El pasado 9 de octubre se publicó en el Boletín Oficial de las Cortes Generales del Congreso de los Diputados el Informe emitido por la Ponencia sobre el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho informe incorpora cambios significativos respecto del Proyecto de Ley inicial. Consideramos relevante analizar dichos cambios y para ello dedicaremos varias publicaciones.
Se trata de un texto definitivo que partía de un Proyecto de ley presentado por el Partido Popular y cuya segunda versión ha tenido un apoyo unánime por todos los grupos parlamentarios.
La primera novedad significativa nos la encontramos en la propia denominación de la futura Ley Orgánica pasando a denominarse “Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales”. Esto es así porque, como analizaremos más adelante, además de perseguirse como objetivo la adaptación del ordenamiento jurídico español al Reglamento general de protección de datos (RGPD), se persigue ahora también reconocer y garantizar una serie de derechos y libertades digitales a los ciudadanos. Por ello, se ha añadido respecto del texto anterior, un Título más: Título X Garantías de los derechos digitales.
En segundo lugar, llama la atención la cantidad de leyes que se ven modificadas por este texto. Mientras que con la primera versión se modificaban únicamente la Ley 1/2000 de Enjuiciamiento Civil y la Ley 29/198 reguladora de la jurisdicción contencioso- administrativa, ahora se introducen modificaciones relevantes en otras diez leyes más: la Ley Orgánica 6/1985 del Poder Judicial, la Ley 19/2013 de transparencia, acceso a la información política y buen Gobierno, la Ley Orgánica 5/1985, del Régimen Electoral General, la Ley 14/1986, General de Sanidad, la Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley Orgánica 2/2006 de Educación, la Ley Orgánica 6/2001 de Universidades, el Texto Refundido de la Ley del Estatuto de los Trabajadores y en el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.
Finalmente vamos a analizar qué otras novedades que aporta la nueva versión del Proyecto en comparación con lo que recogía el texto inicial:
| | PRIMERA VERSIÓN DEL PROYECTO (24 de noviembre de 2017) | VERSIÓN DEFINITIVA DEL PROYECTO(9 de octubre de 2018) |
| ESTRUCTURA | – 79 artículos- 17 disposiciones adicionales- 5 disposiciones finales | – 97 artículos- 22 disposiciones adicionales- 16 disposiciones finales |
| DATOS DE LAS PERSONAS FALLECIDAS (Artículo 3) | – Los herederos de una persona fallecida podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión | – Se reconoce que puedan solicitar los mismos derechos además de los herederos,las personas vinculadas al fallecido por razones familiares o de hecho y las personas e instituciones a las que el propio fallecido designe expresamente. |
| * El tratamiento de los datos de los fallecidos sigue estando fuera del ámbito de aplicación de la ley* Esto es así siempre y cuando la persona fallecida no lo hubiera prohibido expresamente (exceptuando al derecho de los herederos a acceder a los datos de carácter patrimonial del causante) o así se establezca por ley. | ||
| EXACTITUD DE LOS DATOS (Artículo 4) | – Se reconoce la no imputabilidad al responsable si éste hubiese adoptado todas las medidas para suprimir o rectificar los datos inexactos respecto a los fines para los que se tratan. | – Se añade que tampoco es imputable al responsable el hecho de haber obtenido los datos inexactos de un registro público. |
| TRATAMIENTO BASADO EN EL CONSENTIMIENTO (Artículo 6) | – Cuando se pretendiera fundar el tratamiento en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas. | – Se sigue exigiendo que el consentimiento conste de manera específica e inequívoca.- Se añade la posibilidad de dar también la opción al interesado de que el consentimiento para una pluralidad de finalidades se otorgue para todas ellas. |
| CONSENTIMIENTO DE LOS MENORES DE EDAD (Artículo 7) | – La edad mínima para prestar consentimiento se bajó a trece años respecto a los catorce que exigía la LOPD 15/1999. | – Se mantiene la edad de catorce años para que el tratamiento de los datos pueda fundarse en el consentimiento.- Además, se reconoce que los derechos reconocidos en el RGPD puedan ejercitarse por los titulares de la patria potestad en nombre y representación de los menores de catorce años. |
| DATOS DE NATURALEZA PENAL Y RELATIVOS A INFRACCIONES Y SANCIONES ADMINISTRATIVAS (Artículo 10) | – El tratamiento de datos de naturaleza penal y relativos a infracciones y sanciones administrativas, sólo podrá llevarse a cabo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en la LOPD o en otras normas de rango legal. | – Se habilita también a los abogados y procuradores para el tratamiento de estos datos siempre que tengan por objeto recoger la información de sus clientes para el ejercicio de sus funciones. |
| DATOS DE CONTACTO (Artículo 19) | – El tratamiento de los datos de contacto, así como los relativos al desempeño de las funciones de las personas físicas dentro de una entidad, se encontrará legitimado en la necesidad de satisfacción de un interés legítimo por parte del responsable. | – El tratamiento de los datos de contacto se legitima también cuando se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.– Se añade el tratamiento de los datos de profesionales liberales. |
| DELEGADO DE PROTECCIÓN DE DATOS (Artículo 34) | – Reconoce los supuestos en que los responsables y encargados del tratamiento deberán designar obligatoriamente esta figura. | – Se añaden dos supuestos más en los que la designación es obligatoria:• las empresas de seguridad privada• las federaciones deportivas que traten datos de menores- Se puntualiza que los profesionales sanitarios que ejerzan su actividad a título individual no están obligados en cambio a designar un delegado.- Se contempla la posibilidad de que el delegado cumpla con sus obligaciones a tiempo completo o parcial y se garantiza la independencia del DPD dentro de la entidad con el fin de evitar cualquier conflicto de intereses. |
Se trata, por tanto, de un texto definitivo que como hemos visto mejora el proyecto inicial en muchos aspectos a la vez que moderniza, perfecciona y refuerza la legitimación de la Agencia Española de Protección de Datos y que respeta mucho más las competencias de las autoridades autonómicas.
No obstante, seguiremos analizando este nuevo texto en relación con la garantía que reconoce a los derechos digitales. Sin duda, Cada día estamos más cerca de tener en nuestras manos la nueva LOPD.
