Asociación de Internautas

¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo deProtección de Datos?

En unas semanas los trabajos de la Agencia Española de Protección de Datos (AEPD) y la secciónde derecho público de la Comisión General de Codificación del Ministerio de Justicia cristalizaránen un primer borrador del anteproyecto de ley de modificación de la Ley Orgánica de Protección deDatos (LOPD), un cambio necesario ante la entrada en vigor del próximo Reglamento Europeo deProtección de Datos en mayo del año que viene.

Luis Javier Sanchez en ConfiLegal.- El objetivo es que el Parlamento haya aprobado lamodificación de la Ley en mayo de 2018, cuando el reglamento europeo de protección de datos seráde aplicación directa. Por este motivo, hemos pedido a diferentes operadores del sector implicadossu opinión sobre esa reforma y su contenido. Aquí hay opiniones de , patronal digital de lapublicidad, Asociacion de Internautas, APEP, Asociación de Expertos en Privacidad y la AsociaciónEspañola para el Fomento de la Seguridad en la Información IABSpain. Una oportunidad para evitarla inseguridad jurídica>Paula Ortiz, es la directora jurídica y de relaciones institucionales deIABSpain, patronal de la publicidad digital, un sector que en 2015 facturó en inversión 1288millones de euros, una cifra que sigue crece año a año. La LOPD y toda la normativa sectorial queafecta de manera directa o indirecta a la protección de datos debe adaptarse al Reglamento. Lanueva norma debería proporcionar la máxima seguridad jurídica posible y contribuir a la vez aldesarrollo de la economía basada en datos, garantizando la claridad, la transparencia y el poder decontrol sobre sus datos de los ciudadanos?.

Nuestra interlocutora señala que en la consulta pública llevada a cabo por el Ministerio de Justicia,en IAB ya trasladamos las preocupaciones del sector publicitario digital. Nos referíamos en nuestrarespuesta a la necesidad de clarificar qué se considera finalidad principal y accesoria y cómo puedeninteractuar de cara a legitimar tratamientos, la edad para prestar el consentimiento de los menores, lanecesidad de definir qué se consideran efectos legales significativos en la elaboración de perfiles?.

Al mismo tiempo, otras cuestiones que preocupan al sector digital tienen que ver con "cómo se va aaterrizar el derecho a la portabilidad de datos, por ejemplo aclarando que los datos inferidos no seanobjeto de este derecho, si no solo a aquellos que se han aportado activamente por el usuario, ya quepuede suponer trasladar todo el know how de la empresa, cómo se va a llevar a cabo realmente elderecho de supresión, y su ámbito territorial o el reconocimiento de la ventanilla única en lalegislación española".

Para Paula Ortiz, "uno de los elementos que me resultan más preocupantes es la imposibilidad deseguir tratando datos que se han recogido de manera legal con la actual legislación, y en concretocon el consentimiento. En ese sentido, la nueva ley debería recoger formas que, con las garantíasadecuadas, permitan continuar tratando datos basados en el consentimiento cuando se ha recabadode forma tácita, algo legítimo bajo el actual régimen normativo".

A su juicio, "en caso contrario, puede darse un incumplimiento masivo y sobrevenido, con unasposibles consecuencias económicas significativas, lo que puede suponer un serio riesgo para la

1/6

viabilidad de un sector tan importante para la economía digital como el de la publicidad. Además,también habría que aclarar los límites entre el consentimiento expreso e inequívoco".

Desde su perspectiva "el interés legítimo debería tener un importante papel en la nueva norma,configurándose como la base jurídica fundamental para el tratamiento de datos. El legisladorespañol debería articular el texto normativo de forma que se mantenga el espíritu del RGPD en suliteralidad y se puedan aplicar de forma flexible los criterios, y pudiendo usar el interés legítimocomo base para el tratamiento tras un análisis equilibrado de su utilización frente a los intereses olos derechos y libertades fundamentales".

