El 25 de mayo de 2018 comenzará a aplicarse el Reglamento 2016/679 (RGPD), es por ello que nuestro Gobierno ha impulsado este Anteproyecto de Ley Orgánica que sustituirá a la actual LOPD y adaptará nuestra regulación a lo dispuesto en el RGPD.
Antes de entrar en los aspectos más importantes y/o novedosos que trae el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (Anteproyecto de Ley Orgánica) exponemos un breve resumen de los antecedentes legislativos en España en materia de Protección de Datos de Carácter Personal.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el art. 18.4 de la Constitución Española (CE) “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
El Tribunal Constitucional señalaba en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero.
En el ámbito legislativo, la concreción y desarrollo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos de carácter personal, conocida como LORTAD, la cual fue reemplazada por la actual LOPD a fin de transponer a nuestro derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.
El último hito en esta evolución tuvo lugar con la adopción del RGPD, el cual supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Por este motivo el RGPD contiene un buen número de habilitaciones, cuando no imposiciones, a los Estados miembros, a fin de regular determinadas materias.
Sobre estas bases se adopta el Anteproyecto de Ley Orgánica, que no pretende reiterar el texto del RGPD sino que trata de clarificar sus disposiciones, dentro de los márgenes que el mismo establece, teniendo en cuenta asimismo la propia tradición jurídica derivada de una regulación de más de veinticinco años de vigencia y de una abundante doctrina judicial generada a lo largo de ese período.
Este Anteproyecto de Ley Orgánica consta de setenta y ocho artículos estructurados en ocho títulos, diez disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales.
El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al RGPD.
Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro.
En el Título II, “Principios de protección de datos”, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.
El Título III, dedicado a los derechos de las personas, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).
El Título IV se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el RGPD es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento RGPD y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación.
El Título VIII, que contempla el régimen sancionador, parte de que el RGPD establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión. En este marco, la ley orgánica procede a describir las conductas típicas, manteniendo la distinción entre infracciones muy graves, graves y leves, a la vista de la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones.