17 julio 2017

Cuenta atrás… Anteproyecto LOPD

  • Nos encontramos en el disparadero de salida ante la reciente publicación y consulta pública del Anteproyecto de Ley Orgánica de Protección de Datos siendo el mismo un primer boceto clarificador de la aplicación del Reglamento Europeo de Protección de Datos.
  • Análisis breve del Anteproyecto de Ley Orgánica de Protección de Datos. ¿Cumple con la misión de clarificar y aclarar la aplicación del Reglamento Europeo de Protección de Datos?

Reloj de arenaLa verdad es que ya había escrito el artículo para el blog de Enatic en Abogacia.es, una pequeña aportación respecto a la telemedicina, pero la actualidad no me ha llevado a otro camino que intentar articular brevemente una serie de comentarios respecto al Anteproyecto LOPD que recientemente pudimos conocer[1] y, paralelamente, la publicación de la Memoria 2016 de la Agencia Española de Protección de Datos[2]. Perdónenme, pero creo que la actualidad y, más aún con los continuos cambios a los que ya estamos acostumbrados en derecho TIC, hacen que, irremediablemente, tengamos que “ponernos” a él y a intentar,  entre  todos  los  profesionales, encontrar sinergias de opiniones[3] que permitan, al menos, estar en disposición de comprender un poco mejor todo el zafarrancho de novedades con la finalidad de poder aplicarlas a nuestros clientes finales o futuros. Por zafarrancho no sólo me refiero a la aplicación en sí del propio Reglamento sino a las novedades legislativas y modificaciones que múltiples leyes tendrán que hacer frente, así como a las medidas correctoras y/o modificadoras, especialmente, en cuanto a los recursos que las empresas tendrán que hacer frente si quieren dotar a su negocio de un valor añadido a su negocio: aseguramiento de la autodeterminación informativa de todas las personas físicas y, por ende, la confidencialidad y seguridad en el tratamiento de los datos personales.

Ante todo y, como punto de partida, la nueva LOPD, tal y como establece la Exposición de Motivos dispuesta en el Anteproyecto, tiene como finalidad “clarificar” y “depurar”[4], por una parte el Reglamento, el cual es de aplicación directa y, por otra, evitar incompatibilidades con el Derecho de la Unión Europea. Por tanto, la nueva LOPD contendrá determinadas previsiones para obtener dicho fin, pero además precisará una serie de adiciones o modificaciones de otras leyes que, expresamente, deban adecuarse al nuevo marco unitario en dicha materia, especialmente, aquellas que precisen de reforma para contener aspectos tales como: medidas de seguridad adicionales; condiciones de tratamiento, generales y especiales[5].

Ligado con el precedente, mi modesto entender es que los profesionales en esta materia, tendremos que habituarnos a tomar relación con las distintas autoridades de control de los estados miembros con el fin de depurar y aclarar determinadas situaciones que, bajo mi interpretación quedan aún en el aire, si bien entiendo la complejidad a la hora de unificar el tratamiento de datos personales a nivel europeo.

Haciendo una lectura del Anteproyecto LOPD llama la atención la regulación de los datos de las personas fallecidas, es decir, la posibilidad de ejercitar los derechos de acceso, rectificación o supresión pero, de la lectura de dicho artículo 3, tengo varias dudas: es posible que la acreditación sirva para acceder al denominado “patrimonio digital” del fallecido -voluntades digitales[6]– o, por el contrario, simplemente, para acceder o comunicar a los prestadores de servicios de la sociedad de la información, en sus distintas vertientes, la defunción y, en su caso, acceder al perfil del fallecido. En este sentido, la acreditación diferenciará quiénes podrán ejercitar los derechos del fallecido o, particularmente, establecerá quiénes de los herederos podrá disponer del “patrimonio digital.”[7] Dichas acreditaciones, según el Anteproyecto LOPD, precisará de desarrollo mediante Real Decreto, pudiendo ser una opción dotar a los notarios, al igual que en las condiciones de sorteos o concursos, de un registro similar al denominado “ABACO.” Retomando la novedad establecida, dicha regulación afectará a toda la información, tal y como establece la definición de datos personales del Reglamento Europeo[8] y los Prestadores de Servicios de la Sociedad de la Información, en dicho supuesto, podrán cobrar por la puesta a disposición del “patrimonio digital” y, en dicha situación, a qué información podrá tener acceso el heredero. Tal vez, no tardando demasiado, podremos ver una nueva modificación de las condiciones de servicios asociadas al presente ámbito.

Otra de las novedades que me ha llamado la atención es la ausencia total de definiciones y, por tanto, aquellas que exclusivamente se disponen en el Reglamento Europeo. Se ha obviado definiciones que considero que serían útiles, especialmente, en relación a medidas de seguridad. De igual forma, el Anteproyecto LOPD creo que deja meridianamente claro que el quid o elemento diferenciador en la aplicación es el concepto o término de Fichero[9].

