El Margen de la Ley :: El Blog de Audens
Audens >
Blog >
Protección de Datos >
Anteproyecto LOPD (volumen 1)

Anteproyecto LOPD (volumen 1)

En el marco del V Congreso Nacional de Privacidad APEP organizado por la Asociación Profesional Española de Privacidad, presenté y moderé una mesa redonda que titulamos la “Implementación del Reglamento Europeo de Protección de Datos en España“. Los ponentes (José Amérigo Alonso, Leonardo Cervera-Navas, Artemi Rallo, José Luis Piñar y Ricard Martínez), plasmaron diversos escenarios sobre la situación de la confección y desarrollo del anteproyecto de aprobación de una nueva ley orgánica para reemplazar a la LOPD, aunque no dieron muchas pistas por estar limitados por la confidencialidad, unos, y el desconocimiento por no tener acceso al texto, otros.

Pero no fue una mesa redonda exenta de polémica. José Amérigo Alonso, Secretario General Técnico del Ministerio de Justicia, adelantaba que tendríamos un borrador del anteproyecto de la nueva LOPD antes de terminar junio (“en las próximas semanas“) y que se cumplirían los trámites para que fuera aprobado por las Cortes en mayo de 2018. Por su parte Artemi Rallo, Diputado por Castellón del Grupo Parlamentario Socialista y exdirector de la Agencia Española de Protección de Datos, puso en duda que Ley Orgánica pudiera ser aprobada en plazo, lo que provocaría una importante inseguridad jurídica.

Al margen de temas políticos, plazos administrativos y demás retórica parlamentaria, lo cierto es que ya tenemos el primer borrador del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (al que llamaré ALOPD, por aquello de no perder la costumbre de hacer acrónimos con todo). Por supuesto no es el texto definitivo, debe superar diversos informes preceptivos, ha de pasar por las Cortes con sus consiguientes enmiendas… y de hecho ya está abierto el trámite de audiencia e información pública, que termina el día 19 de julio; pero bueno, nos sirve para conocer el cauce que el gobierno pretende dar a la nueva normativa, ¡que no es poco!

Sin ánimo de ser muy exhaustivo (por el momento), aporto unas cuantas impresiones sobre la lectura que le he podido dar hasta ahora. Eso sí, prometo ir desgranando un poco más el ALOPD los próximos días.

Para empezar, ¡tiene exposición de motivos! Lo remarco porque la LOPD (sin la A delante) a pesar de ser una ley orgánica y de regular derechos fundamentales, no la tenía. No nos engañemos: ni pasará a los anales de la prosa ni aporta unos criterios novedosos, desconocidos de antemano, pero ahí está: que en España la protección de datos deriva del art. 18.4 de la Constitución y que fuimos pioneros, que el Tribunal Constitucional en su Sentencia 94/1998 señaló que existía el derecho fundamental a la protección de datos, y su Sentencia 292/2000 lo reconoció como derecho fundamental autónomo

Sí es interesante, eso sí, la justificación (a mi modo de ver, un poco cogida con pinzas) de por qué un Reglamento europeo necesita de una norma nacional que lo “desarrolle” en muchas cuestiones. Como sabemos, el RGPD contiene un buen número de habilitaciones a los Estados para que regulen ciertas materias y puedan especificar o interpretar su contenido; y así, el ALOPD justifica su existencia como un texto que “trata de clarificar sus disposiciones“. Algo que indudablemente me lleva a pensar que seguiremos teniendo que poner un ojo en las demás normativas internas de los países de la U.E., sus interpretaciones y criterios sobre el RGPD, para poder ofrecer seguridad jurídica a los responsables y encargados de tratamientos de datos con alcance europeo. O en otras palabras, que la armonización que se buscaba con el RGPD no será completa.

Entrando en el articulado, se conjugan criterios que nos resultan familiares, como que se presumirán exactos y actualizados los datos que el propio interesado aporte, con otros más novedosos: un catálogo de garantías sobre el principio de minimización de datos, una mayor concreción de las bases de legitimación, un refuerzo del deber de información (especificada para cada finalidad y plasmada “por capas”) o la confirmación del adiós al consentimiento tácito, que se ve desplazado por una declaración o una clara acción afirmativa del interesado, y por casillas no premarcadas. Otra novedad la encontramos en los menores de edad: se reduce de 14 a 13 la edad en la que un menor puede prestar su consentimiento; y sorprende enormemente el artículo dedicado… ¡a datos de personas fallecidas! El ALOPD tampoco es parco al abordar el equilibrio de intereses en la ponderación del interés legítimo como base jurídica para el tratamiento: otro nuevo reto por delante; y también regula con detalle ciertos tratamientos específicos que nos resultan familiares, como son los ficheros de morosos, las listas robinson o la videovigilancia.

Y si algo estábamos esperando los profesionales, era la regulación del delegado de protección de datos. Recordemos que el RGPD lo establece como obligatorio en aquellas organizaciones que realicen tratamientos de datos a gran escala… Pues bien, parece que la norma pretende aclarar este concepto, mediante un listado (desde la A hasta la Ñ) sobre qué tipo de responsables y encargados del tratamiento deberán designar un DPD. Algunos ejemplos: los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios (sea o no exigible el registro previo para su obtención), las entidades que desarrollen actividades de publicidad y prospección comercial… Menos mal que el Reglamento permite que el DPD sea externo, porque si no, cumplir esta obligación en los términos que exige la norma europea sería imposible para muchas PYMES.

He de reconocer, por lo demás, que el articulado se esfuerza en ofrecer unas pautas detalladas sobre cómo cumplir sus obligaciones… hasta el punto de pasarse un poco. No sólo deja claro lo que está prohibido, sino que también pretende listar lo que está permitido… algo que casa mal con el principio de libertad que nos enseñaron en la facultad. Pero al margen de esto, el ALOPD sí aclara definitivamente algunas dudas importantes: por ejemplo, los plazos de prescripción de las sanciones o de los procedimientos ante la Agencia Española de Protección de Datos.

No puedo terminar este breve resumen sin hablar del régimen sancionador previsto en el anteproyecto. Como sabemos, el RGPD trae dos tipos de multas: las muy graves (hasta 10 millones de euros o el 2% del volumen global de facturación) y las terribles (lo mismo multiplicado por dos). Pero no concretaba nada más. A nosotros, acostumbrados a un ordenamiento jurídico que ofrece detallados catálogos de sanciones, nos sonaba extraño y nos generaba dudas; y el ALOPD dedica un título entero (el VIII, sin naturaleza de ley orgánica) a desarrollar el régimen sancionador y propone infracciones consideradas leves, graves y muy graves. Como este artículo ya se alarga, prometo abordarlo en otro post… pero esto me lleva de nuevo a pensar sobre la armonización europea. Para un responsable o encargado de tratamientos español, cuya actividad esté restringida al mercado nacional, parece sencillo, pero… ¿y las empresas con mercados y tratamientos más amplios? 

No obstante, ¡ojo! Queda menos de un año para el 25 de mayo de 2018. Las empresas y organizaciones deben ir revisando sus tratamientos para determinar en qué medida el cambio normativo les afecta. Aunque sea un borrador, parece que pronto contaremos con una herramienta más para avanzar en ello. ¡Pero no lo olviden, tempus fugit!

¿Te ha resultado interesante?
Somos expertos en auditoría e implementación de la normativa de Protección de Datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales y nuestra política de privacidad.