View
3
Download
0
Category
Preview:
Citation preview
NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales
LOPDGDD–OCTUBRE2018
ElTítuloI,sedestacalanovedosaregulacióndelosdatosreferidosalaspersonasfallecidas,
yaquesepermitiráquelaspersonasvinculadasalfallecidoporrazonesfamiliaresodehechoo
susherederospuedansolicitaraccesoalosmismos,asícomosurectificaciónosupresión,en
sucasoconsujeciónalasinstruccionesdelfallecido.Tambiénexcluyedelámbitodeaplicación
los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la
normativaquetranspongalaDirectiva(UE)201/680.
EnelTituloll, serecogen losPrincipiosdeproteccióndedatos.Seestableceque,aefectos
delReglamento (UE)2016/679no serán imputablesal responsabledel tratamiento, siempre
queestehayaadoptadotodaslasmedidasrazonablesparaquesesuprimanorectifiquensin
dilación, la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera
recibidolosdatosdeotroresponsableenvirtuddelejercicioporelafectadodelderechoala
portabilidad,ocuandoelresponsable losobtuviesedelmediadoro intermediariocuando las
normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento
establezcanlaposibilidaddeintervencióndeunintermediarioomediadorocuandohubiesen
sido obtenidos de un registro público. También se recoge expresamente el deber de
confidencialidad, el tratamiento de datos amparado por la ley, las categorías especiales de
datos y el tratamiento de datos de naturaleza penal, se alude específicamente al
consentimiento,quehadeprocederdeunadeclaraciónodeunaclaraacciónafirmativadel
afectado, excluyendo lo que se conocía como «consentimiento tácito». Se mantiene en
catorceañoslaedadapartirdelacualelmenorpuedeprestarsuconsentimiento.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el
cumplimientodeunaobligación legalexigibleal responsable,en lostérminosprevistosenel
Reglamento(UE)2016/679,cuandoasílopreveaunanormadeDerechodelaUniónEuropeao
unaley,quepodrádeterminar lascondicionesgeneralesdeltratamientoy lostiposdedatos
objetodelmismo.
Sepodránigualmenteimponercondicionesespecialesaltratamiento,talescomolaadopción
demedidas adicionales de seguridadu otras, cuandoello derive del ejercicio depotestades
públicasodelcumplimientodeunaobligación legalysólopodráconsiderarsefundadoenel
cumplimientodeunamisiónrealizadaeninteréspúblicooenelejerciciodepoderespúblicos
conferidosalresponsable,enlostérminosprevistosenelreglamentoeuropeo,cuandoderive
deunacompetenciaatribuidaporlaley.
NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales
LOPDGDD–OCTUBRE2018
También en relación con el tratamiento de categorías especiales de datos, el artículo 9.2
consagra el principio de reserva de ley para su habilitación en los supuestos previstos en el
Reglamento(UE)2016/679.Dichaprevisión permitedejarasalvo lasdistintashabilitaciones
legalesactualmenteexistentes,talycomoseindicaespecíficamente,respectodelalegislación
sanitariayaseguradora,enladisposiciónadicionaldecimoséptima.ElReglamentogeneralde
protección de datos no afecta a dichas habilitaciones, que siguen plenamente vigentes,
permitiendoinclusollevaracabounainterpretaciónextensivadelasmismas.
El apartado 2 de la disposición adicional decimoséptima introduce una serie de previsiones
encaminadasagarantizareladecuadodesarrollodelainvestigaciónenmateriadesalud,yen
particular la biomédica, ponderando los indudables beneficios que la misma aporta a la
sociedadconlasdebidasgarantíasdelderechofundamentalalaproteccióndedatos.
ElTítuloIII,dedicadoalosderechosdelaspersonas,adaptaalDerechoespañolelprincipio
de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los
afectadosaserinformadosacercadeltratamientoyrecogeladenominada«informaciónpor
capas»yageneralmenteaceptadaenámbitoscomoeldelavideovigilanciaolainstalaciónde
dispositivosdealmacenamientomasivodedatos(talescomolas«cookies»).
