El martes 27 de febrero
de 2018 compareció la directora de la Agencia
Española de Protección de Datos en la Comisión
de Justicia en relación con el proyecto
de Ley Orgánica de Protección de datos de carácter personal.
Durante su declaración, hubo
algunos puntos importantes sobre el RGPD
y el proyecto de Ley Orgánica que
fueron aclarados y merece un especial interés para comprender el futuro de la
nueva ley.
Procedimientos transfronterizos
En primer lugar resaltó
la importancia de modificar las normas básicas del procedimiento administrativo
común para conseguir la suspensión de los procedimientos transfronterizos.
Estos procedimientos están compuestos por siete fases que hacen lentas las
actuaciones o los acuerdos con las demás autoridades de control de los Estados
Miembros. La actual legislación española no establece la suspensión del
procedimiento en los distintos trámites, dando lugar a cierta inseguridad
jurídica.
Para ilustrar la
importancia de modificar la ley, adelantó que en el año 2017 recibieron 10.571
entre denuncias y tutelas de derecho. Según estimaciones del Grupo de trabajo
del artículo 29, para el año 2018 “el
número de procedimientos transfronterizos que podrían llegar a producirse se
encontrarían entre los 17.000 y los 20.000”.
Régimen sancionador
En todo el articulado del
RGPD no se establece un plazo de prescripción de las infracciones. Tampoco puede
aplicarse lo establecido en la actual LOPD ya que las infracciones tipificadas
son incompatibles con el Reglamento. Por este motivo, para garantizar el
Principio de la prescripción, es necesario definirlo en la nueva LOPD.
Datos de contacto de los profesionales
La directora de la AEPD
reconoce el tratamiento masivo de información contenida en las agendas y listas
de contacto de los profesionales y que actualmente se excluye en la
legislación. En el proyecto de LOPD se considera que están bajo protección de
la ley dichos datos de contacto y se “presupone
la licitud del tratamiento sobre la base del interés legítimo siempre que
concurran determinadas circunstancias concretas”.
Edad mínima para consentir el tratamiento de datos
personales
La AEPD ha realizado
estudios comparativos de los distintos países de la Unión Europea llegando a la
conclusión de que la edad mínima es de trece años para el consentimiento de los
menores. Aunque son conscientes de los riesgos asociados al uso de internet por
parte de los menores, el análisis de los estudios e informes de ONGs como
Unicef, Amnistía Internacional o Pantallas Amigas, ponen de manifiesto que elevar
la restricción por encima de los trece años puede suponer una limitación en el
desarrollo de la personalidad de los menores.
En opinión de la
Directora, la importancia no radica tanto en la edad sino en la implantación de
medidas “orientadas a mejorar la educación de los menores y sus padres en
materia de protección de datos y privacidad como a asegurar un correcto uso de
los datos de los menores por parte de los responsables de su tratamiento”.
Recalcó la importancia de implantar una asignatura trasversal sobre el uso
responsable de Internet, tal y como se está haciendo con la Seguridad vial.
A nivel de la Unión
Europea el límite de edad es:
- 13 años: Chipre,
Dinamarca, Irlanda, Letonia, Polonia, Suecia, Reino Unido y Noruega.
- 14 años: Austria y
Bulgaria.
- 15 años: Croacia.
- 16 años: Alemania,
Francia,Hungría, Lituania, Luxemburgo y Holanda.
Investigación científica
Un aspecto importante que
Mar España Martí quiso aclarar fue el
de la investigación científica.
El artículo 6.1 del proyecto de
LOPD establece: “De conformidad con
lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por
consentimiento del afectado toda manifestación de voluntad libre, específica,
informada e inequívoca por la que éste acepta, ya sea mediante una declaración
o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen”. Este consentimiento explícito puede considerarse un obstáculo
para la investigación biomédica en España y así lo están expresando distintas
asociaciones científicas. Sin embargo, el artículo
9.2.j) del RGPD dice expresamente
que pueden tratarse dichos datos cuando “es
necesario con fines de archivo en interés público, fines de investigación
científica o histórica o fines estadísticos…”. Y deja a cada Estado Miembro
la forma de tratar este tipo de datos biomédicos. En el caso de España, no hace
falta la reforma de la LOPD ya que dispone de dos leyes que se ajustan al RGPD:
la Ley 14/2007, de Investigación
Biomédica y el Real Decreto
1090/2015, sobre ensayos clínicos con medicamentos.
Por tanto, no se ve
alterada la investigación biomédica por parte del RGPD y el proyecto de Ley
Orgánica. Incluso se puede hacer una interpretación más amplia y flexible si
nos atenemos al Considerando 33 del RGPD: “Con
frecuencia no es posible determinar totalmente la finalidad del tratamiento de
los datos personales con fines de investigación científica en el momento de su
recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento
para determinados ámbitos de investigación científica que respeten las normas
éticas reconocidas para la investigación científica. Los interesados deben
tener la oportunidad de dar su consentimiento solamente para determinadas áreas
de investigación o partes de proyectos de investigación, en la medida en que lo
permita la finalidad perseguida”. Esto significa que solo será necesario el
consentimiento de la persona afectada cuando se investigue determinados ámbitos
científicos.
Como ejemplo, la Directora
hace referencia al consentimiento del paciente para la investigación del cáncer
de Colon. Para este ámbito específico sí es necesario el consentimiento
expreso, pero si consideramos la investigación para el cáncer en general, no es
necesario ya que es un ámbito más amplio.
Puede reforzarse esta
tesis de la flexibilidad y amplitud en la investigación biomédica con el
Considerando 159 del RGPD al establecer que puede aplicarse este tipo de
tratamiento “con fines de investigación
científica debe interpretarse, a efectos del presente Reglamento, de manera
amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración,
la investigación fundamental, la investigación aplicada y la investigación
financiada por el sector privado”.
Autorización de transferencias internacionales de
datos
Otro aspecto importante
es el tiempo que dura el procedimiento para autorizar transferencias
internacionales de datos ya que el proyecto de LOPD prevé un año. Para agilizar
los trámites, la AEPD recomienda una disminución del procedimiento a nueve
meses, en el caso de la aprobación de las normas corporativas vinculantes, y a
seis meses, en el caso de la autorización para las transferencias
internacionales. En caso de suspender los plazos, sí debería contemplar el
proyecto de Ley Orgánica las causas y las actuaciones conjuntas con las demás autoridades
de control.
Máster en Delegado de Protección de Datos
Otro asunto controvertido
es la formación del Delegado de Protección de Datos. Actualmente no es
obligatoria una titulación específica para esta figura aunque sí podría ser
aconsejable como forma de acreditar la formación. No obstante, se está
trabajando en la posibilidad de que los actuales másteres certificados por la
Agencia nacional de evaluación de la calidad y acreditación puedan ser
aceptados para reforzar la formación del Delegado. Con este fin, habrá que
modificar el actual esquema de certificación.