¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo de Protección de Datos?

¿Cómo habrá que adaptar la nueva LOPD al Reglamento Europeo de Protección de Datos?

|
24/3/2017 05:58
|
Actualizado: 16/11/2017 11:37
|

En unas semanas los trabajos de la Agencia Española de Protección de Datos (AEPD) y la sección de derecho público de la Comisión General de Codificación del Ministerio de Justicia cristalizarán en un primer borrador del anteproyecto de ley de modificación de la Ley Orgánica de Protección de Datos (LOPD), un cambio necesario ante la entrada en vigor del próximo Reglamento Europeo de Protección de Datos (RGPD) en mayo de 2018.

El objetivo es que el Parlamento haya aprobado la modificación de la Ley en mayo de 2018, cuando el nuevo reglamento europeo de protección de datos será de aplicación directa. Por este motivo, hemos pedido a diferentes operadores del sector implicados su opinión sobre esa reforma y su contenido. Aquí hay opiniones de IABSPain, patronal digital de la publicidad, Asociacion de Internautas, APEP, Asociación de Expertos en Privacidad y la Asociación Española para el Fomento de la Seguridad en la Información (ISMS Forúm)

IABSpain. Una oportunidad para evitar la inseguridad jurídica

Paula Ortiz, es la directora jurídica y de relaciones institucionales de IABSpain, patronal de la publicidad digital, un sector que en 2015 facturó en inversión 1288 millones de euros, una cifra que sigue crece año a año. La LOPD y toda la normativa sectorial que afecta de manera directa o indirecta a la protección de datos debe adaptarse al nuevo Reglamento. La nueva norma debería proporcionar la máxima seguridad jurídica posible y contribuir a la vez al desarrollo de la economía basada en datos, garantizando la claridad, la transparencia y el poder de control sobre sus datos de los ciudadanos”.

La nueva norma debería proporcionar la máxima seguridad jurídica posible y contribuir a la vez al desarrollo de la economía basada en datos

Sobre la nueva LOPD y aspectos que debe tener en cuenta, Ortiz destaca que “es indudable la necesidad de aumentar la confianza en el tratamiento de datos, pero no debemos olvidar que el Tribunal Constitucional ha dictaminado que ningún derecho es absoluto y estos tienen que ser considerados con respecto a su función en la sociedad”.

Paula Ortiz, directora jurídica y de relaciones institucionales de IABSpain.

Nuestra interlocutora señala que “en la consulta pública llevada a cabo por el Ministerio de Justicia, en IAB ya trasladamos las preocupaciones del sector publicitario digital. Nos referíamos en nuestra respuesta a la necesidad de clarificar qué se considera finalidad principal y accesoria y cómo pueden interactuar de cara a legitimar tratamientos, la edad para prestar el consentimiento de los menores, la necesidad de definir qué se consideran efectos legales significativos en la elaboración de perfiles”.

Al mismo tiempo, otras cuestiones que preocupan al sector digital tienen que ver con “cómo se va a aterrizar el derecho a la portabilidad de datos, por ejemplo aclarando que los datos inferidos no sean objeto de este derecho, si no solo a aquellos que se han aportado activamente por el usuario, ya que puede suponer trasladar todo el know how de la empresa, cómo se va a llevar a cabo realmente el derecho de supresión, y su ámbito territorial o el reconocimiento de la ventanilla única en la legislación española”.

La nueva LOPD debe permitir trabajar con los datos recabados bajo el actual régimen normativo

Para Paula Ortiz, “uno de los elementos que me resultan más preocupantes es la imposibilidad de seguir tratando datos que se han recogido de manera legal con la actual legislación, y en concreto con el consentimiento. En ese sentido, la nueva ley debería recoger formas que, con las garantías adecuadas, permitan continuar tratando datos basados en el consentimiento cuando se ha recabado de forma tácita, algo legítimo bajo el actual régimen normativo”.

A su juicio, “en caso contrario, puede darse un incumplimiento masivo y sobrevenido, con unas posibles consecuencias económicas significativas, lo que puede suponer un serio riesgo para la viabilidad de un sector tan importante para la economía digital como el de la publicidad. Además, también habría que aclarar los límites entre el consentimiento expreso e inequívoco”.

