En estos momentos se está tramitando un nuevo proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, publicado en el Boletín Oficial de las Cortes Generales, de 24 de noviembre de 2017.
Más allá de que es seguro que habrá una nueva Ley que sustituirá la vigente 15/1999, de 13 de diciembre, lo más significativo son, cuanto menos, cinco aspectos que paso a destacar.
1- Habrá una doble regulación: la de la futura LOPD y la del Reglamento General de Protección de Datos (RGPD)
Tal y como se señala se señala en el artículo 1.2 del Proyecto; con la complejidad que ello supone y con la prevalencia del RGPD sobre la LOPD.
Por ello, un despacho especializado en protección de datos y nuevas tecnologías con presencia en Bruselas, como es Navas & Cusí Abogados, es garantía de profesionalidad a la hora de recibir el mejor asesoramiento, formación y prestación de servicios en esta materia.
2- Protección de datos de una persona fallecida
Como novedad para el Derecho español en materia de protección de datos se debe destacar la regulación contenida en el artículo 3 sobre la protección de datos de la persona fallecida, del que ya había una regulación en Cataluña (ley 10/2017, de voluntades digitales), pero que ahora gozará de una regulación de ámbito nacional.
3- Desaparece el sistema de inscripción de ficheros en el Registro de la Agencia Española de Protección de Datos
Ello determina que el sistema de protección sea idéntico para todas las personas físicas y jurídicas que tiene ficheros con datos personales, con la única diferencia que unos requerirán de un “Delegado de protección de datos”, externalizado o en plantilla, y otros no necesitarán de la tenencia de dicho Delegado, pero requerirán de un tercero que garantice la adecuación de los ficheros y de la protección de datos a las nuevas exigencias de la normativa comunitaria y nacional. Efectivamente, se impone una nueva política de previsión y prevención de infracciones, un sistema de accountability de cada fichero, que va a requerir de una protección más específica e individualizada.
4- La extensión de los supuestos en los que va ser obligatorio tener un Delegado de Protección de Datos, especialmente en lo que refiere al sector privado
En ese sentido, el artículo 35 del Proyecto LOPD, que establece la obligatoriedad de los responsables y encargados del tratamiento deban designar un delegado de protección de datos (DPD o DPO de Data Protection Officer) en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de colegios profesionales; colegios y centros docentes; Universidades públicas y privadas; empresas de telecomunicaciones; prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; entidades de ordenación, supervisión y solvencia de entidades de crédito; establecimientos financieros de crédito; entidades aseguradoras y reaseguradoras; empresas de servicios de inversión; distribuidores y comercializadores de energía eléctrica; entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito; entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; empresas de juego online y empresas de seguridad privada.
Pero, sobre todo, los más afectados son las instituciones y centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Es verdad que la mayoría de instituciones privadas que aparecen en este amplio elenco de entidades obligadas a tener un Delegado de Protección de Datos, interno o externalizado, no estaban obligadas a ello por el RGPD y será complicado que a la entrada en vigor puedan tener sus ficheros regularizados, pero Navas & Cusí ya ha sido designado por su experiencia, rigor y profesionalidad como DPD o DPO de diversas multinacionales europeas.
5- El régimen sancionador se va a mantener como está, con infracciones leves, graves y muy graves
Aunque deberemos de esperar a la aprobación definitiva de la LOPD, entrada en vigor que se quiere hacer coincidir con la plena eficacia del RGPD, el 25 de mayo de 2018, pero las sanciones, en el caso de muy graves pueden llegar hasta 20 millones de euros, ya que son las cuantías previstas en los artículos 83, apartados 4, 5 y 6.
Tal y como está redactado el Proyecto, hay un elevado grado de indefinición en la concreción de las cuantías de las sanciones, ya que, aunque se anuncia una voluntad por la Agencia Española de Protección de Datos de no imponer sanciones cuantiosas, la letra del RGPD no establece eso, y, en esta materia, se agradecería por la Ley española un elevado grado de concreción.
Además, conforme al artículo 76.4 del Proyecto LOPD, será objeto de publicación en el Boletín Oficial del Estado toda sanción que sea superior a un millón de euros cuando el infractor sea una persona jurídica y la autoridad competente sea la Agencia Española de Protección de Datos. Y ello, junto con la necesidad de dar noticia de las brechas de seguridad a los afectados, es algo que puede afectar bastante al prestigio de las personas jurídicas y entidades, por lo que conviene tener todo bien previsto y documentado.
En conclusión
Se impone una nueva normativa en materia de protección de datos, que quiere ser mucho más preventiva en los que refiere al respecto al derecho de protección de datos de carácter persona y que supone un cambio de modelo mucho más complejo y especializado. Confiar en Navas & Cusí Abogados no solo evita ser sancionado con multas de hasta 20 millones, sino que garantiza un elevado índice de calidad y transparencia en el cumplimiento de esta nueva normativa de protección de datos.