La nueva Ley de Protección de Datos (LOPD), que no es más que la modificación y actualización de la Ley Orgánica de Protección de Datos y adaptación al RGPD, entra en su fase final de aprobación.
Hoy ha superado su primer examen en el Congreso de los Diputados.
Con el apoyo de PP, PSOE, Unidos Podemos y Ciudadanos se inicia la tramitación parlamentaria.
De esta manera se rechaza la enmienda a la totalidad presentada por PDeCAT y ERC, que argüía invasión de competencias autonómicas.
Recordamos que el pasado noviembre fue remitido a las Cortes Generales el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (La Ley 10264/2017).
Con anterioridad, había pasado por el correspondiente trámite de audiencia.
Esquema de la nueva Ley Protección de Datos
En él se pudo observar el contenido de la misma (hasta ese momento inaccesible), que estaba dividida en 78 artículos, 8 títulos, 10 disposiciones adicionales, 5 transitorias, una derogatoria y 7 finales.
Entrada en vigor de la nueva Ley Protección de Datos
Tal y como recoge en comunicado del Gobierno Español, esta nueva Ley de Protección de Datos será de aplicación el mismo día que el RGPD, es decir, el 25 de mayo de 2018.
Objetivos de la nueva Ley Protección de Datos
Sus objetivos fundamentales son:
- Aumentar la seguridad jurídica
- Adaptar la normativa a la evolución tecnológica (por ejemplo, los flujos transfronterizos)
- Regular la potestad de los herederos sobre la información de personas fallecidas.
- Adaptar su contenido a lo establecido en el Reglamento General de Protección de Datos (GDPR)
Finalidad nueva Ley Protección de Datos
Su finalidad última no es más que la modificación de la actual normativa sectorial para adaptarla al nuevo Reglamento General de Protección de Datos (RGPD).
En esta nueva Ley Orgánica de Protección de Datos (LOPD), que actualiza la anterior e incorpora los preceptos del RGPD, se recogen temas de los que ya hemos hablado en anteriores post:
1 Delegado de Protección de Datos
Será una figura clave de mediación con la Agencia Española de Protección de Datos, debe demostrar competencia en la materia pero deja claro que los mecanismos de certificación no serán obligatorios.
Además, fija los casos que marca el RGPD en cuanto al DPO, estableciendo las entidades obligadas a poseer esta figura:
- a) Los colegios profesionales y sus consejos generales
- b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas
- c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
- d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
- g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
- h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
- i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
- j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
- m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
- ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
2 Mecanismos autorregulación
En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado.
Introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento.
Así evitan que se puedan borrar para encubrir el incumplimiento.
3 Consentimiento tácito por acción afirmativa
Se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad.
4 Tratamiento de datos de personas fallecidas
Se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos.
5 Videovigilancia
Se incorporan a esta nueva Ley los informes preceptivos de la Agencia Española de Protección de Datos (AEPD).
También las resoluciones judiciales que han generado jurisprudencia como la posibilidad de incorporar sistemas de videovigilancia en los sitios de trabajo, siempre y cuando se informe a los trabajadores.
6 Flujos transfronterizos
Este Reglamento atiende a nuevas circunstancias provocadas, fundamentalmente, por el aumento de los flujos transfronterizos de los datos personales.
La rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la Sociedad de la Información con el consecuente riesgo exponencial y dificultad de control de uso y destino.
Seguiremos actualizando información a medida que vayan surgiendo noticias del proceso parlamentario, de cualquier modificación que se pueda acometer y de la aprobación definitiva de la Nueva Ley Protección de Datos.
En Aixa Corpore estamos para ayudarle. Si precisa cualquier tipo de información no dude en ponerse en contacto con nosotros por cualquiera de los medios disponibles (recuerde que en el menú de la derecha de este post existe un formulario de contacto rápido).