Aprobado el proyecto de ley de protección de datos de carácter personal, os informamos de algunas de las novedades que introduce este Proyecto de Ley como el principio de protección de datos, el papel de Delegado de Protección de Datos o posibles sanciones.

El Consejo de Ministros aprobó el pasado viernes 10 de noviembre el Proyecto de nueva Ley Orgánica de Protección de Datos que sustituye a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal y que tiene como objetivo adaptar nuestra actual legislación a las disposiciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), introduciendo novedades y mejoras en la regulación de esta normativa en nuestro país.

Protección de Datos de carácter Personal

El Reglamento 2016/679 al igual que este Proyecto de Ley Orgánica de Protección de Datos, será de aplicación el 25 de mayo de 2018, con la finalidad de garantizar en la Unión Europea la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal de forma homogénea en todos los estados miembros.

Algunas de las novedades que introduce este Proyecto de Ley, son las siguientes:

1. Principios de protección de datos:

Siguiendo lo establecido en el RGPD, se entiende por consentimiento del afectado “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

En el ámbito de la legitimación para el tratamiento de datos, y “cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, se establece la necesidad de obtener el consentimiento del interesado de manera específica e inequívoca para cada una de las finalidades para las que se vayan a tratar datos de carácter personal.

Además, el afectado deberá poder manifestar su voluntad en relación con el tratamiento de sus datos, mediante un procedimiento claro, sencillo y gratuito.

En relación con el consentimiento de los menores de edad para el tratamiento de sus datos personales, se rebaja la edad mínima a los 13 años, como ya se establecía en otros países europeos, frente a la actual regulación que establece la edad mínima en 14 años.

2. Transparencia e información:

Se introduce el principio de transparencia e información en el tratamiento de los datos, indicando el derecho de los afectados a ser conocedores de los tratamientos que se lleven a cabo de sus datos.

El Proyecto contempla la posibilidad de utilizar un sistema de información por capas. Es importante señalar que, si los datos obtenidos del afectado fueran tratados para la elaboración de perfiles, se deberá informar al afectado sobre este extremo en una primera capa de información. En este caso el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente.

3. Derechos de los afectados:

Este Proyecto de Ley, además de los derechos de acceso, rectificación y oposición, regula expresamente el derecho a ejercer los nuevos derechos que introduce el RGPD:

  • Supresión.
  • Limitación.
  • Portabilidad.

En relación con el derecho a la portabilidad sólo se podrá ejercitar para los facilitados por el afectado y los derivados directamente del uso de los servicios prestados por el responsable.

4. Evaluaciones de impacto:

Como consecuencia del principio de responsabilidad proactiva que establece el Reglamento General de Protección de Datos, se regula la necesidad de realizar evaluaciones de impacto cuando se evalúen aspectos personales para la creación de perfiles en base a datos obtenidos por ejemplo a partir de preferencias de usuarios o geolocalización, así como en aquellos datos en los que se produzcan tratamientos de datos a gran escala.

5. Delegado de Protección de Datos:

Una de las novedades más destacadas frente a la actual LOPD es la introducción de la figura del Delegado de Protección de datos (DPO).

El DPO podrá ser una persona física o jurídica, interno o externo a la compañía. Una vez se haya designado al DPO, sus datos deberán ser comunicados a la Agencia Española de Protección de Datos.

El DPO ejercerá de punto de contacto entre la Agencia Española de Protección de Datos y la empresa. Sus funciones son fundamentalmente al análisis y control del nivel de seguridad y cumplimiento en materia de protección de datos de la empresa.

El perfil del Delegado de Protección de Datos, precisará de conocimientos legales contrastados en materia de protección de datos.

Asimismose establecen los supuestos en los cuales debe nombrarse la figura de un Delegado de Protección de Datos en las empresas, entre los cuales ha de destacarse aquellos casos en los cuales los prestadores de servicios de la sociedad de la información elaboren a gran escala perfiles de los usuarios del servicio, así como las entidades que realicen tratamientos de datos con finalidades publicitarias a partir de técnicas de profiling.

6. Datos sensibles:

Con el fin de evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estos casos, contar con el consentimiento del interesado no basta para otorgar legitimidad al tratamiento de esta categoría de datos.

7. Interés legítimo e interés público:

Introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento, como es el caso de los sistemas de información crediticia, el tratamiento de datos de contacto y de empresarios individuales y tratamientos relacionados con la realización de determinadas operaciones mercantiles.

Igualmente, regula situaciones en las que se aprecia la existencia de interés público, tales como las relacionadas con la videovigilancia, los sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.

8. Sanciones:

 Se regula el régimen sancionador, adaptando el régimen actualmente previsto en el Reglamento General de Protección de Datos.

Letslaw es un despacho especializado en Protección de Datos y Derecho Digital.