Expertos en privacidad realizan para Confilegal un balance de este primer año con nueva normativa de protección de datos española

La entrada en vigor de la nueva LOPDGDD no disipa las dudas de expertos y empresas sobre la aplicación del RGPD


Doce meses después, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales  (LOPDGDD) es ya una realidad. Esta norma, fruto de dos años de trabajo en el Parlamento, viene a engarzar con el nuevo Reglamento General de Protección de Datos (RGPD) e intentar aclarar algunos conceptos. Sin embargo, aún hay zonas grises por definir. La propia Agencia Española de Protección de Datos (AEPD) realizaba este jueves pasado una jornada haciendo su valoración de la aportación de dicha norma. Nuestra publicación ha pedido a varios expertos su opinión de esta normativa de privacidad.





Luis Javier Sanchez -  Confilegal

Jose Luis Piñar

 

José Luis Piñar –director general de la AEPD entre 2002 y 2007 y catedrático de Derecho Administrativo y coordinador de la Cátedra Google CEU de Privacidad– lideró  la ponencia de este anteproyecto en la Sección Tercera de la Comisión General de Codificación.

Su valoración de este primer año de la LOPDGDD es positiva: "Se ha puesto la protección de datos en la agenda de empresas, grandes y pequeñas, instituciones y sociedad en general".

Para este jurista “todavía hay cosas por aclarar de esta normativa, habrá que ver como encaja la Directiva sobre ‘e-privacy’ que está a punto de aprobarse. Pero la LOPDGDD ha ayudado a adaptarnos al nuevo RGPD. Este Reglamento es un texto mucho más completo de lo que fue la directiva anterior y ese ensamblaje entre ambas normas ha sido positivo y se ha logrado".

A juicio de Piñar, "se echa en falta el nuevo Estatuto de la AEPD, quien con este nuevo entorno normativo está cambiando su forma de proceder. También merece destacar el nuevo régimen sancionador, muy vinculado al RGPD. La sanción mayor puede ser hasta 20 millones de euros ahora según los artículos 73 y siguientes de esta norma europea. Prescriben a lo tres años si son superiores a 300.000 euros".

De hecho, otro tema importante es "cómo se va adaptar la AEPD al nuevo entorno normativo derivado del RGPD y de la LOPDGDD.

"Es posible que tenga que actuar de otra forma, ya no será solo constatar hechos e imponer sanciones. Ahora tendrá también que valorar circunstancias, el riesgo generado, las medidas adoptadas y si se han afectado los derechos de los titulares de los datos. De aquí tomará una decisión de sancionar o no", señala.

En este escenario, el gestionar los procesos transfronterizos, donde hay posibles infracciones en varios países pondrá a prueba la relación de los reguladores europeos ahora integrados en el Comité Técnico Europeo, donde España es uno de los países más avanzados a nivel de normativa y recursos.

"Son procedimientos complejos, en inglés, que se están gestionando en año y medio de media aproximada y que están poniendo a prueba la relación de la AEPD con sus reguladores", indica.

Éste experto revela que en este entorno "los mecanismos de autorregulación que establezcan las empresas tendrán mas protagonismo. Muchas compañías tienen sus códigos de conducta y sus dPOs tratarán de solucionar problemas menos graves antes de que acaben en la propia AEPD".

De hecho la nueva LOPDGDD amplia la cobertura del delegado de Protección de Datos [dPO], "imprescindible en el nuevo modelo de proactividad que ahora se pone en marcha".

Para Piñar, el artículo 24 del RGPD donde se habla de la proactividad y de la "accountability» [responsabilidad] es importante contar con "profesionales que gestionen la privacidad de empresas y administraciones en este modelo nuevo. El dPO es fundamental como órgano que está pensando para supervisar, orientar y colaborar pero no para decidir".

"La AEPD está potenciado la figura de estos profesionales de cara a la gestión de la privacidad de cualquier compañía.  En el artículo 37 de la LOPDGDD se fija su intervención como una especie de mediador en los procedimientos y así descargar de trabajo a la AEPD", añade este experto.

Una de las cuestiones que llama la atención de este nuevo entorno normativo son los derechos digitales del título X de esta nueva norma.

"Esa regulación no debería haber estado en esta nueva LOPD: Son temas relevantes que requerían otra reflexión serena y una norma específica para cada uno de ellos. Algunos derechos, como el de la desconexión digital son realmente importantes", remacha.

ES UNA REGULACIÓN MÁS COMPLETA

Ofelia Tejerina

Por su parte, Ofelia Tejerina, presidenta de la Asociacion de Internautas (AI), reconoce que la LOPDGDD ofrece "cierto aporte clarificador respecto a determinados aspectos del RGPD, y una mejora respecto de la anterior regulación, más completa ahora, pero no ha tenido un papel significativo en cuanto a cómo funcionaban las cosas antes de la reforma".

A su juicio, las novedades más destacadas son las que recoge el Título X, sobre los derechos digitales, y destaca que "no sólo ha incorporado deberes y derechos nuevos, sino que ha sido ciertamente polémico el cómo lo ha hecho en materia de propaganda electoral, respecto a datos de fallecidos, o la rectificación de contenidos en las redes sociales".

En cuanto al régimen sancionador, recuerda que "se prevé en el tono del principio de responsabilidad proactiva. Basado en criterios de graduación, el protocolo establecido para el procedimiento a seguir por la AEPD persigue demostrar si el infractor ha actuado en todo momento con la debida diligencia, si son necesarias medidas cautelares, un apercibimiento o directamente una multa".

Tejerina es de la opinión de que la nueva LOPDGDD consolida el papel del dPO en las organizaciones.

