El pasado 27 de febrero, tuvo lugar la sesión de la Comisión de Justicia convocada para la celebración de comparecencias en relación con el Proyecto de Ley Orgánica de protección de datos de carácter personal (en adelante, El Proyecto). La directora de la Agencia Española de Protección de Datos, Mar España, centró su intervención en exponer, a sus señorías, dos aspectos principales:
1. Los propósitos que El Proyecto pretende cumplir,
2. las dudas y preocupaciones que han surgido a raíz de la publicación de este.
En palabras de la Directora, el Reglamento General de protección de datos (RGPD) supone un cambio sustancial en el régimen jurídico de la protección de datos en Europa, resaltando como puntos claves:
– Se refuerzan las garantías para salvaguardar los derechos del interesado, estableciéndose figuras tales como el consentimiento, el derecho a la información, vinculado al principio de transparencia, o el reconocimiento de nuevos derechos como los de limitación o portabilidad.
– Se evoluciona a un modelo de cumplimiento normativo mucho más flexible, basado en el principio de responsabilidad activa, sin listas predeterminadas de cumplimiento. Serán los responsables y los encargados, quienes valoren qué medidas concretas deben aplicar.
– Se modifica el régimen de supervisión. Las autoridades están obligadas a cooperar tanto en la fijación de los criterios para su interpretación, como para su aplicación si varias autoridades se viesen afectadas como consecuencia de un determinado tratamiento.
Estos cambios suponen la necesidad de que el derecho interno de cada uno de los estados miembros se adecue al modelo previsto en el RGPD, y para ello, en España se ha elaborado el Proyecto, con unos objetivos concretos que, la Directora explicó detalladamente en su exposición:
1. Adaptar el derecho español al modelo establecido en el RGPD, y para ello es muy importante tener aprobada la Ley Orgánica, sobre todo, recalca Mar España, en:
• La regulación de los procedimientos transfronterizos (art.61 del Proyecto). En este sentido, el art.63 establece que el régimen jurídico aplicable a estos procedimientos será el del RGPD, el propio del Proyecto y, subsidiariamente las normas generales del procedimiento administrativo común.
• El régimen sancionador (Título IX del Proyecto), ya que el régimen que establece el RGPD es difícilmente compatible con el respeto de los principios consagrados por la ley y por la jurisprudencia del TC. Por ejemplo, el RGPD no establece plazo de prescripción de las infracciones y tampoco es posible aplicar los plazos de la vigente LOPD. Es necesario una norma interna que, prevea tales plazos.
2. El RGPD obliga a regular las autoridades de control en base a unos criterios. Así, el Proyecto prevé en el art.45 y ss. el régimen jurídico de la AEPD y desarrolla sus potestades para el ejercicio de las competencias que le son atribuidas. Igualmente, establece el régimen de colaboración con las autoridades autonómicas, teniendo en cuenta el principio de garantía uniforme del derecho en el territorio nacional.
3. El Proyecto refuerza los derechos de los ciudadanos adoptando medidas para garantizar la mayor protección de los derechos; por ejemplo:
- Se prohíbe la existencia de listas negras relacionadas con datos especialmente sensibles.
- Se garantizan los derechos de las personas fallecidas, pues sus herederos podrán lograr el acceso, la rectificación o la supresión de los datos. (art.3)
- Se refuerzan los ficheros de exclusión publicitaria, (las conocidas listas Robinson), garantizando que quien no quiera recibir publicidad pueda impedir el tratamiento de sus datos para este fin.
- Se regulan los sistemas de información crediticia, estableciendo un límite mínimo de 50 euros para que las deudas puedan ser incluidas en el sistema, evitando que una persona quede estigmatizada por el impago de deudas de ínfima cuantía. (art.20)
Además, contempla la posibilidad de que las reclamaciones de los interesados sean atendidas por los Delegados de Protección de datos (art.34) o se establezcan sistemas de resolución de conflictos mediante códigos de conducta. (art.38)
4. El Proyecto dota de herramientas que garanticen la seguridad jurídica:
• Somete a las normas de protección de datos los datos de contacto de los profesionales; un tratamiento que se lleva a cabo masivamente en la actualidad y que se excluía de la normativa. (art.19)
• Se regulan los sistemas de información de denuncias internas, admitiendo incluso las anónimas. (art. 24)
• No será imputable a los responsables la inexactitud de los datos que traten cuando provenga de causas que le son ajenas. (art.4)
5. El Proyecto enumera en su art. 34, una serie de supuestos concretos en que se debe designar un Delegado de Protección de datos, siendo consciente de las dudas que generaba la escasa delimitación por el RGPD.
Por todas estas cuestiones, la aprobación de la ley orgánica que adapte el derecho español al RGPD es necesaria e imprescindible para garantizar la adecuada aplicación del RGPD y la adecuada protección del derecho fundamental a la protección de datos.
En el próximo artículo os contaremos aquellas dudas y preocupaciones que ha supuesto la elaboración del Proyecto y que la Directora de la Agencia Española destacó en su intervención y que consideramos interesante su análisis.