Como consecuencia de una sociedad cada vez más globalizada, del aumento de flujos transfronterizos de datos personales y de la rápida evolución tecnológica, se ha hecho cada vez más latente la necesidad de regular de una manera más uniforme el derecho fundamental a la protección de datos, de esa necesidad fue el germen de creación, en el marco de la Unión Europea, del Reglamento General de Protección de Datos (en adelante RGPD).
El RGPD supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la normativa actual. Habilitando a los Estados miembros, en aras de regular determinadas materias, a que puedan incorporar en su derecho nacional previsiones contenidas específicamente en el RGPD, siempre que sea necesario, por razones de coherencia y compensación. La adaptación al Reglamento general de protección de datos, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual, objeto pretendido por el, todavía a día de hoy, Anteproyecto de Ley Orgánica de Protección de Datos,
La futura Ley Orgánica de Protección de Datos (en adelante Ley Orgánica) y a lo largo de setenta y ocho artículos divididos en ocho títulos, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales, sienta las bases de esa regulación uniforme del derecho a la protección de datos en España:
TITULOS
– Título I. Disposiciones Generales. Donde se regula el objeto de la Ley Orgánica, así como su ámbito de aplicación. Como novedad, la regulación respecto de los datos de carácter personal de personas fallecidas. Si bien, el tratamiento de los mismos queda excluido del ámbito de aplicación de la Ley Orgánica, se permitirá, siempre atendiendo a las posibles indicaciones que haya dado la persona fallecida, que los herederos puedan solicitar el acceso, rectificación o supresión de sus datos.
– Título II. Principios de protección de datos. Dividido en:
• Capítulo I. Principios generales de protección de datos.
• Capitulo II. Disposiciones aplicables a tratamientos concretos.
Se ratifica el consentimiento mediante clara acción afirmativa establecido en el RGPD.
No se permite el consentimiento tácito.
Y la «mayoría de edad» para consentir en materia de protección de datos se rebaja de los 14 a los 13 años.
– Título III. Derechos de las personas. Se adapta al Derecho español del principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento de sus datos y se acepta el sistema de información de doble capa, como sistema aceptado para cumplir con dicho principio.
– Título IV. Responsable y Encargado de Tratamiento. Con la inclusión de la responsabilidad activa en el RGPD, que supone realizar, de manera previa, una valoración por parte del responsable o encargado de tratamiento del riesgo que ese tratamiento de datos pudiera suponer en aras a la implementación de las medidas que procedan. La Ley Orgánica con el fin de aclarar mencionadas novedades, recoge en le presente título, las medidas generales de responsabilidad activa, el régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.
– Título V. Transferencias internacionales de datos. Su objetivo principal es la adaptación de lo previsto en el RGPD en lo que respecta a los procedimientos de aprobación de modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia o información previa que puedan llevar a cabo las autoridades de protección de datos.
– Título VI. Autoridades de protección de datos. Esta figura, siguiendo el mandato del RGPD se ha de establecer por ley nacional. La Ley Orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de autoridades autonómicas de protección de datos y la necesidad de cooperación entre las mismas.
– Título VII. Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos. El RGPD ha querido evolucionar hacia un sistema de ventanilla única en el que exista una autoridad de control principal y otras autoridades interesadas. Asimismo, se refuerza la cooperación entre las autoridades de control de los diferentes Estados miembros que someterán sus discrepancias ante el futuro Comité Europeo de Protección de Datos quien emitirá su decisión vinculante.
Se habrá de decidir, de manera previa a la tramitación de cualquier procedimiento, si el tratamiento tiene o no carácter transfronterizo y, en ese caso, que autoridad de protección de datos será considerada como principal.
– Título VIII. Régimen sancionador. Si bien el RGPD establece un sistema de sanciones bastante genérico, el cual no tipifica las conductas ni se establecen las reacciones concretas ante su comisión, por su parte el legislador español incorpora una descripción especifica de las conductas típicas manteniendo la distinción entre infracciones muy graves, graves y leves en aras a fijar la cuantía de las sanciones, así como sus plazos de prescripción, como actualmente tenemos.
DISPOSICIONES TRANSITORIAS. En estas disposiciones se prevé la regulación está destinada al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680.
DISPOSICION DEROGATORIA UNICA.
DISPOSICIONES FINALES. Se refieren a aquellas cuestiones aplicables al ámbito del sector público tales como las medidas de seguridad, la transparencia y acceso a la información pública, autorizaciones en materia de transferencias internacionales de datos etcétera.