Desde su perspectiva “el interés legítimo debería tener un importante papel en la nueva norma, configurándose como la base jurídica fundamental para el tratamiento de datos. El legislador español debería articular el texto normativo de forma que se mantenga el espíritu del RGPD en su literalidad y se puedan aplicar de forma flexible los criterios, y pudiendo usar el interés legítimo como base para el tratamiento tras un análisis equilibrado de su utilización frente a los intereses o los derechos y libertades fundamentales”.

Internautas, actualización necesaria

Desde la Asociación de Internautas, su directora jurídica, Ofelia Tejerina aclara que “acabamos de conocer que actualmente, según el barómetro del Centro de Investigaciones Sociológicas (CIS), más del 70% de los españoles están preocupados por el uso que otros hacen de sus datos personales”.

Ofelia Tejerina, directora jurídica de la Asociación de Internautas.

Su valoración de este dato es la siguiente “esto demuestra por fin que cada vez somos más conscientes de los riesgos que implica, aunque no creo que sea tanto por mérito del sistema educativo, o por la creación de nuevas leyes con imposición de sanciones económicas (que también lo es, por supuesto), sino más bien por experiencias negativas en carne propia o de terceros cercanos”.

Y advierte que el día a dia tiene que ver con “las estafas en Internet, el spam en nuestro correo y aplicaciones móviles, la vida al descubierto en las redes sociales, el ciberacoso, etc. Yo no sólo lo vemos en las noticias, casi todos conocemos a alguien que en mayor o menor medida ha sufrido algún daño por el mal uso de sus datos personales. Sin embargo, parece que aún hay un 61,8% que “nunca o rara vez lee las políticas de privacidad de las páginas que visita”.

El nuevo Reglamento europeo de Protección de Datos de 2018 debe acompañarse de programas educativos para conocer mejor nuestros derechos

En su opinión, “actualizar la Ley de Protección de Datos es necesario, pero más lo sería actualizar los programas educativos. Lo era ya hace 10 años, que aunque había normas que nos protegían, ni sabíamos cómo enfrentarnos a este derecho. Nuestra LOPD fue “renovada” con el Reglamento de desarrollo en 2007, pero a la vista de cómo el nuevo Reglamento europeo  (RGPD) se adapta a los cambios del comportamiento humano “digital”, no queda más remedio que plantearse un proceso legislativo de actualización”.

Lo deseable es que se permita el debate social y que tengamos al final un resultado jurídicamente sensato con las circunstancias actuales

Sobre dicha actualización cree nuestra interlocutora que quizás debe ser menos “formalista, tal vez más flexible con resolución de conflictos por vías alternativas, tipo arbitral o de mediación, o dirigida a la prevención e información diligente de supuestos de “crisis”, a la distinción clara entre imprudencia y culpa, a la restauración efectiva de derechos y el resarcimiento (real) de quien se haya visto lesionado”.

También en esa actualización indica que debería “justificar la nueva figura del DPO y su relación con el responsable de seguridad y del fichero, que delimite la correspondencia del “derecho al olvido” o supresión con los derechos transparencia, información, acceso, rectificación, limitación del tratamiento, portabilidad de datos y oposición, que exija la privacidad desde el diseño, que ordene el sistema de ventanilla única, etc.”

Sobre la normativa Tejerina indica que “ el PSOE ha dado un primer paso con su proposición no de ley, pero confío en que no se quiera tramitar a lo loco . Lo deseable es que se permita el debate social y que tengamos al final un resultado jurídicamente sensato con las circunstancias actuales, pero también con vocación de subsistencia ante cambios que puedan surgir corto o medio plazo”.

APEP, profesionales de la privacidad

Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP) indica que esta entidad representa los intereses de los profesionales de la privacidad, “que son quienes están en la primera línea de aplicación práctica de las normas de protección de datos (y su interrelación con otras), al asesorar a responsables y encargados de tratamiento y estando llamados muchos de ellos a desempeñar el futuro rol de Delegados de Protección de Datos (DPD), internos o externos”.

Cecilia Álvarez, presidenta de Asociación de Profesionales Expertos en Privacidad (APEP).