Comonovedad, encontramos en las disposiciones generales sobreejercicio de los derechos
encontramos en el artículo 12, que en cualquier caso los titulares de la patria potestad
podránejercitarennombreyrepresentacióndelosmenoresdecatorceañoslosderechosde
acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran
corresponderles en el contexto de la presente ley orgánica. Así como, serán gratuitas las
actuaciones llevadasacaboporel responsabledel tratamientoparaatender lassolicitudes
de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del
Reglamento (UE)2016/679yen losapartados3y4delartículo13deesta leyorgánica.Por
otrolado,cuandoelafectadoelijaunmediodistintoalqueseleofrecequesupongauncoste
desproporcionado,lasolicitudseráconsideradaexcesiva,porloquedichoafectadoasumiráel
excesodecostesquesueleccióncomporte.Enestecaso,soloseráexigiblealresponsabledel
tratamientolasatisfaccióndelderechodeaccesosindilacionesindebidas.
EnelTítuloIVserecogen«disposicionesaplicablesatratamientosconcretos».Cabeapreciar,
en primer lugar, aquéllos respecto de los que el legislador establece una presunción iuris
tantumdeprevalenciadel interés legítimodel responsablecuandose llevenacaboconuna
serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se
NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales
LOPDGDD–OCTUBRE2018
cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el
responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la
prevalencia de su interés legítimo. Junto a estos supuestos se recogen otros, tales como la
videovigilancia,losficherosdeexclusiónpublicitariaolossistemasdedenunciasinternasen
que la licitud del tratamiento proviene de la existencia de un interés público. Se establece
sobre los tratamientos con fines de videovigilancia que será posible la captación de la vía
pública en una extensión superior cuando fuese necesario para garantizar la seguridad de
bieneso instalacionesestratégicosode infraestructurasvinculadasal transporte, sinqueen
ningúncasopuedasuponer lacaptaciónde imágenesdel interiordeundomicilioprivado.3.
Losdatosseránsuprimidosenelplazomáximodeunmesdesdesucaptación,salvocuando
hubieran de ser conservados para acreditar la comisión de actos que atenten contra la
integridaddepersonas,bienesoinstalaciones.Entalcaso,lasimágenesdeberánserpuestasa
disposicióndelaautoridadcompetenteenunplazomáximodesetentaydoshorasdesdeque
setuvieraconocimientodelaexistenciadelagrabación.
ElTítuloVserefierealresponsableyalencargadodeltratamiento.Esprecisotenerencuenta
que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un
modelobasado,fundamentalmente,enelcontroldelcumplimientoaotroquedescansaenel
principiode responsabilidadactiva, loqueexigeunapreviavaloraciónporel responsableo
porelencargadodel tratamientodel riesgoquepudieragenerarel tratamientode losdatos
personales para, a partir de dicha valoración, adoptar las medidas que procedan. Incluye
novedadesenelámbitodebloqueodedatosestableciendoquecuandoparaelcumplimiento
de esta obligación, la configuración del sistema de información no permita el bloqueo o se
requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un
copiadosegurodelainformacióndemodoqueconsteevidenciadigital,odeotranaturaleza,
quepermitaacreditarlaautenticidaddelamisma,lafechadelbloqueoylanomanipulación
de los datos durante elmismo. Así como enmateria deldelegado de protección de datos,
incorporandonuevasentidades(empresasdeseguridadprivadayfederacionesdeportivasque
traten datos de menores de edad) donde los responsables y encargados del tratamiento
deberándesignarundelegadodeprotección.
