La protección de datos de las personas en nuestro ordenamiento jurídico está sufriendo una profunda remodelación derivada de las novedades legislativas que están entrando en vigor o que se prevé sean de aplicación en pocos meses.
Por ello nuestro departamento jurídico cree necesario informar de las particularidades de este Anteproyecto de LOPD que se convertirá en la nueva Ley de Protección de Datos y sus implicaciones en el día a día de los autónomos y pymes.
Como ya comentamos en anteriores entradas, en mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
Este reglamento deroga las anteriores directivas, en concreto la Directiva 95/46/CE (Reglamento general de protección 11 de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Asimismo el propio reglamento introdujo una moratoria de dos años para que sea plenamente efectiva y aplicable por los responsables, por lo que tenemos hasta mayo de 2018 para ir avanzando en la preparación de las nuevas obligaciones que dicho reglamento exige, obligaciones que se han matizado con este anteproyecto de LOPD
¿Qué pasa entonces con nuestra actual LOPD 15/99?
Necesaria y evidentemente, se tenía que modificar en base a la obligación de adaptar nuestra normativa interna nacional a este nuevo Reglamento, todo ello sin pretender reiterar el texto europeo, sino para tratar de clarificar sus disposiciones, ya que corresponde a los Estados miembros integrar el ordenamiento europeo en el interno, de una manera lo suficientemente clara y pública como para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios ciudadanos.
Además la adaptación al Reglamento general de protección de datos , según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual.
Pues bien, ya tenemos publicado el Anteproyecto de LOPD, que puede consultar en el siguiente enlace
Principales Novedades
Como novedad significativa de este nueva ley, debemos destacar la regulación de los datos referidos a las personas fallecidas, donde se destaca que los herederos de una persona fallecida, que acrediten debidamente tal condición, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella, y, en su caso, su rectificación o supresión.
Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
Igualmente este Anteproyecto de LOPD potencia el principio de confidencialidad que ya se venía aplicando, incorporando el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia.
En ocasiones los responsables conocen y tratan información personal de clientes, trabajadores, etc excesiva para el ejercicio de sus funciones, lo cual antes suponía un riesgo, ahora supone un incumplimiento de ese principio de minimización de datos, donde sólo se deben de tratar los datos estrictamente necesarios.
Cambios en las obligaciones y en las funciones
También en relación a la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”.
Por lo tanto, y siguiendo con lo que ya se recoge en el reglamento europeo cambian las reglas del juego en relación a la obtención del consentimiento, haciendo necesaria una revisión de los avisos legales que actualmente se vienen aplicando.
Cambian las funciones de nuestra autoridad nacional, la Agencia Española de Protección de Datos, dado que el reglamento europeo establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” europeo en el que existe una autoridad de control principal y otras autoridades interesadas.
No obstante seguirá siendo la autoridad nacional y tendrá competencias en la materia, como por ejemplo la iniciación de los procedimientos, la inadmisión de las reclamaciones; el plazo de tramitación de los procedimientos y, en su caso, su suspensión; las actuaciones previas de investigación; y las medidas provisionales, entre las que destaca el bloqueo de los datos.
Se modifica el régimen sancionador, dado que el Reglamento Europeo establece un sistemas de sanciones sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión.
Este anteproyecto de ley procede a describir las conductas típicas, manteniendo la distinción entre infracciones muy graves, graves y leves, modificando también sus plazo de prescripción.
Se crea una nueva figura en el el ámbito de la protección de datos que adquiere una destacada importancia en el Reglamento (UE) 2016/679, es el llamado Delegado de Protección de Datos, y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.
No será necesario, según lo recogido en este anteproyecto, que las comunidades de propietarios, ni los administradores de fincas precisen de un Delegado de protección de datos, pero sí lo será para los colegios profesionales de administradores de fincas.
Cambian las exigencias en cuanto a la regulación de las obligaciones generales entre el responsable y el encargado del tratamiento.
Ahora se deben de evaluar el riesgo que supone el tratamiento de datos, que en términos generales, y dada la naturaleza de los datos que los administradores de fincas tratan de sus comunidades, no serán especialmente altas: y en base a la evaluación de dichos riesgos se determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo.
Desaparición de obligaciones
Como habéis podido observar, tanto en el reglamento europeo como en el Anteproyecto de LOPD, surgen nuevas obligaciones, pero también desaparecen otras.
La notificación de fichero al Registro General de Protección de Datos tal y como la conocemos deja de ser obligatoria, y ha sido sustituida por un registro de actividades de tratamiento.
Este registro podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias que le afecten.
Desde Grupoiwi Protección de datos estamos siguiendo de cerca la aprobación definitiva de este anteproyecto de LOPD, y se está planificando un calendario de actuaciones para adecuar nuestros servicios para PYMES y autónomos a estos cambios normativos.
