Cada vez más cerca del nuevo RGPD

RGPD - LOPD Nuevo reglamento Unión EuropeaEl pasado 28 de junio, el Ministerio de Justicia publicó el anteproyecto de lo que será la nueva Ley Orgánica relativa a la Protección de Datos. Ya sabemos que estará formada por 78 artículos estructurados en 8 títulos, 13 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 4 disposiciones finales. Analicemos su contenido:

 

  • El título I Disposiciones generales, regulará el objeto de la ley orgánica y su ámbito de aplicación. Como novedad importante, destaca la regularización de los datos relativos a una persona fallecida, ya que se permitirá a los herederos (debidamente acreditados) acceder, rectificar o suprimir los datos personales de aquélla.
  • En el título II Principios de protección de datos, se entienden como exactos y actualizados los datos que se obtienen directamente del afectado, contemplándose explícitamente el deber de confidencialidad.

En relación a la legitimación del tratamiento se especifica que el consentimiento ha de provenir de una acción afirmativa del afectado, excluyéndose así el anteriormente denominado consentimiento tácito. Asimismo, se prevé que el interés legítimo de un responsable o un tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. De igual modo, se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a categorías de datos especialmente protegidos.

En el capítulo II del mismo título se recogen las Disposiciones aplicables a tratamientos concretos, donde aplica la regla del equilibrio de intereses como base jurídica para el tratamiento. Aparecen también las categorías que anteriormente ya eran objeto de una regulación específica, como los tratamientos con fines de videovigilancia, los sistemas de información crediticia, de exclusión publicitaria…; como novedad encontramos los sistemas de información de denuncias internas en el sector privado.

  • El título III está orientado a los Derechos de las personas y regula el derecho del afectado a ser informado acerca del tratamiento de sus datos personales, dando importancia a la información por capas ya utilizada en otros ámbitos. A continuación, se contempla el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición y la obligación de bloqueo.
  • El título IV está dedicado al Responsable y encargado de tratamiento. En este punto debemos tener en cuenta que la mayor novedad que presenta el RGPD es el principio de responsabilidad activa, que exigirá realizar una valoración previa del riesgo que puede generar el tratamiento de los datos de carácter personal y, en base a ello, adoptar las medidas necesarias.

Adquiere una importancia muy destacada la figura del delegado de protección de datos. Su nombramiento puede tener carácter obligatorio o LOPD Unión Europeavoluntario, estar integrado en la organización o ser externo, y ser una persona física o jurídica. Su designación debe ser comunicada a la autoridad competente (AEPD) y pasará a formar parte de un registro, público y actualizado, de los delegados de protección de datos, que podrá ser accesible por cualquier persona.

Se prevé la posibilidad de acreditar los conocimientos en la materia mediante esquemas de certificación.

  • El título V regula las Transferencias internacionales de datos, identificando los supuestos de aprobación y los supuestos sometidos a autorización o información previa a la AEPD.
  • El título VI se refiere a las Autoridades de protección de datos y regula el ámbito de la AEPD y refleja la existencia de las autoridades autonómicas de protección de datos y el deber de colaboración entre ellas.
  • El título VII contempla el Procedimiento en caso de reclamaciones tramitadas por la AEPD. Esta regulación se limita a establecer el ámbito jurídico, la iniciación de procedimientos, la inadmisión de reclamaciones, el plazo de tramitación de los procedimientos y, en su caso, su suspensión; las actuaciones previas de investigación y las medidas provisionales.
  • El título VIII establece el Régimen sancionador, detallando qué infracciones tienen consideración de muy graves, graves y leves; qué sanciones se van a aplicar y su plazo de prescripción.
  • Por último, las disposiciones adicionales completan cuestiones como las medidas de seguridad en el sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos, entre otros.

Puede consultar aquí el anteproyecto de la ley orgánica de protección de datos de carácter personal.

Y no olvide comenzar a adaptar su empresa a la nueva normativa lo antes posible, para llegar a tiempo a su entrada en vigor el próximo 25 de mayo de 2018!