NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales

LOPDGDD–OCTUBRE2018

ElTítuloI,sedestacalanovedosaregulacióndelosdatosreferidosalaspersonasfallecidas,

yaquesepermitiráquelaspersonasvinculadasalfallecidoporrazonesfamiliaresodehechoo

susherederospuedansolicitaraccesoalosmismos,asícomosurectificaciónosupresión,en

sucasoconsujeciónalasinstruccionesdelfallecido.Tambiénexcluyedelámbitodeaplicación

los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la

normativaquetranspongalaDirectiva(UE)201/680.

EnelTituloll, serecogen losPrincipiosdeproteccióndedatos.Seestableceque,aefectos

delReglamento (UE)2016/679no serán imputablesal responsabledel tratamiento, siempre

queestehayaadoptadotodaslasmedidasrazonablesparaquesesuprimanorectifiquensin

dilación, la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera

recibidolosdatosdeotroresponsableenvirtuddelejercicioporelafectadodelderechoala

portabilidad,ocuandoelresponsable losobtuviesedelmediadoro intermediariocuando las

normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento

establezcanlaposibilidaddeintervencióndeunintermediarioomediadorocuandohubiesen

sido obtenidos de un registro público. También se recoge expresamente el deber de

confidencialidad, el tratamiento de datos amparado por la ley, las categorías especiales de

datos y el tratamiento de datos de naturaleza penal, se alude específicamente al

consentimiento,quehadeprocederdeunadeclaraciónodeunaclaraacciónafirmativadel

afectado, excluyendo lo que se conocía como «consentimiento tácito». Se mantiene en

catorceañoslaedadapartirdelacualelmenorpuedeprestarsuconsentimiento.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el

cumplimientodeunaobligación legalexigibleal responsable,en lostérminosprevistosenel

Reglamento(UE)2016/679,cuandoasílopreveaunanormadeDerechodelaUniónEuropeao

unaley,quepodrádeterminar lascondicionesgeneralesdeltratamientoy lostiposdedatos

objetodelmismo.

Sepodránigualmenteimponercondicionesespecialesaltratamiento,talescomolaadopción

demedidas adicionales de seguridadu otras, cuandoello derive del ejercicio depotestades

públicasodelcumplimientodeunaobligación legalysólopodráconsiderarsefundadoenel

cumplimientodeunamisiónrealizadaeninteréspúblicooenelejerciciodepoderespúblicos

conferidosalresponsable,enlostérminosprevistosenelreglamentoeuropeo,cuandoderive

deunacompetenciaatribuidaporlaley.

NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales

LOPDGDD–OCTUBRE2018

También en relación con el tratamiento de categorías especiales de datos, el artículo 9.2

consagra el principio de reserva de ley para su habilitación en los supuestos previstos en el

Reglamento(UE)2016/679.Dichaprevisión permitedejarasalvo lasdistintashabilitaciones

legalesactualmenteexistentes,talycomoseindicaespecíficamente,respectodelalegislación

sanitariayaseguradora,enladisposiciónadicionaldecimoséptima.ElReglamentogeneralde

protección de datos no afecta a dichas habilitaciones, que siguen plenamente vigentes,

permitiendoinclusollevaracabounainterpretaciónextensivadelasmismas.

El apartado 2 de la disposición adicional decimoséptima introduce una serie de previsiones

encaminadasagarantizareladecuadodesarrollodelainvestigaciónenmateriadesalud,yen

particular la biomédica, ponderando los indudables beneficios que la misma aporta a la

sociedadconlasdebidasgarantíasdelderechofundamentalalaproteccióndedatos.

ElTítuloIII,dedicadoalosderechosdelaspersonas,adaptaalDerechoespañolelprincipio

de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los

afectadosaserinformadosacercadeltratamientoyrecogeladenominada«informaciónpor

capas»yageneralmenteaceptadaenámbitoscomoeldelavideovigilanciaolainstalaciónde

dispositivosdealmacenamientomasivodedatos(talescomolas«cookies»).

