Publicado el anteproyecto de Ley Orgánica de Protección de Datos que reemplace a la LOPD 15/1999

El Ministerio de Justicia ha publicado el anteproyecto de Ley Orgánica de Protección de Datos para reemplazar a la LOPD 15/1999, con el objetivo de adaptar el derecho español al Reglamento 2016/679, de Protección de Datos Personales, (RGPDP) aprobado por la Unión Europea en abril de 2016. Este anteproyecto se encuentra sometido al trámite de audiencia e información pública en la página web del Ministerio de Justicia, abierto a la participación ciudadana hasta el 19 de julio.

Ante todo, recordaremos que la Protección de Datos Personales es un derecho fundamental en el sistema español y, como tal, debe ser regulado por una Ley Orgánica según el mandato del artículo 81.1 de la Constitución Española, que debe ser aprobada por mayoría absoluta del congreso según el art. 82.2 de la misma. En todo el análisis que haremos en este artículo hay que tener presente que, tratándose de un anteproyecto, puede sufrir importantes modificaciones antes de su aprobación como Ley Orgánica.

Como es preceptivo, el estado español a través de este anteproyecto respeta y reproduce el texto del RGPDP, introduciendo algunas especificaciones en diversos aspectos, de los cuales destacamos las siguientes:

  • Regulación del tratamiento de datos de personas fallecidas, otorgando a los herederos el derecho de acceso, rectificación y supresión, a menos que el fallecido lo hubiera prohibido expresamente o lo prohíba una ley.
    Presunción de exactitud para los datos recogidos directamente del interesado.
  • Se rebaja la edad de consentimiento a los 13 años (en el Reglamento de la LO 15/1999 se fijaba en 14 años y el RGPDP la establece en 16 años, facultando a los Estados miembros a bajarla a no menos de 13 años).
  • Se excluye el consentimiento como base única de legitimación del tratamiento de datos especialmente protegidos.
  • Condiciones para la licitud de los tratamientos de datos con la finalidad de información crediticia, así como algunas obligaciones específicas para las entidades que mantienen estos sistemas y los acreedores, a quienes se categoriza como corresponsables de los tratamientos.
  • Regulaciones específicas para los tratamientos de datos personales:
    • Relativos a infracciones y sanciones administrativas, aproximándolos así a los de las infracciones y sanciones penales.
    • Con fines de videovigilancia
  • En los sistemas de exclusión publicitaria (la lista Robinson y similares) y de denuncias internas en entidades privadas
  • Una nueva obligación para los responsables: La obligación de bloqueo.
  • Régimen jurídico y económico de la Agencia Española de Protección de Datos, así como sus funciones, potestades y relaciones con el resto de organismos públicos incluidos los órganos judiciales y las autoridades autonómicas de protección de datos.
  • Marco normativo para las autoridades autonómicas de protección de datos.
  • Calificación de las infracciones siguiendo el régimen general de sanciones administrativas en España, de la siguiente manera:
    • Infracciones muy graves: Coinciden a grandes rasgos con las del artículo 83.5 del RGPDP (a las que corresponden sanciones de hasta 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior), se identifican en general con las violaciones de los principios de los tratamientos, de los derechos de los interesados y de las condiciones impuestas para el tratamiento de datos especialmente protegidos y el incumplimiento de la resoluciones de las autoridades de protección de datos.
    • Infracciones graves: Se pueden identificar genéricamente con las del artículo 83.4 del RGPDP (a las que corresponden sanciones de hasta 10.000.000 € o el 2% del volumen de negocio total anual global del ejercicio financiero anterior), son principalmente las relativas al incumplimiento de las obligaciones que el RGPDP impone a responsables y encargados y el tratamiento de datos personales de menores sin respetar las condiciones requeridas.
    • Infracciones leves: Incluyen entre otras y de forma genérica: Incumplimiento de obligaciones meramente formales (especialmente algunas que atañen a corresponsables y responsables y encargados entre sí) y el cumplimiento defectuoso de otras obligaciones.
    • Las sanciones para los organismos, autoridades y otras entidades del sector público en cuanto actúen en calidad de responsables o encargados sólo consistirán en un apercibimiento y la indicación de las medidas procedentes para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido y, si corresponde a juicio de la agencia de protección de datos, la iniciación de actuaciones disciplinarias.

Como se puede observar, algunos de los cambios que realiza son más estrictos en relación con el RGPDP (como la exclusión del consentimiento como base jurídica única para el tratamiento de datos especialmente protegidos), por lo que habrá que seguir su recorrido en el Congreso para estar preparado para cumplir con todas las disposiciones de la futura de Ley Orgánica (cuya entrada en vigor se prevé para el 25 de mayo de 2018, coincidiendo con la fecha de aplicación del RGPDP) y así evitar posibles sanciones.


Escrito por Carolina Reyes Kahansky, Abogada en Adarve Abogados