Actualidad

La regulación de la protección de datos en España.

25.04.2018

La regulación de la protección de datos en España.

El derecho fundamental del individuo a la protección de sus datos de carácter personal encuentra reconocimiento constitucional en España a través del artículo 18.4 de la Constitución española de 1978, según el cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.


Pese a tal previsión, la primera regulación legal sistemática de esta materia no se llevó  a cabo sino 14 años después, por medio de la ley orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, posteriormente sustituida por la vigente ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que fue fruto de la transposición de la Directiva 95/46, del Parlamento Europeo y del Consejo, y cuyo desarrollo reglamentario se realizó en 2007, con la aprobación del Real Decreto 1720/2007, de 21 de diciembre.


Esta ley de 1999 y su posterior reglamento de desarrollo de 2007, constituyen, a día de hoy, la normativa de regulación de la protección de datos en vigor en España. Esta situación cambiará el próximo 25 de mayo, fecha en que el Reglamento Europeo de Protección de Datos de 2016 (por el que se deroga la Directiva 95/46/CE) directa y obligatoriamente aplicable. Mientras se redacta una nueva ley, el Reglamento europeo será la norma básica en esta materia, que quedará complementada por la ley de 1999 en todo aquello que ésta no se oponga al mencionado Reglamento.


Esta circunstancia ha determinado que en España se hayan iniciado los trabajos legislativos necesarios para aprobar antes de esa fecha una nueva norma legal que adapte y complete el marco jurídico previsto en la ley de 1999 para cumplir con las exigencias del texto europeo, y evite, al mismo tiempo, contradicciones entre el Reglamento y la normativa interna (de forma similar a lo que pretende el Proyecto de ley español, El Bundestag alemán aprobó el pasado 12 de mayo de 2017 la Ley “Datenschutzanpassungs- und Umsetzungsgesetz - DSAnpUG-EU” en la cual se introducen importantes modificaciones para adecuar el régimen general de la protección de datos al Reglamento (UE) 2016/679, al tiempo que se transpone la Directiva (EU) 2016/680).
Esta tarea, no obstante, parece difícil que se logre a tiempo, pues, si bien ya existe un Proyecto de ley que el Gobierno de España remitió (en noviembre pasado) a las Cortes Generales españolas para la adaptación, los trámites parlamentarios que han de seguirse, primero en el Congreso, luego en el Senado y finalmente de nuevo en el Congreso, plantean dudas acerca de la vigencia, antes del 25 de mayo, de una nueva norma nacional que regule la protección de datos.


A expensas de la redacción final que será aprobada por la Cortes Generales, el texto del proyecto de ley que ahora se discute en el Parlamento presenta una serie de novedades derivadas de la transposición del Reglamento Europeo, e incluye otras que, además, profundizan, detallan y especifican nuevas situaciones que se escapan del régimen comunitario. Entre todas estas novedades, podemos destacar, de forma esquemática las siguientes:


-    Se amplían los derechos de los individuos para adicionar el derecho al olvido y el derecho a la portabilidad de los datos de carácter personal.

-    Se regulan los datos personales referidos a las personas fallecidas, estableciéndose que los herederos puedan ejercitar el derecho de acceso, rectificación o supresión respecto de los datos del fallecido, con sujeción, en su caso, a las instrucciones del fallecido.

-    Se recoge que el consentimiento del afectado para el tratamiento de datos ha de ser libre, informado, específico e inequívoco, lo cual se traduce en que el consentimiento tácito deja de ser válido, y en la exigencia de que el consentimiento conste de manera “incuestionable” a través de una declaración del interesado o una acción positiva que exteriorice el acuerdo, sin que pueda, por tanto, deducirse del silencio o de la inacción del afectado. Con respecto al consentimiento dado por un menor de edad, se exige en todo caso para su validez que tenga más de 13 años. Si fuera aún menor, se habrá de recurrir a la intervención del titular de la patria potestad o del tutor.

-    Se amplía la información que se debe dar a los interesados en relación con el tratamiento de sus datos.

