Cuenta atrás… Anteproyecto LOPD
Nos encontramos en el disparadero de
salida ante la reciente publicación y consulta pública del Anteproyecto de Ley
Orgánica de Protección de Datos siendo el mismo un primer boceto clarificador
de la aplicación del Reglamento Europeo de Protección de Datos.
Análisis breve del
Anteproyecto de Ley Orgánica de Protección de Datos. ¿Cumple con la misión de
clarificar y aclarar la aplicación del Reglamento Europeo de Protección de
Datos?
La verdad es que ya había escrito el artículo
para CGAE, mi pequeña aportación respecto a la telemedicina, pero la actualidad
no me ha llevado a otro camino que intentar articular brevemente una serie de
comentarios respecto al Anteproyecto LOPD que la pasada semana pudimos conocer[i] y, paralelamente,
la publicación de la Memoria 2016 de la Agencia Española de Protección de Datos[ii]. Perdónenme, pero
creo que la actualidad y, más aún con los continuos cambios a los que ya
estamos acostumbrados en derecho TIC, hacen que, irremediablemente, tengamos
que “ponernos” a él y a intentar, entre todos los profesionales,
encontrar sinergias de opiniones[iii] que permitan, al menos, estar en
disposición de comprender un poco mejor todo el zafarrancho de novedades con la finalidad de poder aplicarlas a
nuestros clientes finales o futuros. Por zafarrancho
no sólo me refiero a la aplicación en sí del propio Reglamento sino a las
novedades legislativas y modificaciones que múltiples leyes tendrán que hacer
frente así como a las medidas correctoras y/o modificadoras, especialmente, en
cuanto a los recursos que las empresas tendrán que hacer frente si quieren
dotar a su negocio de un valor añadido a su negocio: aseguramiento de la
autodeterminación informativa de todas las personas físicas y, por ende, la
confidencialidad y seguridad en el tratamiento de los datos personales.
Ante todo y, como punto de partida, la nueva
LOPD, tal y como establece la Exposición de Motivos dispuesta en el
Anteproyecto, tiene como finalidad “clarificar” y “depurar”[iv], por una parte el
Reglamento, el cual es de aplicación directa y, por otra, evitar
incompatibilidades con el Derecho de la Unión Europea. Por tanto, la nueva LOPD
contendrá determinadas previsiones para obtener dicho fin, pero además
precisará una serie de adiciones o modificaciones de otras leyes que,
expresamente, deban adecuarse al nuevo marco unitario en dicha materia,
especialmente, aquellas que precisen de reforma para contener aspectos tales
como: medidas de seguridad adicionales; condiciones de tratamiento, generales y
especiales[v].
Ligado con el precedente, mi modesto entender
es que los profesionales en esta materia, tendremos que habituarnos a tomar
relación con las distintas autoridades de control de los estados miembros con
el fin de depurar y aclarar determinadas situaciones que, bajo mi
interpretación quedan aún en el aire, si bien entiendo la complejidad a la hora
de unificar el tratamiento de datos personales a nivel europeo.
Haciendo una lectura del Anteproyecto LOPD
llama la atención la regulación de los datos de las personas fallecidas, es
decir, la posibilidad de ejercitar los derechos de acceso, rectificación o
supresión pero, de la lectura de dicho artículo 3, tengo varias dudas: es
posible que la acreditación sirva para acceder al denominado “patrimonio
digital” del fallecido -voluntades digitales[vi]- o, por el
contrario, simplemente, para acceder o comunicar a los prestadores de servicios
de la sociedad de la información, en sus distintas vertientes, la defunción y,
en su caso, acceder al perfil del fallecido. En este sentido, la acreditación
diferenciará quiénes podrán ejercitar los derechos del fallecido o,
particularmente, establecerá quiénes de los herederos podrá disponer del
“patrimonio digital.”[vii]
Dichas acreditaciones, según el Anteproyecto LOPD, precisará de desarrollo
mediante Real Decreto, pudiendo ser una opción dotar a los Notarios, al igual,
que en las condiciones de sorteos o concursos, de un registro similar al
denominado “ABACO.” Retomando, la novedad establecida, dicha regulación
afectará a toda la información, tal y como establece la definición de datos
personales del Reglamento Europeo[viii] y, los Prestadores de Servicios de la
Sociedad de la Información, en dicho supuesto, podrá cobrar por la puesta a
disposición del “patrimonio digital” y, en dicha situación, a qué información
podrá tener acceso el heredero. Tal vez, no tardando demasiado, podremos ver
una nueva modificación de las condiciones de servicios asociadas al presente
ámbito.
Otra de las novedades que me ha llamado la
atención es la ausencia total de definiciones y, por tanto, aquellas que exclusivamente
se disponen en el Reglamento Europeo. Se ha obviado definiciones que considero
que serían útiles, especialmente, en relación a medidas de seguridad. De igual
forma, el Anteproyecto LOPD creo que deja meridianamente claro que el quid o
elemento diferenciador en la aplicación es el concepto o término de Fichero[ix].
Otra de las novedades más destacadas es, por
una parte, el consentimiento de los menores de edad, rebajándose a los 13 años;
y el consentimiento diferenciado en virtud de las finalidades, siendo aquel
otorgado mediante una declaración o una clara acción afirmativa. Ligado a este
último extremo, la forma o el método de informar, diferenciando, entre
información general y obligatoria e información asociada, es decir, el
principio de transparencia[x], al
que previsiblemente, los responsables y encargados para su adecuación tendrán
que establecer el formato de capas informativas o modelo de dibujos
informativos. Respecto a los menores, no sólo pensando en acceso a redes sociales,
sino en su día a día y, especialmente, en los colegios respecto a determinar
cuándo podrá aquel tratar los datos personales del menor fuera del propio
negocio o relación jurídica educativa en la cual tienen que intervenir sus
representantes legales. Imagino, que este aspecto es uno de los que se habrá
tenido en cuenta para obligar a los centros educativos a disponer de un
Delegado de Protección de Datos[xi].
