El Ministerio de Justicia envía al Consejo de Ministros el borrador de anteproyecto de ley orgánica de protección de datos de carácter personal

27-06-2017 — AR/2017/059

El Ministerio de Justicia remite al Gobierno el borrador de anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, en el que destaca la protección de datos personales como un derecho fundamental protegido por la Constitución Española, que garantiza su control, su uso y su destino, y la facultad de oponerse a que sean usados para fines distintos al que justificó su obtención. La norma española constituye, para España, el tercer nivel de regulación del derecho fundamental, tras el primer nivel de regulación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y del segundo nivel de regulación del Tribunal de Justicia de la Unión Europea en la interpretación de las directivas en la materia.

La semana pasada, el Ministerio de Justicia remitió al Gobierno el borrador de anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Hoy algunos medios de comunicación publican el texto completo de la norma, que entrará en vigor el 25-5-2018.

El anteproyecto destaca que la protección de las personas físicas en lo referido al tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución Española, el 8 de la Carta de los Derechos Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europea.

Este derecho garantiza a la persona el control sobre cualesquiera de sus datos personales y sobre su uso y destino, para evitar el tráfico ilícito de ellos o el uso lesivo para la dignidad y los derechos de los afectados, atribuyendo al ciudadano la facultad de oponerse a que sus datos personales sean usados para fines distintos al que justificó su obtención.

La norma española constituirá, para España, el tercer nivel de regulación del derecho fundamental.

Así:

  • el primer nivel de regulación lo constituye el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos – RGPD);
  • el segundo nivel de regulación lo completa la doctrina elaborada hasta el momento y la que dicte en adelante el Tribunal de Justicia de la Unión Europea en la interpretación de las directivas en la materia (Directiva 95/46/CE de protección de datos y la Directiva (UE) 2016/680 de protección de datos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales).

El RGPD pretende superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE, cuya transposición había dado lugar a diferencias apreciables en la protección de los derechos de los ciudadanos y que afectaban a la libre circulación de los datos por el territorio de la Unión.

Este reglamento, no obstante ser de aplicación directa, requiere que el Derecho de los Estados miembros especifique o restrinja sus normas, por razones de coherencia interna y para permitir la comprensión de las disposiciones nacionales. En concreto, faculta a los Estados miembros para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del reglamento europeo, partiendo de un régimen uniforme que deberá también ser aplicado de forma uniforme en toda la Unión. Por este motivo el RGPD contiene numerosas habilitaciones y mandatos a los Estados miembros para que regulen ciertas materias.

La ley orgánica constituye un «desarrollo» o complemento del Derecho de la Unión Europea, y tiene por objeto clarificar las disposiciones del RGPD, adaptando sus principios a la propia tradición jurídica española en la materia y la doctrina judicial, además de depurar el ordenamiento nacional.

Cabe destacar, en cuanto al ámbito de aplicación, la novedosa regulación de los datos referidos a las personas fallecidas, que permite a los herederos solicitar el acceso a los datos de herencia, así como su rectificación o supresión, en su caso, con sujeción a las instrucciones del fallecido.

En cuanto a los “Principios de protección de datos”, la LOPD establece que se presumen exactos y actualizados los datos obtenidos directamente del propio afectado (lo que afecta directamente a las responsabilidades de calidad de datos) y establece expresamente el deber de confidencialidad, se regulan garantías específicas y se insiste en el principio de minimización de datos.

Además, prohíbe el “consentimiento tácito”, y fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años, asimilando el sistema español al de otros Estados miembro.

Regula asimismo la posibilidad de que el interés legítimo pueda prevalecer sobre el derecho a la protección de datos del afectado.

El borrador conserva las “Disposiciones aplicables a tratamientos concretos”, en los que se busca el equilibrio de intereses o la ponderación del interés legítimo, como los sistemas de información crediticia, tratamientos con fines de videovigilancia y los sistemas de exclusión publicitaria conocidos como “listas Robinson”, los tratamientos para la función estadística pública o los sistemas de información de denuncias internas en el sector privado.

El borrador profundiza en el principio de transparencia al establecer la denominada “información por capas” para atender el deber de información.

La ley orgánica complementa los tradicionales derechos de acceso, rectificación, supresión, oposición, con los de limitación del tratamiento y portabilidad.

En relación con el responsable y el encargado del tratamiento, la nueva norma descansa en el principio de responsabilidad activa, que establece una previa valoración por el responsable o por el encargado del tratamiento de los riesgos que pudieran derivarse del tratamiento y a adoptar las medidas que procedan, la designación en ciertos casos del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

En relación con las transferencias internacionales de datos, la LOPD regula las especialidades relacionadas con los procedimientos de aprobación de modelos contractuales o normas corporativas vinculantes, supuestos de autorización de transferencias, o información previa.

Desde el punto de vista organizativo, la nueva ley refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre ellas, los procedimientos ante la Agencia Española de Protección de Datos y adapta a estos procedimientos el principio de “ventanilla única” establecido por el RGPD, el procedimiento de cooperación entre autoridades de los Estados miembros y la solución de discrepancias.

La norma prevé que la Agencia Española de Protección de Datos remita la reclamación directamente al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos y establece como novedad la regulación de las medidas provisionales, entre las que destaca el bloqueo de los datos.

En relación con las sanciones, la ley concreta el sistema de sanciones del RGPD, que es sumamente genérico, tipifica las infracciones y las sanciones correspondientes, manteniendo la distinción tradicional entre infracciones muy graves, graves y leves, los plazos de prescripción y la suspensión de la prescripción, teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, que permite la tramitación coordinada de procedimientos por diversas autoridades de control.

La nueva ley mantiene el sistema de agravantes o atenuantes de la responsabilidad que ya aparecían en el artículo 45.4 y 5 de la LOPD.