Otra de las novedades más destacadas es, por una parte, el consentimiento de los menores de edad, rebajándose a los 13 años; y el consentimiento diferenciado en virtud de las finalidades, siendo aquel otorgado mediante una declaración o una clara acción afirmativa. Ligado a este último extremo, la forma o el método de informar, diferenciando entre información general y obligatoria e información asociada, es decir, el principio de transparencia[10], al que previsiblemente, los responsables y encargados para su adecuación tendrán que establecer el formato de capas informativas o modelo de dibujos informativos. Respecto a los menores, no sólo pensando en acceso a redes sociales, sino en su día a día y, especialmente, en los colegios respecto a determinar cuándo podrá aquel tratar los datos personales del menor fuera del propio negocio o relación jurídica educativa en la cual tienen que intervenir sus representantes legales. Imagino que este aspecto es uno de los que se habrá tenido en cuenta para obligar a los centros educativos a disponer de un Delegado de Protección de Datos[11].

Otro de los aspectos que me ha llamado la atención es el tratamiento de datos hechos manifiestamente públicos por parte del afectado. La expresión manifiestamente públicos y los posibles escenarios de dicha manifestación podría estar aparejados a información obtenida del propio afectado por parte del medio de comunicación -al respecto se adolece de legislación periodística y tratamiento de fuentes al respecto y que el Reglamento traslada a los estados miembros-; configuración de perfil de red social público; consentimiento de finalidades con acceso público; interés legítimo de ficheros públicos.

Para concluir, unos breves apuntes de las novedades del Anteproyecto LOPD. Al final, el DPD o DPO es la figura intermediaria similar a la establecida en la normativa de blanqueo de capitales y dicha figura la extrae o extrapola de la responsabilidad que atañe al responsable del fichero y encargado de tratamiento. Precisará dicho DPD o DPO la acreditación de conocimientos y méritos, veremos cuál es el método de certificación y, principalmente, destacará su relevancia en aquellos canales de denuncia o whistleblower y su afectación respecto a los Compliance Penales, así como en las transferencias internacionales -BCR- y los responsables sitos fuera de la Unión Europea. Por cierto, su intermediación como “figura previa” ante la autoridad de control. De igual forma, la regulación en cuanto a la obligación del bloqueo de datos personales, imaginando o suponiendo, que es la forma de preservar el derecho de supervisión del afectado. Así mismo, no hay referencias a la posibilidad de que las PYMES pudieren adaptarse en virtud, o en caso, que hubieren procedido de conformidad con el Título VIII RDLOPD; poco o nada sobre Evaluaciones de Impacto y Privacidad en el Diseño y por Defecto; la intervención de la Audiencia Nacional para declarar contraria la transferencia internacional -proceso de reclamación-; hasta 2020, supuestamente plazo máximo, para contar con una ley que regule el tratamiento especial de datos genéticos, biométricos y relativos a la salud[12]; el tratamiento de los datos de geolocalización de las persona físicas que prestan servicios para el responsable o encargado de tratamiento, es decir, el tratamiento de artículo 2.2 RDLOPD.

Creo que debemos esperar y cocer a fuego lento no sólo el Reglamento y la futura LOPD, sino esperar a otros estados miembros y sus autoridades de control junto con la jurisprudencia en la materia para ir, poco a poco, deslumbrando, la mejor forma y/o proceder, a partir de mayo del 2018, dado que hay múltiples escenarios que podrán ser contemplados y regulados mediante la acomodación del GDPR; LOPD y disposiciones legales que pudieren verse afectas.

 

                                                                                             Efrén Santos Pascual

                                                                                     Socio – Abogado TIC. ICEF Consultores

                                                                                       www.icefconsultores.com

                                                                                      @efrensantos_tic

                                                              

La fotografía es CCo y disponible para garantizarlo en el enlace: https://pixabay.com/en/hourglass-time-hours-sand-clock-620397/

 

[1]http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428451504?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DProyecto_de_APLOPD.PDF

[2]https://www.agpd.es/portalwebAGPD/LaAgencia/informacion_institucional/common/memorias/2016/Memoria_AEPD_2016.pdf

[3] http://www.mjusticia.gob.es/cs/Satellite/Portal/es/actividad-legislativa/normativa/proyectos-real-decreto

[4] “Por este motivo el Reglamento general de protección de datos contiene un buen número de habilitaciones, cuando no imposiciones, a los Estados miembros, a fin de regular determinadas materias, permitiendo incluso en su considerando octavo, y a diferencia de lo que constituye principio general del Derecho de la Unión Europea que, cuando sus normas deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros, éstos tengan la posibilidad de incorporar al derecho nacional previsiones contenidas específicamente en el reglamento, en la medida en que sea necesario por razones de coherencia y comprensión.”

[5] Artículo 9.1 Anteproyecto LOPD “[…] cuando así lo prevea una ley, que deberá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. La ley podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el Capítulo IV del Reglamento (UE) 2016/679 […]”

[6] LEY 10/2017, de 27 de junio, de las voluntades digitales y de modificación de los libros segundo y cuarto del Código civil de Cataluña.

[7] Disposición adicional séptima Anteproyecto LOPD. Acceso a contenidos de personas fallecidas. “El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información a favor de personas fallecidas se regirá por las reglas previstas en el artículo 3 […]”

[8] «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

[9] GDPR. «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

[10] Artículo 21 Anteproyecto LOPD. “Cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, así como en aquellos otros supuestos expresamente establecidos por la ley o cuando así lo autorice la Agencia Española de Protección de Datos, el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica para acceder fácilmente a la restante información.”

[11] Artículo 35.1 b) Anteproyecto LOPD. “Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.”

[12] Disposición adicional novena Anteproyecto LOPD. Condiciones adicionales para el tratamiento de categorías especiales de datos.

Comparte: