Blogosfera Navas & Cusí

Nuestro bufete de abogados Navas & Cusí con sedes en Madrid y Barcelona posee carácter multidisciplinar y con una vocación internacional (sede en Bruselas), está especializado en derecho bancario , financiero y mercantil.
Contacta con nosotros
Para garantizar la calidad y la atención personalizada, atendemos con cita previa presencial o videoconferencia. No trabajamos a resultados.

El-Proyecto-de-la-nueva-Ley-Orgánica-de-Protección-de-Datos-de-Carácter-Personal-Navas-&-Cusí-Abogados-Bruselas

En estos momentos se está tramitando un nuevo proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, publicado en el Boletín Oficial de las Cortes Generales, de 24 de noviembre de 2017 y en el que nuestro Consejero Académico, Javier Plaza, Catedrático de Derecho Civil, compareció como experto el pasado día 15 de marzo de 2018 en la Comisión de Justicia del Congreso de los Diputados para realizar sus valoraciones y sugerencias.

Más allá de que es seguro que habrá una nueva Ley que sustituirá la vigente 15/1999, de 13 de diciembre, lo más significativo son, cuanto menos, cinco aspectos que paso a destacar.

El primero es que habrá una doble regulación: la de la futura LOPD y la del Reglamento General de Protección de Datos (RGPD) tal y como se señala se señala en el artículo 1.2 del proyecto; con la complejidad que ello supone y con la prevalencia del RGPD sobre la LOPD.

Como novedad para el Derecho español en materia de protección de datos se debe destacar la regulación contenida en el artículo 3 sobre la protección de datos de la persona fallecida, del que ya había una regulación en Cataluña (ley 10/2017, de voluntades digitales), pero que ahora gozará de una regulación de ámbito nacional.

El tercer aspecto es que desaparece el sistema de inscripción de ficheros en el Registro de la Agencia Española de Protección de Datos. Ello determina que el sistema de protección sea idéntico para todas las personas físicas y jurídicas que tiene ficheros con datos personales, con la única diferencia que unos requerirán de un “Delegado de protección de datos”, externalizado o en plantilla, y otros no necesitarán de la tenencia de dicho Delegado, pero requerirán de un tercero que garantice la adecuación de los ficheros y de la protección de datos a las nuevas exigencias de la normativa comunitaria y nacional. Efectivamente, se impone una nueva política de previsión y prevención de infracciones, un sistema de accountability de cada fichero, que va a requerir de una protección más específica e individualizada.

El cuarto es la extensión de los supuestos en los que va ser obligatorio tener un Delegado de Protección de Datos, especialmente en lo que refiere al sector privado.

En ese sentido, el artículo 35 del Proyecto LOPD, que establece la obligatoriedad de los responsables y encargados del tratamiento deban designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.

b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.

g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Nava & Cusí Abogados ya es Delegado de Protección de Datos oficial de dos prestigiosas multinacionales, y ya ha comenzado a recabar el consentimiento lícito para adaptarse al DPO.

Es verdad que la mayoría de instituciones privadas que aparecen en este amplio elenco de entidades obligadas a tener un Delegado de Protección de Datos, interno o externalizado, no estaban obligadas a ello por el RGPD y será complicado que a la entrada en vigor puedan tener sus ficheros regularizados.

Por último, aunque deberemos de esperar a la aprobación definitiva de la LOPD, entrada en vigor que se quiere hacer coincidir con la plena eficacia del RGPD, el 25 de mayo de 2018, es que el régimen sancionador se va a mantener como está, con infracciones leves, graves y muy graves, pero las sanciones, en el caso de muy graves pueden llegar hasta 20 millones de euros, ya que son las cuantías previstas en los artículos 83, apartados 4, 5 y 6.

Tal y como está redactado el Proyecto, hay un elevado grado de indefinición en la concreción de las cuantías de las sanciones, ya que aunque se anuncia una voluntad por la Agencia Española de Protección de Datos de no imponer sanciones cuantiosas, la letra del RGPD no establece eso, y, en esta materia, se agradecería por la Ley española un elevado grado de concreción.

Además, conforme al artículo 76.4 del Proyecto LOPD, será objeto de publicación en el Boletín Oficial del Estado toda sanción que sea superior a un millón de euros cuando el infractor sea una persona jurídica y la autoridad competente sea la Agencia Española de Protección de Datos. Y ello, junto con la necesidad de dar noticia de las brechas de seguridad a los afectados, es algo que puede afectar bastante al prestigio de las personas jurídicas y entidades, por lo que conviene tener todo bien previsto y documentado.

En definitiva, se imponte una nueva normativa en materia de protección de datos, que quiere ser mucho más preventiva en los que refiere al respecto al derecho de protección de datos de carácter persona y que supone un cambio de modelo mucho más complejo y especializado.

Por ello, Nava & Cusí Abogados está organizando sesiones de formación y de información específicas, especialmente para instituciones y organizadas privadas que requieren por Ley de la presencia de protección de datos.

 

> Leer más en nuestro blog sobre noticias de Derecho Comunitario y de la Unión Europea
> Leer más en nuestro blog sobre noticias de Derecho de las Nuevas Tecnologías

Author
Navas & Cusí Abogados
Artículo anterior Artículo siguiente