El primer borrador aborda asuntos como las infracciones y sanciones, la información crediticia o la edad de consentimiento, además de definir’ la figura del delegado de protección de datos, entre otros asuntos.

El Reglamento General de Protección de Datos (RGPD) de la UE entrará en vigor el 25 de mayo de 2018. Antes de esa fecha, España tendrá que haber aprobado una nueva Ley Orgánica de Protección de Datos (LOPD) que adapte la normativa nacional a las disposiciones contenidas en el reglamento europeo.

El primer paso ya ha sido dado con la presentación de la primera versión del anteproyecto de esta norma por parte del Ministerio de Justicia. Sin duda, el texto sufrirá cambios antes de ser aprobado, pero se convierte en una base para que los expertos puedan valorar su contenido.

El borrador, según explica Paula Fernández-Longoria, counsel de Bird & Bird, “es un texto amplio y completo -78 artículos- en el que se incluyen cuestiones en las que el RGPD remite a los estados miembros, así como otros temas adicionales que completan el reglamento, como el tratamiento de datos de personas fallecidas, de la videovigilancia, los tratamientos de datos de contacto y de empresarios fallecidos o los relativos a sistemas de información de denuncias internas en el sector privado”.

Sin sanción

Los responsables de las administraciones públicas que cometan una infracción contra la protección de datos no serán sancionados, sino que simplemente serán apercibidos, y si se tratara de un caso grave, se iniciarían acciones disciplinarias.

“En definitiva -añade Paloma Arribas del Hoyo, letrada de Pons IP- aclara aspectos que se esperaban conocer después de la entrada en vigor del RGPD, pero quedan cuestiones que deberán ser matizadas y detalladas vía real decreto, normativa de desarrollo o circulares de la Agencia de Protección de Datos”.

Entre las novedades más relevantes, los letrados destacan las siguientes:

Delegado de protección

Jesús Yáñez, socio del área de privacidad de Ecija, apunta que la figura de delegado de protección de datos (DPO, por sus siglas en inglés) aparece definida en el texto siguiendo la línea del RGPD, algo que le parece positivo. Sin embargo, también comenta que, según la definición utilizada, “prácticamente cualquier empresa que sea prestador de servicios de la sociedad de la información según la ley -que serían a día de hoy cualquier compañía que tenga una actividad económica en Internet (portal web, compra venta online, etcétera)- deberá contar con un DPO, algo quizá un poco exagerado, y que habrá que delimitar”.

En esta misma línea se mueven desde el despacho Abanlex. El socio Pablo Burgueño añade en este sentido que “la normativa arroja seguridad jurídica para que no quepa duda de en qué casos es necesario designar un DPO, pero la lista que enumera el anteproyecto no es cerrada y será necesario que las empresas estudien y determinen si requieren de esta figura”.

Personas fallecidas

Aunque no se trate de un tema de vital importancia, todos los expertos entienden como algo positivo que se legisle sobre los datos de las personas fallecidas. Para Yáñez, el objetivo de este apartado es “generar una especie de extensión del derecho al olvido tras la muerte y conceder la posibilidad a los herederos de poder acceder, así como rectificar o suprimir datos de los fallecidos”. Desde Abanlex destacan que la normativa también prevé que el titular de los datos, antes de su muerte, pueda indicar la prohibición expresa al acceso a esta información personal por sus herederos.

Consentimiento y edad

“La regulación del consentimiento es escueta y deja sin efecto el consentimiento tácito, lo cual será un problema para las empresas que cuenten con este consentimiento como base legítima para sus tratamientos previa a la entrada en vigor de la ley. Respecto a la edad mínima para otorgarlo, se ha optado por rebajarla a los 13 años, que era la máxima rebaja posible establecida por el RGPD”, explica Arribas del Hoyo.

Infracciones y sanciones

Fernández-Longoria destaca que este nuevo texto aumenta “el número de infracciones tipificadas con respecto a las incluidas en la actual LOPD: las leves pasan de 4 a ser 19; las graves, de 11 a 28; y las muy graves, de 4 a 16. En relación con las sanciones a imponer y los criterios de graduación de las mismas, el texto se remite al RGPD, pero en el artículo que habla de la prescripción de las sanciones y los umbrales existentes en la actual LOPD se mencionan, lo cual puede ser un indicativo del criterio que se seguirá a la hora de imponer sanciones”.

Videovigilancia laboral

El texto también contempla el asunto de la videovigilancia en el ámbito laboral. En este caso, desde Abanlex afirman que se contempla la posibilidad de no tener que informar expresamente al trabajador, “bastando la simple colocación de carteles de videovigilancia en las instalaciones de la empresa para legitimar la captación de imágenes cuando hayan grabado la comisión flagrante de un acto ilícito”.

Información crediticia

El borrador también desarrolla el asunto de los ficheros de morosidad. Según explica Yáñez, en el texto se especifica que no podrán entrar en esta lista las deudas que sean inferiores a los 50 euros y éstas deberán desaparecer del fichero transcurridos los 5 años.

Derecho de afectados

Por último, como comenta Arribas del Hoyo, el texto también regula los derechos de los afectados, “pero parece olvidar el derecho a no ser objeto de decisiones basadas en el tratamiento automatizado , incluida la elaboración de perfiles”.

Fuente: Expansion