ElTítuloVI,relativoalastransferenciasinternacionalesdedatos,procedealaadaptaciónde
loprevistoenelReglamento(UE)2016/679yserefierealasespecialidadesrelacionadascon
los procedimientos a través de los cuales las autoridades de protección de datos pueden
NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales
LOPDGDD–OCTUBRE2018
aprobarmodeloscontractualesonormascorporativasvinculantes,supuestosdeautorización
deunadeterminadatransferencia,oinformaciónprevia.
ElTítuloVIIsededicaalasautoridadesdeproteccióndedatos,quesiguiendoelmandatodel
Reglamento(UE)2016/679sehadeestablecerporleynacional.Manteniendoelesquemaque
sevenía recogiendoensusantecedentesnormativos, la leyorgánica regulael régimende la
AgenciaEspañoladeProteccióndeDatosyreflejalaexistenciadelasautoridadesautonómicas
deproteccióndedatos.Seañadenaquí,nuevoscargosalConsejoConsultivoqueasesoraala
presidenciadelaAgenciaEspañoladeProteccióndeDatos.
ElTítuloVIII regulael«Procedimientosencasodeposiblevulneraciónde lanormativade
protección de datos». El Reglamento (UE) 2016/679 establece un sistema novedoso y
complejo,evolucionandohaciaunmodelode«ventanillaúnica»enelqueexisteunaautoridad
decontrolprincipal yotrasautoridades interesadas.En suartículo64sedisponeunanueva
formadeiniciacióndelprocedimientoyduraciónestableciendoquecuandoelprocedimiento
se refieraexclusivamentea la faltadeatencióndeunasolicituddeejerciciode losderechos
establecidosenlosartículos15a22delReglamento(UE)2016/679,seiniciaráporacuerdode
admisióna trámite,que seadoptará conformea loestablecidoenel artículo65deesta ley
orgánica. En este caso el plazo para resolver el procedimiento será de seismeses a contar
desdelafechaenquehubierasidonotificadoalreclamanteelacuerdodeadmisiónatrámite.
Transcurridoeseplazo,elinteresadopodráconsiderarestimadasureclamación.
El Título IX, que contempla el régimen sancionador, parte de que el Reglamento (UE)
2016/679estableceunsistemadesancionesoactuacionescorrectivasquepermiteunamplio
margendeapreciación.Enestemarco,laleyorgánicaprocedeadescribirlasconductastípicas,
estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en
consideraciónladiferenciaciónqueelReglamentogeneraldeproteccióndedatosestableceal
fijar la cuantía de las sanciones. La ley orgánica regula los supuestos de interrupción de la
prescripción partiendode laexigencia constitucionaldel conocimientode loshechosque se
imputanalapersona,peroteniendoencuentalaproblemáticaderivadadelosprocedimientos
establecidos en el reglamento europeo, en función de si el procedimiento se tramita
exclusivamenteporlaAgenciaEspañoladeProteccióndeDatososiseacudealprocedimiento
coordinadodelartículo60delReglamentogeneraldeproteccióndedatos.
NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales
LOPDGDD–OCTUBRE2018
Finalmente,elTítuloXdeesta leyacomete la tareadereconocerygarantizarunelencode
derechosdigitalesdelosciudadanosconformealmandatoestablecidoenlaConstitución.En
particular, son objeto de regulación los derechos y libertades predicables al entorno de
InternetcomolaneutralidaddelaRedyelaccesouniversalolosderechosalaseguridady
educacióndigitalasí como losderechosalolvido,a laportabilidadyal testamentodigital.
Ocupaunlugarrelevanteelreconocimientodelderechoaladesconexióndigitalenelmarco
del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la
protección de los menores en Internet. Resulta destacable la garantía de la libertad de
expresión y el derecho a la aclaración de informaciones en medios de comunicación
digitales. Así como el derecho a la intimidad y uso de dispositivos digitales en el ámbito
laboral. Y enlazado, el derecho a la desconexión digital, a la intimidad frente al uso de
dispositivosdevideovigilanciaydegrabacióndesonidosyantelautilizacióndesistemasde
geolocalizaciónenelámbitolaboral.
Recommended