Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución.

En cuanto a los preceptos cuyo desarrollo, obligatorio o potestativo, quedaba remitido por el RGPD a los Estados miembros, y que están incluidos en este Proyecto de Ley, queremos destacar los siguientes aspectos:

  • Se fija en 14 años la edad mínima para que los menores den su consentimiento para el tratamiento de sus datos personales.
  • Respecto a la gestión de los derechos de los fallecidos, se regula que los herederos o las personas designadas expresamente por el fallecido podrán ejercer el derecho de acceso y, si se cumplen los supuestos pertinentes, el de rectificación y supresión.
  • La Agencia Española de Protección de Datos para facilitar el cumplimiento del derecho de información recogido en el artículo 13 del RGPD, recomendó en sus guías facilitar la información en dos capas. Esta recomendación se convertirá en un derecho de los responsables del tratamiento al estar incluido en el Proyecto de Ley. El acceso a la segunda capa de información puede realizarse a través de una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata.
  • El proyecto de ley establece que las Administraciones Públicas (AGE, CCAA, EELL) y organismos públicos y otras entidades del sector público (artículo 77.1 del proyecto de ley) deberán publicar una vez aprobada la ley, un inventario de sus actividades de tratamiento.
  • Este proyecto de ley tipifica las infracciones entre muy graves, graves y leves y los supuestos en cada caso.
  • En cuanto al bloqueo de los datos cuando proceda su rectificación o supresión, este consistirá en la identificación y reserva de los mismos, y este bloqueo incluirá que no se permita la visualización de los mismos. Esto se realizará mientras puedan derivarse responsabilidades y solo durante el plazo de prescripción de las mismas, tras lo cual deberá procederse a su destrucción. No obstante, y es la novedad que incluye este proyecto de ley, se indica que cuando no pueda realizarse el bloqueo de la forma indicada anteriormente por implicar un esfuerzo desproporcionado, se deberá proceder a un copiado seguro de la información de modo que conste evidencia digital que permita acreditar la autenticidad, la fecha del bloqueo y la no manipulación de los datos durante el mismo. De esta manera se incentiva el cumplimiento por parte de entidades con limitaciones debido a su tamaño o capacidad.
  • Por otro lado, se amplían los casos en los que es necesario contar con un Delegado de Protección de Datos. Colegios profesionales y sus consejos generales, centros docentes en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, empresas de seguridad privada y federaciones deportivas que tengan menores son algunos de los nuevos supuestos en los que se requerirá esta figura. En cambio, están exentos de designar un DPD los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
  • Por último, destacar que en cuanto a la videovigilancia no hay grandes cambios pero sí que hay una obligatoriedad para los responsables del tratamiento de poner a disposición de la autoridad competente las imágenes que acrediten la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones y que para ello debieran ser conservadas más allá del plazo de un mes. El plazo para ponerlas a disposición de la autoridad competente es de un máximo de 72 horas desde que se tuviera conocimiento de la grabación.

Son bastantes las concreciones o matices que realiza este Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Seguimos atentos a las novedades que se pudieran incluir mientras dure el trámite parlamentario hasta la aprobación definitiva de la ley.

¡A por el siguiente pasito! Os seguiremos informando.

Referencia

(N.d.E: Este post ha sido elaborado con la colaboración del equipo de GRC de S2 Grupo).