• No se han encontrado resultados

Los nuevos horizontes normativos del Reglamento Europeo de Protección de Datos: El Anteproyecto de Ley Orgánica de Protección de Datos.

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Los nuevos horizontes normativos del Reglamento Europeo de Protección de Datos: El Anteproyecto de Ley Orgánica de Protección de Datos."

Copied!
5
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 5 página )

Texto completo

(1)

Los nuevos horizontes normativos del Reglamento Europeo de Protección de Datos: “El Anteproyecto de Ley Orgánica de Protección de Datos”.

La protección de datos personales se configura como un derecho fundamental1 cuya finalidad

última es servir a la humanidad2. La emergente utilización de la tecnología en la era digital

junto a la dimensión transnacional que caracteriza la Red de Redes y la ingente cantidad de recogida e intercambio de datos personales plantea sin duda nuevos desafíos desde una perspectiva legal. El derecho a la protección de datos no tiene un carácter absoluto, sino que el legislador ha de tener en cuenta la función social que representa la recogida de datos, ya que ello puede mejorar la calidad de vida de las personas y plantear nuevos modelos de negocio, como los novedosos horizontes que plantea el Big Data, o la reutilización de datos abiertos por las Administraciones Públicas.

En aras de garantizar un nivel coherente de protección y evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior, la UE ha optado por dotar de uniformidad la visión jurídica del régimen normativo concerniente a la protección de datos a través de la implementación del “Reglamento relativo a la protección de las personas físicas en

lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”( “RGPD”) . No obstante, a pesar de que el Reglamento

sea contundente en la regularización de ciertos aspectos tales como el régimen de responsabilidad de encargados y responsables o las condiciones mínimas que han de estipularse en la contratación de encargados3, existen ciertos márgenes interpretativos

especificados por el propio Reglamento, que permiten a los Estados Miembros incorporar y adaptar a sus normativas nacionales las disposiciones del RGPD.4

1 Art 8 de la Carta de Derechos Fundamentales de la UE y artículo 16 del TFUE establecen que toda persona

tiene derecho a la protección de los datos personales que la conciernan.

2 Considerando 4 del RGPD

3A diferencia del artículo 12 de la LOPD que no establecía el contenido mínimo de los contratos, el artículo 28

del RGPD sí que establece el contenido mínimo del contrato.

4 Un ejemplo claro es la licitud del consentimiento de menores a través de los servicios de la sociedad de la

información, donde el propio RGPD en su artículo 8 establece que los Estados Miembros podrán estipular por ley una edad inferior a los 16 años previstocomo norma general, siempre que ésta no sea inferior a 13 años, edad mínima establecida por el propio Anteproyecto de conformidad con el artículo 8 del precitado texto legal.

(2)

En este contexto normativo surge la iniciativa de aprobar un novedoso Anteproyecto de Ley Orgánica de Protección de Datos (“Anteproyecto”), para dotar de seguridad jurídica la implementación del Reglamento, y adaptar aquellos aspectos que ofrecen posibilidad interpretativa a la legislación española.

Aunque la LOPD ya ofrece una visión bastante garantista del ámbito jurídico en materia de protección de datos, el Reglamento incorpora múltiples novedades que afectan al actual marco normativo nacional. En materia de obtención del consentimiento como requisito fundamental para recabar datos de carácter personal, tanto el RGPD, como el Anteproyecto excluyen el consentimiento tácito, exigiendo una manifestación expresa por parte del afectado en el otorgamiento del consentimiento.5

Se incorporan nuevos derechos tales como el Derecho al Olvido, ya consagrado por la doctrina del TJUE6, que implica el derecho de supresión de los datos personales del interesado

en los motores de búsqueda7; el Derecho a la limitación del tratamiento que confiere al

interesado el derecho a obtener del responsable la limitación del tratamiento en ciertos supuestos legalmente tasados8; así como el Derecho de portabilidad de los datos que prevé el

derecho de los afectados a recibir sus datos personales en un formato estructurado y a trasmitirlo a otro responsable del tratamiento. 9

Resulta novedoso el tratamiento específico de determinadas categorías de datos, como por ejemplo la regulación del tratamiento de datos de personas fallecidas10, ya que con la anterior

normativa, los datos personales de los difuntos quedaban expresamente excluidos del ámbito objetivo de aplicación normativa. 11 Con respecto a los sistemas de información crediticia se

5 Artículo 7 del Anteproyecto y artículo 3 del RGPD.

6 TJUE C-131/12 Google Spain Google Inc vs Agencia Española de Protección de Datos y Mario Costeja

González de 13 de Mayo de 2014

7 Artículo 17 del RGPD y artículo 25 del Anteproyecto.

8 Los artículos 18 del RGPD y 26 del Anteproyecto. Prevén la limitación del tratamiento si se impugna la

exactitud de los datos, si el tratamiento es ilícito, o cuando los datos ya no sean necesarios para el tratamiento o bien el interesado se haya opuesto al tratamiento.

9 Artículo 20 del RGPD y artículo 27 del Anteproyecto. 10 Artículo 3 Anteproyecto.

11 En este sentido el artículo 2 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, excluye expresamente del ámbito objetivo de la normativa los datos personales de fallecidos. No obstante, sí que preveía al igual que en el art 3 del Anteproyecto el derecho de los familiares y personas cercanas al fallecido a ejercitar los derechos ARCO.

(3)

excluyen aquellos supuestos en los que la cuantía sea inferior a 50 euros12, y en materia de videovigilancia, simplemente con la colocación de un dispositivo informativo del tratamiento de imágenes en un lugar visible es suficiente13.