Comonovedad, encontramos en las disposiciones generales sobreejercicio de los derechos

encontramos en el artículo 12, que en cualquier caso los titulares de la patria potestad

podránejercitarennombreyrepresentacióndelosmenoresdecatorceañoslosderechosde

acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran

corresponderles en el contexto de la presente ley orgánica. Así como, serán gratuitas las

actuaciones llevadasacaboporel responsabledel tratamientoparaatender lassolicitudes

de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del

Reglamento (UE)2016/679yen losapartados3y4delartículo13deesta leyorgánica.Por

otrolado,cuandoelafectadoelijaunmediodistintoalqueseleofrecequesupongauncoste

desproporcionado,lasolicitudseráconsideradaexcesiva,porloquedichoafectadoasumiráel

excesodecostesquesueleccióncomporte.Enestecaso,soloseráexigiblealresponsabledel

tratamientolasatisfaccióndelderechodeaccesosindilacionesindebidas.

EnelTítuloIVserecogen«disposicionesaplicablesatratamientosconcretos».Cabeapreciar,

en primer lugar, aquéllos respecto de los que el legislador establece una presunción iuris

tantumdeprevalenciadel interés legítimodel responsablecuandose llevenacaboconuna

serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se

NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales

LOPDGDD–OCTUBRE2018

cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el

responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la

prevalencia de su interés legítimo. Junto a estos supuestos se recogen otros, tales como la

videovigilancia,losficherosdeexclusiónpublicitariaolossistemasdedenunciasinternasen

que la licitud del tratamiento proviene de la existencia de un interés público. Se establece

sobre los tratamientos con fines de videovigilancia que será posible la captación de la vía

pública en una extensión superior cuando fuese necesario para garantizar la seguridad de

bieneso instalacionesestratégicosode infraestructurasvinculadasal transporte, sinqueen

ningúncasopuedasuponer lacaptaciónde imágenesdel interiordeundomicilioprivado.3.

Losdatosseránsuprimidosenelplazomáximodeunmesdesdesucaptación,salvocuando

hubieran de ser conservados para acreditar la comisión de actos que atenten contra la

integridaddepersonas,bienesoinstalaciones.Entalcaso,lasimágenesdeberánserpuestasa

disposicióndelaautoridadcompetenteenunplazomáximodesetentaydoshorasdesdeque

setuvieraconocimientodelaexistenciadelagrabación.

ElTítuloVserefierealresponsableyalencargadodeltratamiento.Esprecisotenerencuenta

que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un

modelobasado,fundamentalmente,enelcontroldelcumplimientoaotroquedescansaenel

principiode responsabilidadactiva, loqueexigeunapreviavaloraciónporel responsableo

porelencargadodel tratamientodel riesgoquepudieragenerarel tratamientode losdatos

personales para, a partir de dicha valoración, adoptar las medidas que procedan. Incluye

novedadesenelámbitodebloqueodedatosestableciendoquecuandoparaelcumplimiento

de esta obligación, la configuración del sistema de información no permita el bloqueo o se

requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un

copiadosegurodelainformacióndemodoqueconsteevidenciadigital,odeotranaturaleza,

quepermitaacreditarlaautenticidaddelamisma,lafechadelbloqueoylanomanipulación

de los datos durante elmismo. Así como enmateria deldelegado de protección de datos,

incorporandonuevasentidades(empresasdeseguridadprivadayfederacionesdeportivasque

traten datos de menores de edad) donde los responsables y encargados del tratamiento

deberándesignarundelegadodeprotección.

ElTítuloVI,relativoalastransferenciasinternacionalesdedatos,procedealaadaptaciónde

loprevistoenelReglamento(UE)2016/679yserefierealasespecialidadesrelacionadascon

los procedimientos a través de los cuales las autoridades de protección de datos pueden

NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales

LOPDGDD–OCTUBRE2018

aprobarmodeloscontractualesonormascorporativasvinculantes,supuestosdeautorización

deunadeterminadatransferencia,oinformaciónprevia.

