El nuevo Reglamento 2016/679 General de Protección de Datos para la Unión Europea (RGPD) supone la derogación de la Directiva en la que se basa nuestra actual LOPD. Hace meses se anunció una nueva Ley Orgánica adaptada al nuevo RGPD cuyo anteproyecto se acaba de publicar. Comentamos algunos puntos importantes.
Una de las primeras cuestiones que nos asaltan es si la nueva Ley Orgánica estará a tiempo y su entrada en vigor coincidirá con la puesta en marcha del Reglamento. De momento, nos encontramos en el trámite de audiencia tras el cual la Ley entrará en circuito parlamentario con sus enmiendas y demás…
No obstante ya podemos desvelar su contenido (sobre el que la Agencia Española de Protección de Datos había sido completamente opaca).
La Ley consta de 78 artículos divididos en 8 titulos, 10 disposiciones adicionales, 5 disposiciones transitorias, una disposición derogatoria y 7 finales.
La finalidad de esta Ley es, lógicamente la adaptación del ordenamiento jurídico español al Reglamento UE 2016/679 General de Protección de Datos.
Estas son algunas cuestiones que nos han llamado la atención (por razones de espacio, no contamos todas):
1.- Tratamiento de datos de personas fallecidas
Aunque los datos de las personas fallecidas se encuentran inicialmente excluidas del ámbito de protección de la Ley, se contempla, por primera vez, la posibilidad de que los herederos puedan dirigirse a los responsables o encargados de tratamiento para solicitar el aceso, la rectificación o supresión de los datos salvo que la persona fallecida lo hubiese prohibido expresamente o lo establezca una ley.
Este aspecto va a ser especialmente útil para el acceso o cancelación de datos en las redes sociales por parte de los familiares del fallecido así como a otros documentos “digitales”.
2.- Consentimiento
Cuando el tratamiento se base en el consentimiento del interesado, el texto reitera la necesidad de que se trate de una declaración o clara acción afirmativa.
Cuando el tratamiento se funde en el consentimiento para una pluralidad de finalidades, será preciso que conste claramente el consentimiento para cada una de ellas.
No hay vuelta de hoja: una finalidad, un consentimiento.
3.- Tratamiento de datos de contacto y de empresarios individuales
Se admite la licitud del tratamiento basado en el interés legítimo cuando el tratamiento se refiera a los mínimos datos para su localización profesional y que la finalidad sea mantener relaciones con la persona jurídica en la que preste sus servicios.
Es decir, estamos ante tratamiento de datos (no una exclusión como en la legislación anterior) pero legítima y sin necesidad de consentimiento expreso por parte del interesado.
4.- Cámaras de videovigilancia
Se ha aprovechado la nueva Ley para incluir algunos aspectos que ya había matizado la propia Agencia Española de Protección de Datos a través de informes y resoluciones así como la propia jurisprudencia:
- La posible captación de vía pública en una extensión superior (prohibida y sólo reservada a las fuerzas y cuerpos de seguridad del estado) cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.
- Los nuevos carteles: será suficiente que informen de la identidad del responsable y de la posibilidad de ejercitar los derechos.
- La posibilidad de situar cámaras en los centros de trabajo. Se incorpora la reciente jurisprudencia tanto del Tribunal Constitucional como del Tribunal Supremo en la que se permite siempre que se haya informado a los trabajadores.
5.- El Delegado de Protección de Datos:
Ya sabíamos que el DPO tiene que demostrar competencia en la materia pero el texto deja claro que los mecanismos de certificación no serán obligatorios aunque sí utilizarse como mecanismo para acreditar los requisitos de competencia exigidos por el RGPD.
El DPO será una figura clave en la mediación con la Agencia Española de Protección de Datos, en los procesos de notificación de brechas de seguridad, evaluaciones de impacto y en definitiva en la supervisión del cumplimiento en las entidades obligadas y en aquellas que, aunque no estén obligadas, hayan decidido contar con un DPO.
Aunque el RGPD establece los casos en los que el DPO será obligatorio, el texto recoge una relación de entidades incluidas en esos casos y en concreto:
- Colegios profesionales
- Centros docentes
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas
- Prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios
- Entidades de incluidad en la Ley de ordenación, supervisión y solvencia de entidades de crédito.
- Establecimientos financieros de crédito
- Entidades aseguradoras y reaseguradoras
- Empresas de servicios de inversión
- Distribuidores y comercializadores de energía eléctrica
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (prevencón del blanqueo de capitales y de la financiación del terrorismo)
- Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comerciale y de mercados.
- Centros sanitarios legalemente obligados al mantenimiento de historias clínicas
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos
- Entidades que desarrollen actividades reguladas por la Ley de Seguridad Privada
Este anteproyecto sufrirá modificaciones pero nos permite hacernos una idea del alcance de las nuevas obligaciones que quienes tratan datos han de cumplir.
El nuevo “espíritu de la privacidad” ya se refleja en esta norma que esperemos vea la luz a tiempo para que todos podamos adaptarnos.
En un próximo post hablaremos de las infracciones que nos marcarán, como no, las obligaciones concretas de cumplimiento.
Seguiremos informando.
Comentarios
No hay comentarios