La reforma de la LOPDGDD por la Ley 11/2023

Por Moisés Barrio
TWITTER @moisesbarrioa

La disposición final novena de la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, ha modificado los artículos 48.2, 50, 64, 65, apartados 4 y 5 y nuevo apartado 6, 66.1, 67.2, 75, párrafo segundo y 77.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), al tiempo que introduce un nuevo artículo 53 bis y una nueva disposición adicional vigésima tercera en la misma. Todas las modificaciones tienen naturaleza de ley ordinaria.

Según la exposición de motivos de la Ley 11/2023, la reforma obedece, en primer lugar, a la corrección de errores en la versión en nuestra lengua del RGPD publicada en el «Diario Oficial de la Unión Europea» del día 4 de marzo de 2021, que eliminó el apercibimiento del catálogo de sanciones a imponer a responsables y encargados, sustituyéndolo por la realización de un requerimiento.

Adicionalmente, la reforma introduce un nuevo artículo, el 53 bis de la LOPDGDD, que habilita y regula la realización de actuaciones de investigación a través de sistemas digitales, y se aumenta de nueve a doce meses la duración máxima del procedimiento sancionador, y de doce a dieciocho meses la duración de las actuaciones previas de investigación.

Por otro lado, la exposición de motivos señala la necesidad de regular la sustitución del Presidente de la Agencia Española de Protección de Datos en los supuestos de ausencia, vacancia o enfermedad, así como en los de abstención o recusación, respecto de sus funciones relacionadas con los procedimientos regulados por el título VIII de la LOPDGDD, ya que el Consejo de Estado, en su dictamen número 683/2020, relativo al entonces proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, advirtió que, en su redacción original, el ejercicio de esas funciones está reservado por ley al Presidente de la Agencia y no cabe, por tanto, su delegación ni la suplencia en su ejercicio, lo que afectaría negativamente al ejercicio de las competencias de la Agencia y a su independencia, “ya que en el supuesto de que dichas circunstancias se produjeran, se impediría su actuación en los casos de posible vulneración de la normativa de protección de datos”.

Para ello, se modifica el apartado 2 del artículo 48 de la LOPDGDD, que tiene asimismo el carácter de ley ordinaria, para que esas competencias puedan ser asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección (la titular de la Subdirección General de Inspección de Datos), dada su especialización en la materia, y regulando de una manera completa el régimen de sustitución en el ejercicio de las distintas competencias que se atribuyen a la persona titular de la Presidencia.

En este sentido, cuando cualquiera de las anteriores circunstancias mencionadas concurriera igualmente en dicha persona titular de la Subdirección General de Inspección de Datos, el ejercicio de las competencias afectadas será asumido por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto Orgánico de la Agencia Española de Protección de Datos. El ejercicio del resto de competencias será asumido por el Adjunto en los términos previstos en el Estatuto y, en su defecto, por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto.

Finalmente, la reforma de la LOPDGDD introduce una previsión en cuanto a la notificación de la admisión a trámite en aquellos procedimientos con un elevado número de reclamaciones, y otra para habilitar el establecimiento de modelos obligatorios de reclamación ante la Agencia Española de Protección de Datos (AEPD).

A excepción de la modificación derivada del Derecho de la Unión Europea, las reformas introducidas en la LOPDGDD provienen de la experiencia adquirida en los últimos años en la aplicación del modelo de “ventanilla única” en la AEPD, así como de la complejidad inherente a los tratamientos que actualmente se emplean por el sector privado y público (la toma de decisiones algorítmica, la generalización de la inteligencia artificial y las herramientas de Big Data), sin olvidar tampoco el crecimiento exponencial de las reclamaciones y de los procedimientos nacionales y transfronterizos en materia de protección de datos.

Estoy convencido que las reformas recién introducidas en la LOPDGDD contribuirán a hacer más eficiente la tramitación de los distintos procedimientos y redundarán, a la postre, en beneficio de los particulares y en la garantía de sus derechos[1].

[1] Sobre ellos, puede verse mi libro “Los derechos digitales y su regulación en España, la Unión Europea e Iberoamérica”, Editorial Colex, A Coruña, 2023 y publicado en acceso abierto en https://www.moisesbarrio.es/pdf/libro_derechos_digitales_regulacion.pdf