ElTítuloVIIsededicaalasautoridadesdeproteccióndedatos,quesiguiendoelmandatodel

Reglamento(UE)2016/679sehadeestablecerporleynacional.Manteniendoelesquemaque

sevenía recogiendoensusantecedentesnormativos, la leyorgánica regulael régimende la

AgenciaEspañoladeProteccióndeDatosyreflejalaexistenciadelasautoridadesautonómicas

deproteccióndedatos.Seañadenaquí,nuevoscargosalConsejoConsultivoqueasesoraala

presidenciadelaAgenciaEspañoladeProteccióndeDatos.

ElTítuloVIII regulael«Procedimientosencasodeposiblevulneraciónde lanormativade

protección de datos». El Reglamento (UE) 2016/679 establece un sistema novedoso y

complejo,evolucionandohaciaunmodelode«ventanillaúnica»enelqueexisteunaautoridad

decontrolprincipal yotrasautoridades interesadas.En suartículo64sedisponeunanueva

formadeiniciacióndelprocedimientoyduraciónestableciendoquecuandoelprocedimiento

se refieraexclusivamentea la faltadeatencióndeunasolicituddeejerciciode losderechos

establecidosenlosartículos15a22delReglamento(UE)2016/679,seiniciaráporacuerdode

admisióna trámite,que seadoptará conformea loestablecidoenel artículo65deesta ley

orgánica. En este caso el plazo para resolver el procedimiento será de seismeses a contar

desdelafechaenquehubierasidonotificadoalreclamanteelacuerdodeadmisiónatrámite.

Transcurridoeseplazo,elinteresadopodráconsiderarestimadasureclamación.

El Título IX, que contempla el régimen sancionador, parte de que el Reglamento (UE)

2016/679estableceunsistemadesancionesoactuacionescorrectivasquepermiteunamplio

margendeapreciación.Enestemarco,laleyorgánicaprocedeadescribirlasconductastípicas,

estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en

consideraciónladiferenciaciónqueelReglamentogeneraldeproteccióndedatosestableceal

fijar la cuantía de las sanciones. La ley orgánica regula los supuestos de interrupción de la

prescripción partiendode laexigencia constitucionaldel conocimientode loshechosque se

imputanalapersona,peroteniendoencuentalaproblemáticaderivadadelosprocedimientos

establecidos en el reglamento europeo, en función de si el procedimiento se tramita

exclusivamenteporlaAgenciaEspañoladeProteccióndeDatososiseacudealprocedimiento

coordinadodelartículo60delReglamentogeneraldeproteccióndedatos.

NovedadesycontenidodelProyectodeLeyOrgánicadeProteccióndeDatosyGarantíadelosDerechosDigitales

LOPDGDD–OCTUBRE2018

Finalmente,elTítuloXdeesta leyacomete la tareadereconocerygarantizarunelencode

derechosdigitalesdelosciudadanosconformealmandatoestablecidoenlaConstitución.En

particular, son objeto de regulación los derechos y libertades predicables al entorno de

InternetcomolaneutralidaddelaRedyelaccesouniversalolosderechosalaseguridady

educacióndigitalasí como losderechosalolvido,a laportabilidadyal testamentodigital.

Ocupaunlugarrelevanteelreconocimientodelderechoaladesconexióndigitalenelmarco

del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la

protección de los menores en Internet. Resulta destacable la garantía de la libertad de

expresión y el derecho a la aclaración de informaciones en medios de comunicación

digitales. Así como el derecho a la intimidad y uso de dispositivos digitales en el ámbito

laboral. Y enlazado, el derecho a la desconexión digital, a la intimidad frente al uso de

dispositivosdevideovigilanciaydegrabacióndesonidosyantelautilizacióndesistemasde

geolocalizaciónenelámbitolaboral.