Internautas, actualización necesaria

Desde la Asociación de Internautas, su directora jurídica, Ofelia Tejerina aclara que "acabamos deconocer que actualmente, según el barómetro del Centro de Investigaciones Sociológicas (CIS), másdel 70% de los españoles están preocupados por el uso que otros hacen de sus datos personales".

Ofelia Tejerina, directora jurídica de la Asociación de Internautas.

Su valoración de este dato es la siguiente "esto demuestra por fin que cada vez somos másconscientes de los riesgos que implica, aunque no creo que sea tanto por mérito del sistemaeducativo, o por la creación de nuevas leyes con imposición de sanciones económicas (que tambiénlo es, por supuesto), sino más bien por experiencias negativas en carne propia o de terceroscercanos".

Y advierte que el día a dia tiene que ver con "las estafas en Internet, el spam en nuestro correo yaplicaciones móviles, la vida al descubierto en las redes sociales, el ciberacoso, etc. Yo no sólo lovemos en las noticias, casi todos conocemos a alguien que en mayor o menor medida ha sufridoalgún daño por el mal uso de sus datos personales. Sin embargo, parece que aún hay un 61,8% que?nunca o rara vez lee las políticas de privacidad de las páginas que visita"!.

En su opinión, "actualizar la Ley de Protección de Datos es necesario, pero más lo seríaactualizar los programas educativos. Lo era ya hace 10 años, que aunque había normas quenos protegían, ni sabíamos cómo enfrentarnos a este derecho. Nuestra LOPD fue ?renovada?con el Reglamento de desarrollo en 2007, pero a la vista de cómo el nuevo Reglamento europeo seadapta a los cambios del comportamiento humano ?digital?, no queda más remedio que plantearse

2/6

un proceso legislativo de actualización".

Lo deseable es que se permita el debate social y que tengamos al final unresultado jurídicamente sensato con las circunstancias actuales

Sobre dicha actualización cree nuestra interlocutora que quizás debe ser menos "formalista, tal vezmás flexible con resolución de conflictos por vías alternativas, tipo arbitral o de mediación, odirigida a la prevención e información diligente de supuestos de "crisis", a la distinción clara entreimprudencia y culpa, a la restauración efectiva de derechos y el resarcimiento (real) de quien sehaya visto lesionado".

También en esa actualización indica que debería "justificar la nueva figura del DPO y su relacióncon el responsable de seguridad y del fichero, que delimite la correspondencia del ?derecho alolvido? o supresión con los derechos transparencia, información, acceso, rectificación, limitacióndel tratamiento, portabilidad de datos y oposición, que exija la privacidad desde el diseño, queordene el sistema de ventanilla única, etc."

Sobre la normativa Tejerina indica que ? el PSOE ha dado un primer paso con su proposición no deley, pero confío en que no se quiera tramitar a lo loco . Lo deseable es que se permita el debatesocial y que tengamos al final un resultado jurídicamente sensato con las circunstancias actuales,pero también con vocación de subsistencia ante cambios que puedan surgir corto o medio plazo?.

APEP, profesionales de la privacidad

Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP) indicaque esta entidad representa los intereses de los profesionales de la privacidad, "que son quienesestán en la primera línea de aplicación práctica de las normas de protección de datos (y suinterrelación con otras), al asesorar a responsables y encargados de tratamiento y estando llamadosmuchos de ellos a desempeñar el futuro rol de Delegados de Protección de Datos (DPD), internos oexternos".

3/6

Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP).

Alvarez recuerda que APEP sometió sus comentarios a la consulta pública abierta por el Ministeriode Justicia el pasado 7 de febrero sobre distintos aspectos a tener en cuenta en la norma, destacandolos siguientes: En primer lugar destaca la necesidad de poner en valor a los profesionales de laprivacidad ? numerosos aspectos que no están claros, sobre la figura del Delgado de Proteccion deDatos (DPO) tal y como pusimos de manifiesto en los comentarios preparados en el seno deCEDPO (Confederation of European Data Protection Organisations)?.

