entró en vigor el REGLAMENTO (UE)
2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE (Reglamento general de protección de datos), norma
vinculante a todos los países de la Unión Europea, con el objetivo de armonizar
y concretar “la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de esos datos”. Frente al “mosaico” normativo dentro de la UE, era necesario unificar unos
criterios comunes y eliminar las diferencias que existían en cada país miembro
sobre los derechos de los ciudadanos.
Esa armonización ha
traído muchas novedades ya que, no solo unifica criterios ya establecidos en la
anterior Directiva, también tiene en cuenta los avances en el flujo de datos
internacional y las nuevas tecnologías. Por su complejidad, y aunque entró en
vigor en el año 2016, se decidió dar un margen de tiempo para que los
legisladores nacionales modificaran sus normas conforme al nuevo Reglamento y
las organizaciones públicas y privadas se adaptaran a la nueva norma. La fecha
a partir de la cual es obligatorio aplicar el RGPD es el 25 de mayo de
2018.
En el Considerando 8 del RGPD establece la posibilidad de que cada Estado adapte la
legislación interna para hacerla más clara y pública y depurar el ordenamiento
jurídico. De esta forma, España debe derogar la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (LOPD) y aprobar una nueva que esté adaptada al RGPD. El
resto de países, excepto Portugal
que no tiene una única norma sobre protección de datos y Gran Bretaña que lo está tramitando en el Parlamento, los demás ya ha
realizado la adaptación:
- Alemania aprobó en junio de 2017 la ley Act to Adapt Data protection Law to regulation (EU) 2016/679 and to
Implement Directive (EU) 2016/680.
- Belgica se ha incluido el texto consolidado de la Loi relative à la protection de la vie
privée à l’égard des traitements de données à caractèrepersonnel, de 8 de
diciembre de 1992.
- Francia se ha llevado a cabo mediante la modificación de algunos preceptos
de la Loi 78-17 du 6 janvier relative à
l’informatique, aux fichiers et aux libertés y algunas disposiciones de la Loi nº 2016-1321 du 7 octobre 2016 pour une
République numérique.
- Italia se ha consolidado en el Codice
in materia di protezione dei dati personali, aprobado mediante Decreto
legislativo en 2003.
Aprobación del Proyecto de Ley por parte del
Consejo de Ministros
El primer paso fue la
redacción de un texto normativo por parte del Gobierno y cuyo Consejo de
Ministros aprobó el 10 de noviembre de 2017 para remitirlo a las Cortes
Generales.
Fiel a la Constitución y
sin entrar en conflicto con el RGPD, la protección de datos personales sigue
siendo un derecho protegido por el artículo
18.4 de nuestra Carta Magna.
Principales
novedades
Personas fallecidas
Los datos de estas quedan
fuera del ámbito de aplicación del Proyecto de ley pero se permite a los
herederos solicitar el acceso, rectificación y supresión. No obstante, los
herederos y terceras personas no podrán acceder si la persona fallecida lo
prohíba (art. 3.1 Proyecto LOPD).
Responsable del tratamiento
Cuando el responsable del
tratamiento tenga datos inexactos obtenidos directamente del afectado, del
mediador o intermediario o de otro responsable, no se le imputará siempre y
cuando haya tomado todas las medidas razonables para que se supriman o
rectifiquen (art. 4 Proyecto LOPD).
También obliga a que
determinen las medidas técnicas y organizativas apropiadas para garantizar y
acreditar que el tratamiento es conforme al RGPD (art. 28 Proyecto LOPD). Ese
deber de acreditar que el afectado dio su consentimiento refuerza la seguridad en
la obtención de los datos personales.
Consentimiento
Tal y como exige el RGPD en su artículo 7.1 y 2, se exige que la persona afectada de su
consentimiento de forma expresa, esto es, de una forma clara y afirmativa. Si
existen muchas finalidades en el tratamiento de los datos personales, es
obligatorio que el afectado de su consentimiento en cada una de ellas.
Así mismo, se establece el
límite de 13 años de edad para que un menor pueda dar su consentimiento (art. 7 Proyecto LOPD) frente a los 16 que propone el art. 8.1 RGPD. Aunque el
mismo reglamento permite a los Estados miembros bajar la edad.
Confidencialidad
El Proyecto establece
formalmente el deber de confidencialidad tanto para los responsables,
encargados, Delegados de protección de datos como toda persona que intervenga
en cualquier fase (diseño, desarrollo y gestión en el tratamiento de los datos
personales).
Mayor información
Cuando los datos
personales se obtienen por medios ajenos al afectado, el responsable del
tratamiento tiene la obligación de informarle qué datos van a ser tratados, su
finalidad y a quién podrá dirigirse para ejercer sus derechos (art. 11 Proyecto LOPD). Incluso se prevé la “información por capas”, donde
se le aporta información básica sobre el tratamiento de sus datos personales y
se le indica otros medios donde encontrar información más detallada.
Derechos ARCOS
Junto al derecho de
Acceso, Rectificación y Oposición, se suma el de Supresión de los datos
personales, Limitación del tratamiento y Portabilidad.
Prohibición de almacenar determinados datos
El artículo 9 Proyecto LOPD
establece que no podrá tratarse datos cuya finalidad
principal sea identificar su ideología, afiliación sindical, religión,
orientación sexual, creencias u origen racial o étnico para evitar situaciones discriminatorias.
Esta protección se acentúa al no permitir que el mero consentimiento baste para
levantar la prohibición.
Delegado de Protección de Datos
Junto a la figura del
responsable y encargado del tratamiento, se suma la figura del Delegado de
Protección de Datos. Su régimen es igual al establecido en el RGPD y deberá
comunicarse a la Agencia Española de Protección de Datos. Esta agencia llevará
una relación que podrá conocerse públicamente.
Sanciones
Las cantidades de las
sanciones que la LOPD establece desaparecen con el Proyecto y remite al artículo 83 RGPD. No existe una tabla donde se numere la infracción con la
sanción ya que debe determinarse en función de las circunstancias de cada caso.
El Reglamento pone como multa administrativa un máximo de 20 millones de euros
o “de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero
anterior”.
Sin embargo, el artículo 78 Proyecto LOPD nos da una aproximación de los posibles límites “normales” de una sanción al establecer
las prescripciones:
a) Las sanciones por
importe inferior a 40.000 euros,
prescriben en el plazo de un año
b) Las sanciones por
importe comprendido entre 40.001 y
300.000 euros prescriben a los dos años
c) Las
sanciones por un importe superior a
300.000 euros prescriben a los tres años.