Las dudas que plantea la futura Ley de Protección de Datos.
El primer borrador aborda asuntos como las infracciones y sanciones, la información crediticia o la edad de consentimiento, además de definir' la figura del delegado de protección de datos, entre otros asuntos.
El Reglamento General de Protección de Datos (RGPD) de la UE entrará en vigor el 25 de mayo de 2018. Antes de esa fecha, España tendrá que haber aprobado una nueva Ley Orgánica de Protección de Datos (LOPD) que adapte la normativa nacional a las disposiciones contenidas en el reglamento europeo.
El primer paso ya ha sido dado con la presentación de la primera versión del anteproyecto de esta norma por parte del Ministerio de Justicia. Sin duda, el texto sufrirá cambios antes de ser aprobado, pero se convierte en una base para que los expertos puedan valorar su contenido.
El borrador, según explica Paula Fernández-Longoria, counsel de Bird & Bird, "es un texto amplio y completo -78 artículos- en el que se incluyen cuestiones en las que el RGPD remite a los estados miembros, así como otros temas adicionales que completan el reglamento, como el tratamiento de datos de personas fallecidas, de la videovigilancia, los tratamientos de datos de contacto y de empresarios fallecidos o los relativos a sistemas de información de denuncias internas en el sector privado".
"En definitiva -añade Paloma Arribas del Hoyo, letrada de Pons IP- aclara aspectos que se esperaban conocer después de la entrada en vigor del RGPD, pero quedan cuestiones que deberán ser matizadas y detalladas vía real decreto, normativa de desarrollo o circulares de la Agencia de Protección de Datos".
Entre las novedades más relevantes, los letrados destacan las siguientes:
Delegado de protección
Jesús Yáñez, socio del área de privacidad de Ecija, apunta que la figura de delegado de protección de datos (DPO, por sus siglas en inglés) aparece definida en el texto siguiendo la línea del RGPD, algo que le parece positivo. Sin embargo, también comenta que, según la definición utilizada, "prácticamente cualquier empresa que sea prestador de servicios de la sociedad de la información según la ley -que serían a día de hoy cualquier compañía que tenga una actividad económica en Internet (portal web, compra venta online, etcétera)- deberá contar con un DPO, algo quizá un poco exagerado, y que habrá que delimitar".
En esta misma línea se mueven desde el despacho Abanlex. El socio Pablo Burgueño añade en este sentido que "la normativa arroja seguridad jurídica para que no quepa duda de en qué casos es necesario designar un DPO, pero la lista que enumera el anteproyecto no es cerrada y será necesario que las empresas estudien y determinen si requieren de esta figura".
Personas fallecidas
Aunque no se trate de un tema de vital importancia, todos los expertos entienden como algo positivo que se legisle sobre los datos de las personas fallecidas. Para Yáñez, el objetivo de este apartado es "generar una especie de extensión del derecho al olvido tras la muerte y conceder la posibilidad a los herederos de poder acceder, así como rectificar o suprimir datos de los fallecidos". Desde Abanlex destacan que la normativa también prevé que el titular de los datos, antes de su muerte, pueda indicar la prohibición expresa al acceso a esta información personal por sus herederos.
Consentimiento y edad
"La regulación del consentimiento es escueta y deja sin efecto el consentimiento tácito, lo cual será un problema para las empresas que cuenten con este consentimiento como base legítima para sus tratamientos previa a la entrada en vigor de la ley. Respecto a la edad mínima para otorgarlo, se ha optado por rebajarla a los 13 años, que era la máxima rebaja posible establecida por el RGPD", explica Arribas del Hoyo.
Infracciones y sanciones
Fernández-Longoria destaca que este nuevo texto aumenta "el número de infracciones tipificadas con respecto a las incluidas en la actual LOPD: las leves pasan de 4 a ser 19; las graves, de 11 a 28; y las muy graves, de 4 a 16. En relación con las sanciones a imponer y los criterios de graduación de las mismas, el texto se remite al RGPD.
Videovigilancia laboral
El texto también contempla el asunto de la videovigilancia en el ámbito laboral. En este caso, desde Abanlex afirman que se contempla la posibilidad de no tener que informar expresamente al trabajador, "bastando la simple colocación de carteles de videovigilancia en las instalaciones de la empresa para legitimar la captación de imágenes cuando hayan grabado la comisión flagrante de un acto ilícito". ...LEER NOTICIA COMPLETA.