El Consejo de Ministros aprobó el pasado 10 de noviembre el Proyecto de Ley Orgánica de Protección de Datos que sustituye a la actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y que tiene como objetivo adaptar la legislación española a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que entrará en vigor el 25 de mayo de 2018.

En Progreso 12 analizamos las principales novedades del Anteproyecto de Ley en relación a la anterior normativa en materia de protección de datos de carácter personal. Tras el periodo de trámite de audiencia e información pública, se ha publicado el Proyecto de Ley, que mantiene en gran medida las disposiciones del texto anterior, pero incluye ciertos cambios que destacamos a continuación:

Tratamiento basado en el consentimiento del afectado

La ejecución de un contrato no podrá supeditarse al consentimiento por parte del afectado del tratamiento de sus datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

Derechos de los afectados

En relación al derecho de acceso, se elimina la asunción de riesgos y costes desproporcionados por parte del afectado en caso de que eligiera un medio para ejercitar el derecho de acceso distinto al que se le hubiera ofrecido.

Respecto al derecho a la portabilidad, se eliminan las limitaciones para el ejercicio de este derecho, remitiéndose a lo establecido en el artículo 20 del RGPD sin añadir contenido adicional.

Tratamientos concretos

• Datos de contacto y de empresarios individuales: se mantiene la licitud del tratamiento de datos de contacto de personas físicas que presten servicios a una persona jurídica, cumpliendo determinados requisitos, pero se incluye la admisión de prueba en contrario.
• Se elimina por completo las disposiciones relativas al tratamiento de datos hechos manifiestamente públicos por el afectado, en el sentido de que estos datos ya no están amparados por la presunción de licitud de su tratamiento.
• Sistemas de información crediticia: se admite igualmente prueba en contrario frente a la presunción de licitud del tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia. Así mismo, ya no es necesario como requisito para la licitud del tratamiento, advertir al afectado de la inclusión de sus datos en dichos sistemas.
• Realización de determinadas operaciones mercantiles: siguiendo la misma línea, también se admite en este caso prueba en contrario frente a la licitud del tratamiento de los datos que pudiera derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión del negocio o de rama de actividad empresarial. Además, se añade la obligación, por parte de la entidad cesionaria de los datos, de proceder con carácter inmediato a la supresión de los mismos en caso de que la operación no llegara a concluirse, sin que sea de aplicación la obligación de bloqueo prevista en la norma.
• Fines de videovigilancia: se incluye la obligación de los empleadores de informar a los trabajadores acerca del tratamiento de sus datos obtenidos a través de sistemas de videovigilancia, para el ejercicio de las funciones de control. No obstante, se precisa que en caso de que las imágenes hubieran captado la comisión flagrante de un acto delictivo, la ausencia de esta comunicación no privará de valor probatorio a las mismas.
• Sistemas de exclusión publicitaria: podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales de determinadas empresas. Las entidades responsables de los sistemas de exclusión publicitaria deberán comunicar su creación a la Agencia Española de Protección de Datos (AEPD), indicando su carácter general o sectorial y el modo en que los afectados pueden incorporarse a los mismos.
• Función estadística y archivo de interés público: los datos para funciones estadísticas públicas solo podrán recogerse previo consentimiento expreso del afectado. Así mismo, se considera lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público.

Delegado de protección de datos

Se precisan las circunstancias respecto de las cuales determinadas entidades están obligadas a designar un delegado de protección de datos: en el caso de las entidades que exploten redes y presten servicios de comunicaciones electrónicas, “cuando traten habitual y sistemáticamente datos personales a gran escala”; y los prestadores de servicios de la sociedad de la información, “cuando elaboren a gran escala perfiles de los usuarios del servicio.”.

Además, respecto a los requisitos para acreditar la cualificación del delegado de protección de datos, se incluye que podrá hacerse a través de mecanismos voluntarios de certificación. También se elimina el deber del responsable o el encargado de proporcionar al delegado los medios materiales y personales para el adecuado desempeño de sus funciones.

Transferencias internacionales de datos

Para las transferencias internacionales de datos a países u organizaciones que se considere no cuenten con las garantías de protección adecuadas, se requerirá autorización previa de la AEPD o autoridades autonómicas. Como novedad, el Proyecto limita el procedimiento de autorización a un plazo máximo de 1 año.

Procedimiento en caso de vulneración de la normativa de protección de datos

La AEPD podrá inadmitir a trámite las reclamaciones en los casos en que el responsable o encargado del tratamiento, previa advertencia a la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos, y siempre y cuando no se haya causado perjuicio al afectado y que sus derechos queden plenamente garantizados mediante la aplicación de las mismas.

Así mismo, se reduce de 18 a 9 meses el plazo máximo para la tramitación de los procedimientos y la notificación de las resoluciones correspondientes.

Infracciones graves

Se incluyen como infracciones graves la falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, y el quebrantamiento de las medidas técnicas y organizativas que se hubieran implantado como consecuencia de la falta de debida diligencia.