El pasado viernes 23 de junio el Consejo de Ministros recibía el informe del Ministerio de Justicia al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal (ALOPD), una norma de gran relevancia no sólo para las Administraciones Públicas, sino también para el conjunto de la sociedad, y que supondrá la derogación de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Con el ALOPD se pretende adaptar la regulación actual al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), norma que ha supuesto la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa.
Esta adaptación al Reglamento general de protección de datos requiere la elaboración de una nueva ley orgánica que sustituya a la actual, que será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99. Para ello, el ALOPD consta de setenta y ocho artículos estructurados en ocho títulos, diez disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales.
Pero aunque son muchos los análisis que suscita este texto, sin olvidar que de momento es tan sólo un Anteproyecto, sí debemos llamar la atención sobre 5 aspectos clave, de los que nos ocuparemos a continuación:
- Modificación de la “Presunción de consentimiento” del artículo 28 Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
La previsión de la presunción de consentimiento recogida en el artículo 28 de la Ley 39/2015 ha planteado la duda sobre su vigencia una vez entre en vigor el RGPD (UE), que prevé la necesidad de que el consentimiento conste de un modo claro e inequívoco, regulación acogida en el artículo 7 del Anteproyecto, al señalar que “se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica e informada e inequívoca por la que éste acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de los datos personales que le afectan”, debiendo completar la aplicación del artículo 28, con lo establecido en el artículo 9 ALOPD “Tratamiento de datos amparado en una Ley”.
La contradicción aparente que se había advertido desaparece con la supresión, por la Disposición final sexta, de toda referencia a la presunción del consentimiento, tanto en el apartado 2 como en el 3, en particular, una de las expresiones más controvertidas “Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso”. La nueva redacción que propone el Anteproyecto otorga a la Administración la potestad para consultar o recabar los datos, salvo que conste oposición expresa, sin hacer referencia a consentimientos no expresos, matizando únicamente que no cabrá oposición cuando la aportación del documento se exija en el marco del ejercicio de potestades sancionadoras o de inspección.
Sobre este tema recomiendo la lectura de El principio de una sola vez o como dejar de marear al ciudadano, de Gerardo Bustos.
También son objeto de modificación los artículos 46, 53 y la Disposición Adicional Primera de la Ley 39/2015.
2 Se incorpora la Transparencia y se modifica la Ley 19/2013
La transparencia tiene en el ALOPD un doble reflejo. Por una parte, en el artículo 21, incorporándose como una exigencia de facilitar al afectado la información referida en los artículos 13 y 14 del RGPD (UE) de forma clara y concisa, así como fácilmente accesible y comprensible, contemplando, en particular la adopción de decisiones individuales automatizadas, en relación con la elaboración de perfiles.
Y por otra, con la modificación de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información y Buen Gobierno, en concreto, de su artículo 8, completando su enunciado, que ahora se denomina “Información económica, presupuestaria, estadística y sobre tratamiento de datos de carácter personal”, y añadiendo un apartado 4 que sujeta a las obligaciones de publicidad activa el inventario de las actividades de tratamiento.
Todo ello, sin olvidar la conexión entre protección de datos y transparencia, de especial relieve desde diciembre de 2013, al recordar en su Disposición Adicional Segunda “Protección de datos y transparencia y acceso a la información pública”, la obligación de sujetar el ejercicio de estos derechos a lo dispuesto en los artículos 5.3 y 15 de la Ley de Transparencia.
3 Adapta la regulación del Delegado de protección de datos (DPO)
Siguiendo el modelo europeo y tras distinguir entre encargado y responsable del tratamiento el ALOPD dedica sus artículos 35 a 38 a la novedosa figura del “Delegado protección de datos”. Para empezar, establece una serie de supuestos en los que resultará obligatoria su designación (artículo 35), sin perjuicio de contemplar su carácter voluntario en los demás casos.
En cuanto a su configuración, dispone que podrá estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica, estableciendo una serie de garantías en cuanto al ejercicio de su función, al regular su posición en el artículo 37, pues no olvidemos que se contempla la posibilidad de su intervención en caso de reclamación ante las autoridades de protección de datos, de tal modo que actuará con carácter previo para resolver la misma.
Respecto a la cualificación exigida al DPO, el artículo 36, con independencia de que sea persona física o jurídica, tan sólo establece que debe reunir los requisitos establecidos en el artículo 37.5 del Reglamento y demostrar reconocida competencia en la materia, pudiendo acreditar el cumplimiento de los requisitos por la vía de mecanismos de certificación.
Sobre este tema en el sector público se ha pronunciado la AEPD: El Delegado de Protección de Datos en las Administraciones Públicas
- Se contempla por primera vez la Herencia digital
En el artículo 3 “Datos de las personas fallecidas”, se contempla, por primera vez, la conocida “herencia digital”, al establecer que los herederos de una persona fallecida que acrediten debidamente tal condición, también el albacea testamentario, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella, y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o lo recoja expresamente una ley.
Se completa este tema en la Disposición Adicional Séptima con la regulación del “Acceso a contenidos de personas fallecidas” gestionados por prestadores de servicios de la sociedad de la información, al permitir que los herederos de la persona fallecida o el albacea testamentario puedan dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
- Desaparecen los ficheros de tratamiento de datos
El modelo actual de protección de datos de la Ley Orgánica 15/1999 se sustenta sobre la arquitectura de los ficheros de tratamiento de datos, tanto de titularidad pública como privada, ficheros que podemos definir como todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Se trata de un esquema desconocido en el RGPD (UE) y que, en consecuencia, se suprime ya en el Anteproyecto.
Sí contempla el ALOPD el Registro de las actividades de tratamiento en el artículo 33, en relación con lo establecido en el artículo 30 del RGPD, que prevé que cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que deberá contener toda la información indicada en el apartado 1 del mismo. Del mismo modo, cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable con los contenidos previstos en su apartado 2.
¿Qué pasará el 25 de mayo de 2018?
Además de las apuntadas, no son pocas ni irrelevantes otras modificaciones que se efectúan en el texto del ALOPD, aunque también se mantienen deficiencias ya detectadas en la actual LOPD, como en relación con la el ejercicio de la potestad sancionadora frente a las AAPP y se recogen regulaciones manifiestamente mejorables, pero todavía la tramitación de la norma deja espacio para la mejora.
Pero, en todo caso, no olvidemos que la naturaleza del Reglamento, frente a otros instrumentos comunitarios, pues nos encontramos ante una norma jurídica con alcance general y eficacia directa, que no necesita para su aplicación de proceso de transposición por los estados miembros, es decir, si no llegamos con el proceso normativo a 25 de mayo de 2018, se activará su efecto directo en el ordenamiento jurídico español. Esperemos contar entonces con una norma propia y mejorada.
Información de interés:
Audiencia e Información Pública Anteproyecto LOPD
Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal
Contenido del Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal
El Reglamento Europeo de Protección de Datos en 12 preguntas. AEPD