Otro de los aspectos que me ha llamado la
atención es el tratamiento de datos hechos manifiestamente públicos, por parte
del afectado. La expresión manifiestamente públicos y los posibles escenarios
de dicha manifestación podría estar aparejados a información obtenida del
propio afectado por parte del medio de comunicación -al respecto se adolece de
legislación periodística y tratamiento de fuentes al respecto y que el
Reglamento traslada a los estados miembros-; configuración de perfil de red
social público; consentimiento de finalidades con acceso público; interés
legítimo de ficheros públicos.
Para concluir, unos breves apuntes de las
novedades del Anteproyecto LOPD. Al final, el DPD o DPO es la figura
intermediaria similar a la establecida en la normativa de blanqueo de capitales
y, dicha figura la extrae o extrapola de la responsabilidad que atañe al
responsable del fichero y encargado de tratamiento. Precisará dicho DPD o DPO
la acreditación de conocimientos y méritos, veremos cuál es el método de
certificación y, principalmente, destacará su relevancia en aquellos canales de
denuncia o whistleblower y su afectación respecto a los Compliance Penales así
como en las transferencias internacionales -BCR- y los responsables sitos fuera
de la Unión Europea. Por cierto, su intermediación como “figura previa” ante la
autoridad de control. De igual forma, la regulación en cuanto a la obligación
del bloqueo de datos personales, imaginando o suponiendo, que es la forma de
preservar el derecho de supervisión del afectado. Así mismo, no hay referencias
a la posibilidad que las PYMES pudieren adaptarse en virtud, o en caso, que
hubieren procedido de conformidad con el Título VIII RDLOPD; poco o nada sobre
Evaluaciones de Impacto y Privacidad en el Diseño y por Defecto; la
intervención de la Audiencia Nacional para declarar contraria la transferencia
internacional -proceso de reclamación-; hasta 2020, supuestamente plazo máximo,
para contar con una ley que regule el tratamiento especial de datos genéticos,
biométricos y relativos a la salud[xii]; el tratamiento
de los datos de geolocalización de las persona físicas que prestan servicios
para el responsable o encargado de tratamiento, es decir, el tratamiento de
artículo 2.2 RDLOPD.
Creo que debemos esperar y cocer a fuego
lento, no sólo el Reglamento y la futura LOPD sino esperar a otros estados
miembros y sus autoridades de control junto con la jurisprudencia en la materia
para ir, poco a poco, deslumbrando, la mejor forma y/o proceder, a partir de
mayo del 2018, dado que hay múltiples escenarios que podrán ser contemplados y
regulados mediante la acomodación del GDPR; LOPD y disposiciones legales que
pudieren verse afectas.
Efrén
Santos Pascual
Socio - Abogado TIC ICEF
Consultores
[iv] “Por
este motivo el Reglamento general de protección de datos contiene un buen
número de habilitaciones, cuando no imposiciones, a los Estados miembros, a fin
de regular determinadas materias, permitiendo incluso en su considerando
octavo, y a diferencia de lo que constituye principio general del Derecho de la
Unión Europea que, cuando sus normas deban ser especificadas, interpretadas o,
excepcionalmente, restringidas por el Derecho de los Estados miembros, éstos
tengan la posibilidad de incorporar al derecho nacional previsiones contenidas
específicamente en el reglamento, en la medida en que sea necesario por razones
de coherencia y comprensión.”
[v]
Artículo 9.1
Anteproyecto LOPD “[…] cuando así lo
prevea una ley, que deberá determinar las condiciones generales del tratamiento
y los tipos de datos objeto del mismo así como las cesiones que procedan como
consecuencia del cumplimiento de la obligación legal. La ley podrá igualmente
imponer condiciones especiales al tratamiento, tales como la adopción de
medidas adicionales de seguridad u otras establecidas en el Capítulo IV del
Reglamento (UE) 2016/679 […]”
[vi] LEY 10/2017, de 27 de junio, de las
voluntades digitales y de modificación de los libros segundo y cuarto del
Código civil de Cataluña.
[vii]
Disposición adicional
séptima Anteproyecto LOPD. Acceso a contenidos de personas fallecidas. “El acceso a contenidos gestionados por
prestadores de servicios de la sociedad de la información a favor de personas
fallecidas se regirá por las reglas previstas en el artículo 3 […]”
[viii] «datos
personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
[ix] GDPR. «fichero»: todo conjunto estructurado de datos personales, accesibles
con arreglo a criterios determinados, ya sea centralizado, descentralizado o
repartido de forma funcional o geográfica;
[x] Artículo 21 Anteproyecto LOPD. “Cuando los datos de carácter personal sean
obtenidos del afectado a través de redes de comunicaciones electrónicas o en el
marco de la prestación de un servicio de la sociedad de la información, así
como en aquellos otros supuestos expresamente establecidos por la ley o cuando
así lo autorice la Agencia Española de Protección de Datos, el responsable del
tratamiento podrá dar cumplimiento al deber de información establecido en el
artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información
básica a la que se refiere el apartado siguiente e indicándole una dirección
electrónica para acceder fácilmente a la restante información.”
[xi]
Artículo 35.1 b)
Anteproyecto LOPD. “Los centros docentes
que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de
Educación, y las Universidades públicas y privadas.”
[xii]
Disposición adicional
novena Anteproyecto LOPD. Condiciones adicionales para el tratamiento de
categorías especiales de datos.