Alvarez recuerda que APEP sometió sus comentarios a la consulta pública abierta por el Ministerio de Justicia el pasado 7 de febrero sobre distintos aspectos a tener en cuenta en la norma, destacando los siguientes: En primer lugar destaca la necesidad de poner en valor a los profesionales de la privacidad “ numerosos aspectos que no están claros, sobre la figura del Delgado de Proteccion de Datos (DPO) tal y como pusimos de manifiesto en los comentarios preparados en el seno de CEDPO (Confederation of European Data Protection Organisations)”.

En su opinión “ siendo fundamental el papel del DPD en el Reglamento europeo y obligatorio en el sector público y en aquellos tratamientos que se han considerado de mayor riesgo, la voz de los profesionales de la privacidad, a través de sus asociaciones representativas, debe estar presente en el Consejo Asesor de la AEPD así como en las normas que afecten a la protección de datos personales o en la elaboración de modelos o guías de protección de datos que las autoridades de control de protección de datos u otras instituciones del gobierno produzcan”.

La nueva norma debe no fragmentar el mercado interior y regular únicamente al aquello que sea imprescindible para que el Reglamento europeo pueda aplicarse en España

Sobre la norma señala que debe procurar no fragmentar el mercado interior y regular “únicamente al aquello que sea imprescindible para que el Reglamento europeo pueda aplicarse en España, como las bases legales del tratamiento vinculadas a las leyes nacionales y de contar con una norma flexible para adaptarse a la evolución de las tecnologías y prácticas (lo que es incompatible con una ley de carácter orgánico que debe limitarse a regular sólo lo que esté vinculado al carácter esencial del derecho fundamental)”.

Otra cuestión que la presidenta de APEP plantea es la necesidad de derogar la LOPD y su normativa de desarrollo, identificando qué previsiones han sido útiles y cómo pueden encajar en el Reglamento europeo, sin distorsionar el mercado interior. Y recuerda que “además de la LOPD, hay otras normas sectoriales que inciden en materia de protección de datos y que requerirán ser modificadas, en particular, en aquellos casos en que se regula el mismo bien protegido de forma distinta (p.e., marketing directo o el derecho a la intimidad y la propia imagen) o han quedado desactualizados (Código penal)”.

ISMS Forum, expectante ante la nueva LOPD

Desde el ISMS Forum se articula el Data Privacy Institute entidad que también se preocupa por el estudio de la ciberseguridad. Carlos Sáiz es su presidente quien también valora lo que puede ser la nueva LOPD “.Lo importante será que, ésta nueva Ley no establezca criterios diferentes a los que regula el Reglamento con carácter general y que puedan impedir a las organizaciones establecer marcos de control homogéneos”.

Carlos Sáiz, presidente de Data Privacy Institute.

Sobre los aspectos que habrá que modificar destacar señala “algunas cuestiones relativas al procedimiento sancionador, así como también que tratamiento van a tener los datos de contacto de personas jurídicas, los datos de empresarios y profesionales, cuya regulación estaba ya un poco más clara en España gracias a diversas resoluciones y sentencias porque el Reglamento Europeo no establece nada específico sobre ello”. También cree habrá que regular algunas realidades como lo son algunos ficheros de morosidad que tampoco tienen ningún tipo de mención dentro del Reglamento Europeo.

Sáiz reconoce que los profesionales están “expectantes para conocer el borrador de texto ya que, los profesionales estamos trabajando ayudando a las organizaciones a adecuarse al Reglamento Europeo y por supuesto, sería muy importante conocer qué cuestiones habrá que considerar dentro de ésta Ley Española si finalmente sale a la luz para considerarlo dentro de los controles y de la implantación de las nuevas políticas de cara a la nueva Normativa Europea”.

La futura LOPD debe aclarar la figura del DPO en las organizaciones, figura que debe profesionalizarse de forma gradual

Un tema que este experto considera que se debe aclarar es la figura del DPO en las organizaciones “Bajo nuestro punto de vista se tiene que intentar profesionalizar ésta función, es algo que llevamos haciendo desde el Data Privacy Institute desde hace seis años y entendemos que esa debe ser un poco la línea. Creemos que hay muy buenos profesionales en España tanto para ser DPOs como para ser abogados, consultores y auditores en materia de privacidad con una gran experiencia. Desde esta entidad ya hemos formado a 250 profesionales en estas competencias de Delegado de Protección de Datos».

 

Noticias Relacionadas:
Lo último en Áreas y sectores