El pasado 23 de junio el Ministerio de Justicia ha publicado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal.

Pese a que el texto del Anteproyecto será aún objeto de modificaciones y revisiones antes de su aprobación definitiva, sí resulta de gran interés para conocer los principales aspectos que regulará con el objeto de adaptar la normativa española al Reglamento General de Protección de Datos europeo, cuya entrada en vigor está prevista para el próximo 25 de mayo de 2018.

Las principales novedades que se establecen son las siguientes:

  • Principios de protección de datos

En el ámbito de la legitimación para el tratamiento de datos, y “cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, se establece la necesidad de obtener el consentimiento del interesado claramente para cada una de las finalidades para las que se vayan a tratar datos de carácter personal.

Por otro lado, y cuando en el marco de una relación contractual con el interesado se solicite su consentimiento para llevar a cabo un tratamiento de sus datos que no guarde relación directa con el mantenimiento, desarrollo o control de la relación contractual, se requerirá que el interesado pueda manifestar específicamente su voluntad en relación con este tratamiento mediante un procedimiento claro, sencillo y gratuito.

Asimismo, se establece que los datos obtenidos directamente de los interesados se presumen exactos y actualizados.

  • Consentimiento de menores

El texto reduce la edad mínima para prestar el consentimiento desde los 14 años a los 13 años, tal y como establece el Reglamento General de Protección de Datos, de forma que se adapte la normativa española a la de otros países de nuestro entorno europeo.

  • Derechos de las personas

En el Título III, dedicado a los derechos de las personas, se adopta el principio de transparencia, que regula el derecho de los afectados a ser informados acerca del tratamiento de sus datos, regulándose el sistema denominado como “información por capas”, anteriormente aceptado en ámbitos como la videovigilancia o la instalación de dispositivos de almacenamiento y recuperación de datos (cookies).

Asimismo, se mantienen los sistemas de exclusión publicitaria (Listas Robinson) como obligación establecida para los tratamientos de datos que tengan como finalidad la publicidad o la prospección comercial, y se regulan expresamente los sistemas de información de denuncias internas en el sector privado.

  • Tratamiento de datos de personas fallecidas

En el Título I destaca la regulación del tratamiento de datos de personas fallecidas. En este sentido, el anteproyecto de ley establece como sujetos habilitados para ejercer los derechos en materia de protección de datos en nombre de las personas fallecidas a los herederos, el albacea testamentario o el Ministerio Fiscal, entre otros.

  • Ejercicio de derechos de los afectados

El texto regula expresamente como novedad el derecho a la limitación del tratamiento de los datos del interesado, así como el derecho de portabilidad.

En relación con el derecho de portabilidad, se delimita a los datos facilitados por los interesados y los que se deriven directamente del uso por parte del interesado de los servicios prestados por el responsable.

  • Responsable y Encargado del tratamiento

En el Título VI, y como consecuencia del principio de responsabilidad proactiva que establece el Reglamento General de Protección de Datos, se regula expresamente la necesidad de realizar evaluaciones de impacto cuando se evalúen aspectos personales para la creación de perfiles en base a datos inferidos por ejemplo a partir de preferencias de usuarios o geolocalización, así como en aquellos datos en los que se produzcan tratamientos de datos a gran escala.

Asimismo, se establecen los supuestos en los cuales debe nombrarse la figura de un Delegado de Protección de Datos en las empresas, entre los cuales ha de destacarse aquellos casos en los cuales se recabe información de los interesados a través de internet y/o se utilicen cookies, o bien se realicen tratamientos de datos con finalidades publicitarias a partir de técnicas de profiling.

  • Reclamaciones ante la AEPD

El texto establece como requisito previo a la interposición de una denuncia ante la AEPD la necesidad de plantear previamente la reclamación ante organismos de mediación o bien ante el Delegado de Protección de Datos.

  • Sanciones

En el Título VIII se regula el régimen sancionador, adaptando el régimen actualmente previsto en el Reglamento General de Protección de Datos.

En este sentido, el texto especifica detalladamente las infracciones catalogadas como leves, graves y muy graves, estableciendo igualmente el régimen de graduación de las sanciones, así como los sujetos responsables, remitiéndose en todo momento al Reglamento General de Protección de Datos.

Letslaw es un despacho de abogados especializado en comercio electrónico y protección de datos.