El Consejo de Ministros aprueba el proyecto de Ley Orgánica de Protección de Datos

13-11-2017 — AR/2017/105

Aprobado el Proyecto de Ley Orgánica de Protección de Datos de adaptación de nuestra legislación a las disposiciones del RGPD, que entrará en vigor el 25-5-2018 y establecerá las singularidades de nuestro país en su aplicación del RGPD, con novedades en el régimen de consentimiento, en los tratamientos y en la introducción de figuras y procedimientos.

El Consejo de Ministros ha aprobado el viernes pasado, 10-11-2017, el Proyecto de Ley Orgánica de Protección de Datos de adaptación de nuestra legislación a las disposiciones del RGPD, que introduce novedades y mejoras en la regulación del derecho fundamental de protección de datos en nuestro país.

El proyecto de ley orgánica continuará ahora su tramitación en las Cortes para ser aprobado.

El reglamento europeo comenzará a aplicarse el 25-5-2018 y tiene como uno de sus principales objetivos acabar con la fragmentación normativa que existe en los países comunitarios. Además, actualiza la normativa de protección de datos a los avances tecnológicos y el desarrollo de la sociedad de la información, con previsiones específicas a necesidades que se han puesto de manifiesto a partir de dichos avances, como el derecho al olvido, el derecho a la portabilidad, etc.

La futura Ley Orgánica de Protección de Datos entrará igualmente en vigor el 25-5-2018, derogará la actual Ley Orgánica de Protección de Datos y establecerá las singularidades de nuestro país en la aplicación del RGPD, recogiendo novedades, tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos.

Entre las novedades que cabe destacar:

  • El establecimiento en los 13 años de la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno.

  • La regulación del tratamiento de los datos relativos a personas fallecidas según la voluntad de sus herederos.

  • La eliminación del consentimiento tácito, exigiendo una acción afirmativa y expresa por parte del afectado.

  • El deber manifiesto del deber de confidencialidad.

  • En caso de una inexactitud en los datos personales obtenidos de forma directa, la exclusión de la imputabilidad del responsable de su tratamiento si este ha adoptado todas las medidas razonables para su rectificación o supresión.

En relación con el tratamiento de datos, proclama el principio de transparencia, reforzando el derecho de los interesados a estar informados sobre el tratamiento, y regula los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.

Para garantizar el principio de no discriminación, prohíbe conservar datos especialmente protegidos, relativos a la ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. Para procesar datos de estas categorías, no basta el consentimiento del interesado para la legitimidad del tratamiento.

Además, identifica ciertos supuestos, como en el caso de los sistemas de información crediticia, en los que se establece la prevalencia del interés legítimo del responsable del tratamiento de los datos. Igualmente, regula situaciones en las que se aprecia la existencia de un interés público, como en el caso de los sistemas de videovigilancia y sistemas de exclusión publicitaria («listas Robinson»), la función estadística pública y los sistemas de denuncia interna en defensa del buen gobierno de las empresas.

Como principales novedades, cabe destacar la regulación de la figura del delegado de protección de datos, persona física o jurídica designada por las empresas, que mantendrá relación con la AEPD y con los interesados, además de responsabilizarse internamente, bajo los principios de objetividad e independencia, del buen tratamiento de los datos personales por la empresa.

En relación con los sistemas de responsabilidad proactiva de las entidades, promueve los mecanismos de autorregulación, mediante políticas y códigos de cumplimiento obligatorio.

Finalmente, cabe destacar que el RGPD menciona el tratamiento de análisis de los datos personales, base del big data, para poner de relieve que deben cumplirse las garantías normativas, fundamentalmente, la transparencia y consentimiento, y aplicar siempre que sea posible la disociación, como medida de seguridad añadida que garantice los derechos de los interesados.

Iniciativas relacionadas