Blog

Novedades del proyecto de ley de la nueva LOPD

Hace unos días el Gobierno aprobó el Proyecto de ley de la que será la nueva norma rectora en materia de Protección de Datos de Carácter Personal. Este Proyecto de ley obedece a la entrada en vigor el pasado mes de mayo de 2016, del Reglamento europeo de Protección de Datos (UE) 2016/679. Una norma comunitaria que será de aplicación directa a todos los estados miembros de la UE, y que ha modificado sustancialmente los criterios legales de protección que hasta el momento estaban vigentes con la anterior Directiva comunitaria en materia de protección de datos personales (Directiva 95/46/CE.). Por ello, en previsión de la futura aplicación comunitaria del citado Reglamento europeo, concretamente a partir del 25 de mayo de 2018, las autoridades españolas han decidido sustituir la actual LOPD, la cual databa del año 1999, por una nueva norma que se adecúe de manera óptima a las nuevas obligaciones y responsabilidades establecida por la actual norma comunitaria. No obstante, lo aprobado hace unos días es un Proyecto de ley, estando aún pendientes los trámites parlamentarios oportunos para su aprobación definitiva.

Del nuevo texto legal aprobado, pueden extraerse una serie de novedades respecto de la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que además de considerarse sustanciales en diferentes ámbitos comerciales, profesionales e institucionales, integran todas y cada una de las modificaciones que el Reglamento europeo ha recogido a lo largo de su articulado, matizando sin embargo algunos puntos para una mejor adecuación a la realidad del tráfico de datos personales en España. Esta inclusión era de esperar, toda vez que como ya se ha apuntado, la aplicación del citado Reglamento Europeo es directa para todos los estados miembros sin necesidad de que cada país de la Unión dicte una norma de trasposición que lo haga aplicable en su territorio.

Exposición Motivos

Como novedades relevantes, llama la atención que el actual Proyecto de ley contenga una “Exposición de Motivos” que fundamente y exponga los fundamentos de su redacción y promulgación; algo de lo que, de forma anecdótica, la vigente LOPD carecía.

Consentimiento

Destaca la supresión de un tipo consentimiento que hasta la fecha, al menos en el vigente Real 1720/2007 de Protección de Datos[1], venia específicamente regulado y permitido, como era el consentimiento tácito; una fórmula de consentir un determinado tipo de tratamiento de datos personales por la sola omisión de respuesta. Si el afectado no manifestaba la negativa a permitir un tratamiento de datos personales en los 30 días siguientes a la recepción de la propuesta, se entenderá que se autorizaba el concreto tratamiento de datos personales propuesto. Con el nuevo proyecto de ley, se ha huido de este modelo de consentimiento, el cual, en no pocas ocasiones, ha generado inseguridad jurídica a los propios responsables de las instituciones, por cuanto en ellos recaía la carga de probar que efectivamente, el destinatario hubiera recibido correctamente la citada propuesta. Por el contrario, en el nuevo texto normativo, se concreta que por consentimiento se entenderá toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

 

Consentimiento emitido por menores de edad

Otra de las novedades más significativas introducidas, es la rebaja en la edad de los menores para consentir el tratamiento de sus datos personales pasando de los 14 años a los 13 años. Ello implica el reconocimiento de una madurez que, salvo en los casos en los que venga obligado por ley, no será necesaria la autorización complementaria de los padres o tutores a estos efectos, si el menor tiene 13 años o más. No obstante, debe remarcarse que esta habilitación del menor debiera limitarse por vía reglamentaria, en similares términos a como consta en el vigente Real Decreto 1720/2007 de Protección de Datos. Dichos límites vienen definidos en la actualidad por la prohibición de obtener a través de la autorización del menor, información sobre los demás miembros del grupo familiar, o sobre las características del mismo, así como información relativa a los datos referentes a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, según el anterior Real Decreto, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior. Por ello, a expensas de la aprobación definitiva de la nueva LOPD, deben esperarse similares limitaciones en un desarrollo reglamentario posterior al respecto del consentimiento de los menores de edad.

 

Delegado de Protección de Datos

A nivel de control de interno y de interlocución con las autoridades competentes (véase la Agencia Española de Protección de Datos), debemos destacar la creación de la figura del Delegación de Protección de Datos. Dicha figura fue aprobada por el Reglamento europeo de Protección de Datos (UE) 2016/679, y su nombramiento resulta obligatorio para determinadas instituciones; a titulo ilustrativo se señalan los centros sanitarios, los colegios profesionales, los centros docentes, las universidades, los establecimientos financieros de crédito, las entidades aseguradoras y reaseguradores, etc. (Ver listado completo en el artículo 35 del Anteproyecto de ley previo).

 

Protección de datos de las personas fallecidas

En lo que se refiere a la protección de los datos personales de las personales fallecidas, la nueva normativa implica una garantía mayor de protección en favor de sus familiares. Así, se articula un sistema de garantías para los familiares del fallecido que les habilita para, no sólo comunicar su óbito al responsable del tratamiento y una eventual cancelación de dichos datos por mor del fallecimiento de su familiar, sino que con la nueva propuesta legislativa, los familiares también tendrán derecho de acceso al contenido de la información personal que las instituciones dispongan de dicha persona fallecida. La única limitación que se establece a estas potestades es el respecto a la voluntad anticipada de la persona fallecida, de forma que, si dicha persona hubiera prohibido expresamente tal acceso por parte de sus familiares, la institución que hubiera recibido dicha instrucción, se verá en la obligación de respetarla, denegando en consecuencia cualquiera de los derechos reconocidos por la futura LOPD a sus familiares.

