Al margen de la aplicación del nuevo Reglamento Europeo Nº 2016/676 de protección de Datos (RGPD), que será directamente aplicable a partir del 25 de mayo. Está prevista la aprobación de la Nueva LOPD que vendrá a aclarar y a ampliar determinados aspectos del Reglamento Europeo. Esta nueva Ley Orgánica de Protección de Datos, se encuentra en fase de tramitación, sin embargo, ya ha sido publicado el proyecto de Ley, y podemos conocer las novedades que introducirá.
Índice de contenidos
Aportaciones de la nueva LOPD
Delegado de Protección de Datos
El Reglamento Europeo de Protección de Datos contempla fundamentalmente tres situaciones en las que se precisa un Delegado de Protección de Datos:
- Tratamientos de datos por Autoridad u Organismo Público
- Tratamientos de datos a gran escala
- Tratamientos de datos a gran escala de datos sensibles.
La nueva LOPD concreta las entidades que deben contar con un DPD (Delegado de Protección de Datos), entre otros:
- Colegios profesionales
- centros docentes que ofrezcan enseñanzas y Universidades públicas y privadas.
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Entidades de crédito.
- Entidades aseguradoras y reaseguradoras.
- Empresas de servicios de inversión.
- Centros sanitarios.
- Operadores de apuestas en internet.
- Compañías de marketing conductual (“behavioral marketing”).
- Quienes ejerzan actividades de seguridad privada.
En todo caso, está previsto en la nueva LOPD que la Agencia Española de Protección de Datos mantenga accesible por medios electrónicos una lista actualizada de estos delegados.
Además, se prevé la posibilidad de que un afectado antes de interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD), se dirija frente al Delegado de Protección de Datos (DPD) de la entidad.
Consentimiento expreso en la nueva LOPD
El consentimiento del usuario o afectado para el tratamiento de datos debe proceder de una clara acción afirmativa de éste, se excluye, por tanto, lo que se conocía como “consentimiento tácito”. Por otro lado, serán válidos los consentimientos recabados con anterioridad al 25 de mayo, si respetan las condiciones del Reglamento Europeo.
Consentimientos prestados por menores
Para el tratamiento de datos de menores (Por ejemplo: crearse una cuenta en una red social), el Reglamento Europeo prevé una edad mínima de 16 años, por debajo de la cual los menores deberán prestar el consentimiento a través de sus tutores legales. Sin embargo, este Reglamento prevé una excepción, es decir, permite que los Estados de la Unión Europea puedan establecer una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
En este caso, la nueva LOPD permite que los menores de más de 13 años puedan prestar un consentimiento válido para el tratamiento de sus datos.
Transparencia e información a los usuarios en la LOPD
La nueva Ley Orgánica de Protección de Datos contempla el deber de información al usuario en el caso de obtención de datos a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información. En todo caso, se debe indicar al usuario la identidad del responsable del tratamiento, la finalidad, y el modo en que puede ejercer los derechos de acceso, rectificación, supresión, limitación y portabilidad.
Derechos de los usuarios o interesados en la nueva Ley Orgánica de Protección de Datos
Anteriormente denominados “Derechos Arco”, la nueva normativa los contempla como derechos de acceso, rectificación, oposición, supresión (anteriormente, cancelación) y portabilidad.
Registro de actividades y bloqueo de datos en la LOPD
El registro de actividades es una exigencia del nuevo Reglamento Europeo de protección de datos, que viene a sustituir a la obligación de inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD).
Sin embargo, la nueva Ley Orgánica de Protección de Datos contempla que las Autoridades y organismos públicos deberán hacer público un inventario de sus actividades de tratamiento y ésta deberá ser accesible por medios electrónicos para los terceros.
El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión, además, deberán quedar a disposición de las Autoridades competentes (Por ejemplo, la Agencia Española de Protección de Datos).
Tratamiento de datos en la nueva LOPD
Tratamiento de datos de contacto y de empresarios individuales
En la anterior Ley Orgánica de Protección de Datos de 1999, concretamente en su reglamento de desarrollo nº 1720/2017, se contemplaba una exclusión de los datos de contacto de personas jurídicas y empresarios individuales. En el Reglamento Europeo no se contempla tal exclusión, sin embargo, la nueva Ley Orgánica de Protección de Datos en su artículo 19.1 permite un tratamiento de estos datos, sin necesidad del consentimiento del interesado, en base al interés legítimo.
Tratamientos de datos con fines de videovigilancia
La nueva Ley Orgánica de Protección de Datos contempla que en los sistemas de videovigilancia sólo podrán almacenar las imágenes durante un plazo máximo de un mes, excepto sean necesarias para acreditar infracciones. Asimismo, se contempla que no se podrá grabar más allá de la vía pública imprescidible para garantizar la seguridad (Ej: grabación de las entradas) con la única excepción de que fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.
Lista Robinson
En la nueva Ley Orgánica de Protección de Datos se contempla que será lícito el tratamiento de datos de carácter personal que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas. (Ej: no recibir Spam).
Acceso a datos en Internet de personas fallecidas según la nueva LOPD
En esta nueva ley se contempla que los herederos o representantes legales puedan dirigirse a los prestadores de servicios de la sociedad de la información (Ej: una red social), para decidir sobre el destino o la supresión de dichos datos del fallecido.
Por último, por motivos de tiempos parlamentarios, presumiblemente esta nueva Ley Orgánica de Protección de Datos será aprobada con posterioridad a la aplicación del Reglamento Europeo, es decir, con posterioridad al 25 de mayo de 2018, por lo que deberemos cumplir estrictamente lo dispuesto en el Reglamento, aunque esta nueva normativa nos puede servir actualmente para concretar los criterios que seguirá la Agencia Española de Protección de Datos.
José Nogueira
Abogado
Sistemius