En su opinión " siendo fundamental el papel del DPD en el Reglamento europeo y obligatorio en elsector público y en aquellos tratamientos que se han considerado de mayor riesgo, la voz de losprofesionales de la privacidad, a través de sus asociaciones representativas, debe estarpresente en el Consejo Asesor de la AEPD así como en las normas que afecten a la protección dedatos personales o en la elaboración de modelos o guías de protección de datos que lasautoridades de control de protección de datos u otras instituciones del gobierno produzcan".

La nueva norma debe no fragmentar el mercado interior y regular únicamenteal aquello que sea imprescindible para que el Reglamento europeo puedaaplicarse en España

Sobre la norma señala que debe procurar no fragmentar el mercado interior y regular "únicamente alaquello que sea imprescindible para que el Reglamento europeo pueda aplicarse en España, comolas bases legales del tratamiento vinculadas a las leyes nacionales y de contar con una normaflexible para adaptarse a la evolución de las tecnologías y prácticas (lo que es incompatible con unaley de carácter orgánico que debe limitarse a regular sólo lo que esté vinculado al carácter esencialdel derecho fundamental)".

Otra cuestión que la presidenta de APEP plantea es la necesidad de derogar la LOPD y sunormativa de desarrollo, identificando qué previsiones han sido útiles y cómo pueden encajar en el

4/6

Reglamento europeo, sin distorsionar el mercado interior. Y recuerda que "además de la LOPD, hayotras normas sectoriales que inciden en materia de protección de datos y que requerirán sermodificadas, en particular, en aquellos casos en que se regula el mismo bien protegido de formadistinta (p.e., marketing directo o el derecho a la intimidad y la propia imagen) o han quedadodesactualizados (Código penal)".

ISMS Forum, expectante ante la nueva LOPD

Desde el ISMS Forum se articula el Data Privacy Institute entidad que también se preocupa por elestudio de la ciberseguridad. Carlos Sáiz es su presidente quien también valora lo que puede ser lanueva LOPD ".Lo importante será que, ésta nueva Ley no establezca criterios diferentes a los queregula el Reglamento con carácter general y que puedan impedir a las organizaciones establecermarcos de control homogéneos".

Carlos Sáiz, presidente de Data Privacy Institute.

Sobre los aspectos que habrá que modificar destacar señala "algunas cuestiones relativas alprocedimiento sancionador, así como también que tratamiento van a tener los datos de contacto depersonas jurídicas, los datos de empresarios y profesionales, cuya regulación estaba ya un poco másclara en España gracias a diversas resoluciones y sentencias porque el Reglamento Europeo noestablece nada específico sobre ello" También cree habrá que regular algunas realidades como loson algunos ficheros de morosidad que tampoco tienen ningún tipo de mención dentro delReglamento Europeo.

Sáiz reconoce que los profesionales están "expectantes para conocer el borrador de texto ya que, losprofesionales estamos trabajando ayudando a las organizaciones a adecuarse al ReglamentoEuropeo y por supuesto, sería muy importante conocer qué cuestiones habrá que considerar dentrode ésta Ley Española si finalmente sale a la luz para considerarlo dentro de los controles y de laimplantación de las nuevas políticas de cara a la nueva Normativa Europea".

La futura LOPD debe aclarar la figura del DPO en las organizaciones, figuraque debe profesionalizarse de forma gradual

5/6

Un tema que este experto considera que se debe aclarar es la figura del DPO en las organizaciones"Bajo nuestro punto de vista se tiene que intentar profesionalizar ésta función, es algo que llevamoshaciendo desde el Data Privacy Institute desde hace seis años y entendemos que esa debe ser unpoco la línea. Creemos que hay muy buenos profesionales en España tanto para ser DPOs comopara ser abogados, consultores y auditores en materia de privacidad con una gran experiencia.Desde esta entidad ya hemos formado a 250 profesionales en estas competencias de Delegado deProtección de Datos".

2020 ©Asociación de Internautas

6/6