"Detalla supuestos en que es obligatorio contar con él, o ha señalado cuál debe ser su intervención en caso de reclamaciones de terceros, pero, por el contrario, no se ha delimitado su papel respecto al del abogado en la entidad responsable del fichero, o su responsabilidad frente a ésta cuando no quiere seguir sus instrucciones", relata.

En cuanto al título X de derechos digitales que la LOPDGDD incluye, Tejerina comenta que "aporta novedades muy interesantes y positivas. Ha dado luz a ciertos problemas con los que nos encontramos los juristas al intentar entender cómo ordenar relaciones sociales en las redes".

También cree que esta Ley Orgánica no era el lugar adecuado para regular dichos derechos. "Innova, impone y reforma el ordenamiento interno con criterios de más que dudosa constitucionalidad", dice.

Y recuerda que "así ocurrió con la posibilidad de clasificar ciudadanos por su ideología, y así creo que podría ocurrir sobre supuestos de hecho concretos, por ejemplo, cuando alguien trate de ejercitar su derecho de rectificación en las redes sociales, o trate de acceder a la información de algún fallecido en la nube".

Tejerina no descarta que se eleve al Constitucional una cuestión prejudicial, si considera que se debe ponderar y priorizar el ejercicio de otros derechos en juego, o los derechos de otros".

En cuanto a cómo afectará la LOPDGDD a la AEPD, esta experta destaca que "en algunos aspectos refuerza sus funciones y en otros su estructura. En mi opinión es destacable que se configure su dirección como ‘Presidencia’ y ‘adjunto’, y que éstos sean nombrados por el Gobierno (a propuesta del Ministerio de Justicia) siguiendo criterios de reconocida competencia profesional en materia de protección de datos».

Para Tejerina "es francamente positivo que se imponga este límite al Gobierno en la toma de una decisión tan importante, por el carácter de organismo administrativo autónomo e independiente que ostenta la AEPD, y que debe seguir demostrándolo".

El papel del regulador, opina, es cada vez más importante  y destaca su labor de promover actividades docentes en estas materias.


UN RETO PARA TODOS LOS OPERADORES IMPLICADOS

Rafel García del Poyo

Para Rafael García del Poyo, abogado y socio del despacho de abogados Osborne Clarke, donde dirige la práctica de Derecho de las Tecnologías de la Información y de la Propiedad Intelectual e Industrial, la nueva LOPDGDD "plantea  un reto para todos los operadores del mercado involucrados. De algún modo, obliga a renovar y regenerar numerosos negocios basados en los datos personales, pero, al mismo tiempo, ofrece una valiosa oportunidad para intentar lograr un justo equilibrio entre los derechos contemplados en favor de los ciudadanos y los lógicos intereses perseguidos por las empresas".

"El verdadero propósito de la LOPDGDD era el de completar y matizar determinados aspectos que el propio RGPD dejaba ‘abiertos’ a los ordenamientos nacionales», cuenta.

Sin embargo, "la LOPDGDD ha introducido además un número considerable de matizaciones con respecto a determinados tratamientos de datos personales que han sido históricamente objeto de un régimen muy específico en nuestro país".

En este contexto este jurista destaca que "son los tratamientos realizados mediante sistemas de videovigilancia, los sistemas de exclusión publicitaria, o la especial consideración jurídica de los datos de contacto de empresarios individuales y profesionales liberales".

En cuanto al régimen sancionador nuevo, García Del Poyo cree que "la ya conocida severidad del nuevo régimen sancionador delimitado por el RGPD ha sido uno de los puntos de mayor impacto social de la nueva normativa que, además de establecer un marco común para toda la UE, pretende servir de verdadero método disuasorio ante potenciales incumplimientos por parte de las empresas".

Sin embargo, aclara que "la LOPDGDD ha introducido determinados matices en la aplicación de este régimen sancionador europeo al marco legal del ordenamiento español –por ejemplo, en cuanto a la prescripción de las sanciones o en cuanto al régimen aplicable a las Administraciones Públicas–, y también precisa en ciertos casos la gravedad de las infracciones cometidas".

García del Poyo reconoce que la nueva LOPDGDD amplia el papel del dPO, "establece un listado de entidades que deberán designar un delegado de protección de datos y comunicarlo a la AEPD (por ejemplo, los establecimientos financieros de crédito), obligación esta que se basa sin duda en los riesgos que de manera habitual presentan los tratamientos de datos personales realizados por este tipo de compañías".

También aclara que "la LOPDGDD también introduce ciertas matizaciones con respecto a esta novedosa figura importada del derecho alemán al ordenamiento europeo. Entre ellas, podemos destacar las cualificaciones profesionales que el delegado de protección de datos debe reunir, indicando que su idoneidad podrá demostrarse, entre otros, mediante mecanismos voluntarios de certificación".

En este último punto, conviene destacar que la propia norma exime de aplicación al dPO del régimen sancionador y que el hecho de que las empresas dispongan de un DPO cuando no sea obligatorio podrá ser tenido en cuenta como criterio de graduación de las sanciones y medidas coercitivas que pudieran llegar a imponerse.

Respecto a los derechos digitales, incluidos en el Titulo X de esta nueva normativa de privacidad nacional, García del Poyo subraya que "que en el Preámbulo de la LOPDGDD ya se plantea que "una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de derechos digitales».

En su opinión "una vez que este reto aquí planteado se acometa, a buen seguro, estos derechos deberán gozar de un desarrollo específico –posiblemente a través del mecanismo de ley orgánica antes de que pueda ser desarrollado reglamentariamente- en el que se definan con mayor precisión los contornos de estos futuros "nuevos derechos fundamentales de la era digital".


banner afiliacin

pdfprintpmail