-    Las personas y empresas que traten datos de terceros en su actividad profesional deberán establecer procedimientos a través de los cuales quede garantizada la aplicación de la normativa de protección de datos, y poder demostrar ante terceros la efectiva aplicación y cumplimiento de la normativa de protección de datos. La elaboración de los procedimientos empresariales ha de tomar en cuenta la protección de datos desde un primer momento.

-    En el debido control de los datos se introduce el principio de responsabilidad activa, que implica una valoración previa de los riesgos derivados del tratamiento de datos por el responsable o por el encargado, fruto de la cual se establecerán las medidas que proceda adoptar en cada caso.
 
-    Las empresas con más de 250 empleados que realicen tratamiento de datos personales y quienes operen con datos sensibles han de llevar un registro interno de todos los tratamientos de datos personales que lleven a cabo.

-    Se crea la figura del Delegado de Protección de Datos, que es la persona que, dentro de las organizaciones, se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos, de gestionar estos procesos y de realizar funciones de enlace con la autoridad de control. Más allá de los casos exigibles conforme al Reglamento, el proyecto de ley establece hasta15 supuestos en que el puesto de delegado es obligatorio, como en colegios profesionales; ciertos centros docentes; entidades que presten servicios de comunicaciones electrónicas; prestadores de servicios de la sociedad de la información, o entidades de crédito.

-    La norma promueve, además, la creación de códigos de conducta o mecanismos de autorregulación, tanto en el sector público como en el privado y, dentro de este último, se contempla que estos códigos de conducta  puedan tener tanto un carácter sectorial, o que referirse a grupos de empresas, o bien a una sola empresa.

-    Se regula la Autoridad nacional independiente de control de datos, que en España es la Agencia española de Protección de Datos, sin perjuicio de que puedan existir autoridades autonómicas de protección de datos con funciones de supervisión, y se regula la cooperación y coordinación entre dichas autoridades, sobre la base de la existencia de una “ventanilla única”. 

-    Las violaciones en la seguridad que puedan afectar a los datos personales han de ser notificadas a la Autoridad de control en las siguientes 72 horas, como plazo máximo, así como a los afectados, en caso de ser datos sensibles o especialmente protegidos.

-    Se incrementan las cuantías de las sanciones que pueden ser impuestas en esta materia a un porcentaje de la facturación anual (entre el 2 y el 4%) o una cuantía de hasta 20 millones de euros.

-    Todo esto viene además acompañado de un cuerpo de severas sanciones en caso de quebrantamiento de las disposiciones de la ley. Se espera con ello un efecto disuasorio que se traduzca en un respeto general de la ley.


Sin embargo, y a pesar de todos estos esfuerzos legislativos, no queda aún claro cuándo verá la luz la nueva ley y cuál será su contenido final. Los escollos que sustentan esta incertidumbre son, principalmente, la palpable demora por parte del Gobierno para presentar su proyecto de ley -pese a ser un buen conocedor de los plazos parlamentarios; la reacción del resto de grupos parlamentarios, que se ven obligados a dar curso a una ley tan importante conforme a un calendario demasiado ajustado; el conjunto de enmiendas al articulado que serán objeto de debate, tanto en el Congreso de los Diputados como en el senado, y finalmente, los recelos de los partidos nacionalistas, que denuncian posibles conflictos de competencia con las agencias autonómicas encargadas de velar por la protección de datos dentro de su ámbito regional.

Con todo esto, es preciso prever qué sucedería si en efecto la nueva norma no resulta aprobada antes del 25 de mayo. Como ya se ha adelantado, en este supuesto el Reglamento sería de aplicación directa y obligatoria, derogando de facto toda disposición de la Ley de 1999 que resulte contradictoria. No obstante, el viejo articulado seguirá vigente en todo lo demás. Es decir, el marco jurídico de protección de datos en España quedará dividido en varias fuentes, entre las cuales una sólo (la ley de 1999) estará en vigor parcialmente y no habría norma que desarrolle las cuestiones más novedosas del Reglamento, generando así inseguridad jurídica. Este eventual escenario ha de motivar al legislador español, aún más si cabe, a cumplir con sus obligaciones comunitarias.



Ver todas las noticias