Como ya comentamos anteriormente, el 27 de febrero, se celebró una sesión de comparecencias por la Comisión de Justicia donde se analizaron los objetivos perseguidos por el Proyecto de Ley Orgánica de protección de datos de carácter personal (El Proyecto), y donde además, se dio respuesta a aquellas dudas que han surgido sobre el mismo.
Por su parte, Mar España, directora de la Agencia Española de protección de datos (AEPD) manifestó su opinión sobre aquellas cuestiones que han despertado más dudas y preocupaciones a raíz de la publicación del mismo:
1. La edad a partir de la cual el menor puede prestar el consentimiento para el tratamiento de sus datos.
El Reglamento general de protección de datos (RGPD) establece como regla general la edad de dieciséis años, permitiendo a los Estados miembros rebajarla hasta un mínimo de trece, siendo esta opción la que ha adoptado el Proyecto, para lo cual ha tenido en cuenta el derecho comparado, ya que mayoritariamente así lo han establecido el resto de los países de la UE.
Por otra parte, la AEPD no considera que se deba aumentar la edad por encima de la actualmente establecida, que son los catorce años y, considera que sea cual sea la edad determinada, se debe acompañar de medidas enfocadas tanto a mejorar la educación de los menores y sus padres en materia de protección de datos y privacidad como a asegurar un uso apropiado de los datos de los menores por parte de los responsables de su tratamiento.
No obstante, esta es la regla general para aquellos supuestos en que no exista otra restricción al consentimiento del menor, como sucede en el sector sanitario, donde la edad es de dieciséis años.
2. Existen asociaciones científicas que han manifestado su inquietud con lo dispuesto en el artículo 6 del Proyecto, al exigir éste un consentimiento específico e inequívoco para cada uno de los tratamientos que pretendan llevarse a cabo, pudiendo puede suponer un obstáculo para el desarrollo de la investigación biomédica.
A este respecto, el artículo 9.2.j) del RGPD remite para la habilitación de estos tratamientos a la legislación de los estados miembros, por lo que ni el RGPD ni el Proyecto modifican la regulación vigente sobre investigación en el ámbito de la salud.
Es más, el RGPD permite una interpretación más flexible de cuál es la finalidad de la investigación para la que debe prestarse el consentimiento o de los supuestos en que la norma no lo exige.
La AEPD, con el fin de garantizar y otorgar seguridad jurídica, ha publicado recientemente un informe en el que se detalla con mayor precisión esta cuestión.
3. Sobre la procedencia de imponer sanciones económicas al sector público.
El Proyecto ha optado por mantener el criterio actual, en el que no se imponen multas el sector público, partiendo del principio de unidad de caja y porque se considera que, en los supuestos de infracción cometidos por un cargo público, sería el administrado y no la Administración quien pagaría finalmente la sanción, al verse restringida la capacidad de gasto de la Administración infractora. Eso es perfectamente compatible con el artículo 77 del mismo Proyecto, que establece la publicidad de las sanciones en el caso del sector público.
4. Hay distintas universidades que imparten másteres certificados relacionados con la protección de datos personales, que han planteado la necesidad de que se reconozcan como formación mínima para la obtención de la certificación de Delegados de Protección de Datos (DPO).
Al respecto, la directora manifestó que desde la AEPD se va a estudiar la posibilidad de que puedan ser directamente aceptados como forma de demostrar la formación que se requiere, pero que, en cualquier caso, el Proyecto no puede referirse a titulaciones universitarias acreditativas de las competencias para ser delegados de Protección de Datos, porque excedería el margen permitido por el artículo 37 del propio RGPD, y porque, si el Proyecto estableciera unos mínimos de titulación, se estaría limitando la prestación de los servicios y la trasposición de la Directiva relativa a los servicios en el mercado interior, recogida en la Ley 17/2009.
5. En cuanto a la extensión de los procedimientos para la autorización de transferencias internacionales de datos, el Proyecto prevé una duración para estos procedimientos de un año.
No obstante, la directora anuncia que sí podría ser posible admitir, una disminución del procedimiento a nueve meses, para la aprobación de las normas corporativas vinculantes, y a seis meses, para la autorización de los supuestos que se exigen, siempre y cuando la ley delimitase las causas de suspensión de estos plazos.
Una vez más, desde la AEPD se pone de relieve la necesidad de que, en el menor plazo posible, podamos disponer de una norma que permita hacer efectivos los objetivos perseguidos por el RGPD.