 

Protección de datos en el ámbito sanitario

En lo que se refiere a las novedades dentro del ámbito del tratamiento de datos de salud, lo cierto es que las novedades las encontramos en el propio Reglamento europeo de Protección de Datos (UE) 2016/679, y ello, debido a que como se recoge en la Disposición Adicional Novena del Anteproyecto de ley previo, el Gobierno, en un plazo de dos años desde la entrada en vigor de esta ley orgánica remitirá a las Cortes un proyecto de ley en el que establecerá condiciones adicionales y, en su caso, limitaciones al tratamiento de datos genéticos, biométricos o relativos a la salud. Por ello, entre tanto, debemos acudir al Reglamento Europeo de Protección de Datos (UE) 2016/679 para comprobar las primeras novedades introducidas dentro del tratamiento de datos dentro del ámbito sanitario. En primer lugar, debemos destacar dos de sus definiciones recogidas en su articulado, como son las definiciones de “datos relativos a la salud” y “datos genéticos”. En relación a la primera de ellas, el Reglamento incorpora un matiz novedoso al concepto tradicional de datos relativo a la salud, como es el hecho de acoger también bajo esta definición, la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona. Asimismo, con la inclusión de la definición de datos genéticos, el presente Reglamento revela la importancia que en la actualidad asistencial e investigadora ostenta la genética; piedra angular de la medicina personalizada y preventiva, que progresivamente de forma muy notable, va formando parte de las investigaciones biomédicas y clínicas que se desarrollan tanto por los centros de investigación como por la propia industria farmacéutica.

En segundo lugar, en lo concerniente a la legitimidad para el tratamiento de lo que el Reglamento define como datos sensibles, este restringe su licitud, entre otros supuestos, a que el ciudadano haya otorgado su consentimiento explícito o que su tratamiento sea necesario para fines de medicina preventiva, para el diagnóstico médico, para la prestación de asistencia o tratamiento de tipo sanitario o social, así como para la gestión de los sistemas y servicios de asistencia sanitaria; no obstante, dicho tratamiento queda supeditado a que el mismo sea realizado por un profesional sujeto a la obligación de sujeto profesional.

Igualmente, debe destacarse la referencia que el Reglamento Europeo hace en repetidas ocasiones al tratamiento de datos personales con fines de investigación científica y sus requisitos. De la lectura de sus diferentes artículos nos encontramos ante un tipo de tratamiento que puede arrojar ciertas dudas interpretativas para su correcta aplicación. Así, si bien los datos personales deberán ser recogidos con una finalidad determinada y explicita, los mismos no podrán ser utilizados posteriormente de manera incompatible con dicha finalidad. Sin embargo, el Reglamento dispone que su tratamiento posterior con fines científicos no sería incompatible, matizando no obstante que, tratándose de datos sensibles (datos de salud), su tratamiento debe ser autorizado de forma explícita por el interesado, o como en el caso que nos ocupa, que su tratamiento sea necesario para desarrollar fines de investigación científica entre otros. Sin embargo, al acudir a los considerandos previos del propio Reglamento, puede apreciarse cómo sí se articulan una serie de obligaciones al objeto de garantizar el poder de control que sobre el uso y destino posterior de sus datos personales ostentan los ciudadanos de la UE.

Concretamente, el considerando número 33 del Reglamento Europeo es claro a este respecto, al disponer una realidad que se aleja de una permisibilidad absoluta en el uso posterior de los datos personales con fines científicos: “Con frecuencia, no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida”.

Por tanto, parece limitarse el ejercicio del consentimiento de los ciudadanos cuyos datos vayan a ser utilizados ulteriormente con fines de investigación científica, restringiendo el mismo, únicamente, a determinadas áreas de investigación o partes de un proyecto. Sin embargo, no se concretan estas posibilidades, dejando a nuestro entender, en manos de los Estados miembros su definición e interpretación. Cuestión esta última que, salvo mejor criterio, debiera de abordarse en la previsión que el previo Anteproyecto de ley establecía en su Disposición Adicional Novena: “el Gobierno, en un plazo de dos años desde la entrada en vigor de esta ley orgánica remitirá a las Cortes un proyecto de ley en el que establecerá condiciones adicionales y, en su caso, limitaciones al tratamiento de datos genéticos, biométricos o relativos a la salud”.

 

Sin bien existen modificaciones adicionales, lo cierto es que el texto del nuevo Proyecto de ley, a expensas de su aprobación definitiva, prevé su desarrollo reglamentario por medio de Real Decreto; norma reglamentaria que, a resultas del ejemplo del actual Real Decreto 1720/2007, de Protección de Datos, seguro reforzará aún más si cabe, la seguridad jurídica del ciudadano y de las entidades e instituciones, en el conocimiento e interpretación de los nuevos postulados de una norma legal cuyo ámbito de aplicación se restringe a garantizar un el derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución.

 

 

[1] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

Comments are closed, but trackbacks and pingbacks are open.