Se consagra el principio de responsabilidad pro-activa del responsable y del encargado en los tratamientos que implican una previa valoración de los posibles riesgos que pueda generar el tratamiento para adoptar las medidas pertinentes para garantizar la seguridad del tratamiento,14 suprimiendo la exigencia de notificación previa de ficheros a la Agencia

Española de Protección de Datos (“AEPD”) que figura regulada en el artículo 26 de la LOPD. Se establecen medidas tendentes a asegurar una protección más eficiente tales como: la llevanza de un Registro de actividad del tratamiento15; notificación de brechas de seguridad en el plazo

de 72 horas a la autoridad competente16; la evaluación de impacto sobre la protección de

datos17.

En aras de garantizar un mayor nivel de seguridad en el tratamiento de los datos de carácter personal, el RGPD constituye la figura del Delegado de Protección de Datos (“DPD”) para el tratamiento de datos por administraciones públicas, o tratamientos masivos de datos o datos especialmente sensibles. 18 El Anteproyecto materializa en su articulado una interpretación

extensiva de los organismos que deberán designar un DPD, 19 extendiendo dicha obligación a

todos los prestadores de servicios de la sociedad de la información, por lo que prácticamente todas aquellas empresas que presten servicios a través de Internet deberán designar un delegado de protección de datos.20

12 Ver Disposición Adicional Octava Anteproyecto en relación con el artículo 14 Anteproyecto. 13 Artículo 15 Anteproyecto

14 Artículo 30 Anteproyecto y artículos 24 y 25 del RGPD 15 Artículo 30 RGPD y artículo 33 de Anteproyecto.

16 Artículo 33 RGPD, en caso de no notificarse en el plazo de 72 horas, deberá de motivarse porqué no se

notificó con anterioridad la brecha de seguridad. Dicha previsión normativa tan sólo se encuentra en el RGPD.

17 Artículos 35 y 36 del RGPD. 18 Artículo 39 del RGPD

19 Artículo 35 Anteproyecto menciona multiplicidad de organismos públicos y entidades privadas que deberán

designar a un DPD, haciendo extensible dicha obligación a prácticamente todos los sectores que realicen actividades comerciales y en Internet..

(4)

Por otro lado, habida cuenta del carácter transnacional de la era digital en la que nos encontramos inmersos, existen multiplicidad de empresas que realizan tratamientos de datos en el seno de la UE, pero que sin embargo no gozan de una sede en el territorio y escapan por tanto del régimen de responsabilidad por las infracciones cometidas en territorio europeo. Frente a dicha situación tanto el RGPD como el Anteproyecto estipulan que en el supuesto en el que el responsable o encargado del tratamiento no esté establecido en la UE, deberá

designar un representante dentro del territorio de la UE.21 En aquellos supuestos en los que

se realicen transferencias internacionales de datos a terceros países, tanto el RGPD como el Anteproyecto prevén la firma de las cláusulas contractuales tipo elaboradas por la Comisión Europea, o en el supuesto de España por la AEPD, considerándose tales cláusulas suficientes para efectuar una transferencia de forma legítima sin obtener autorización de la autoridad de control.22

Frente a las posibles vulneraciones en materia de protección de datos se agilizan los

procedimientos para reclamar y se aumenta considerablemente la cuantía de las multas.23

Con respecto a los procedimientos en caso de infracción, el artículo 17 del Anteproyecto prevé la implementación de sistemas de información de denuncias internas en el sector privado a través del cual se puede poner en conocimiento de una entidad privada, anónimamente o no, la comisión de infracciones de la normativa de protección de datos por el personal de la empresa o por terceros que hubiesen contratado con ella, lo que reducirá posiblemente la carga de expedientes de la AEPD. Adicionalmente se configura un procedimiento de ventanilla única en caso de reclamaciones ante la AEPD que agilizará considerablemente las reclamaciones planteadas.24

21 Artículo 27 del RGPD y artículo 32 del Anteproyecto. 22 Artículo 46 RGPD y artículo 42 Anteproyecto.

23 El artículo 83 (4) del RGPD establece una multa administrativa máxima de 10 000 000 de euros o tratándose

de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. La multa se implementará en aquellos supuestos en los que se vulneren los requisitos de seguridad, o del DPD, Privacy by Design o bien en materia de consentimiento de menores. Por otro lado el 83 (5) del RGPD establecen multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

24 Artículos 64-69 Anteproyecto, prevén la posibilidad de que la AEPD remita la reclamación al DPD u órganos

a cargo de la resolución extrajudicial; plazos de tramitación que no podrán superar los 18 meses; inadmisión de las reclamaciones; actuaciones previas de investigación; y las medidas provisionales entre las que destaca el bloqueo de datos.

(5)

Con respecto al régimen sancionador, el Anteproyecto establece categorías más específicas de tipologías infractoras, concretando la diversidad de conductas infractoras en leves, graves y muy graves25. Finalmente, el RGPD, a diferencia del Anteproyecto, establece expresamente el Derecho de indemnización por parte de los responsables y encargados del tratamiento por los daños y perjuicios que le fuesen ocasionados al afectado26.

Elena Santos

Abogada Dpto. de Nuevas Tecnologías y Telecomunicaciones de Cremades & Calvo-Sotelo

25 Ver artículos 72, 73 y 74 de la LOPD. 26 Artículo 82 RGPD

Referencias

Descargar ahora ( PDF - 5 página - 785.77 KB )

Documento similar

EL JARDÍN DE LOS BORGIA

No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)