La reforma de la LOPD es necesaria para lograr la máxima seguridad jurídica

Como es sabido, está previsto que el anteproyecto de la reforma de la Ley Orgánica de Protección de Datos (LOPD) esté  preparado a finales del mes de marzo principios de abril. Esta nueva norma debe adaptar a la legislación Española al Reglamento Europeo de Protección de Datos, que aunque entró en vigor el mes de mayo del pasado año, será de plena aplicación a partir de mayo del 2018.

En cuanto al necesario proceso de reforma de la legislación española para su adecuación al Registro General de Protección de Datos (RGPD), y más concretamente el anteproyecto de la LOPD, (además de su posterior desarrollo reglamentario), nos hubiese encantado poder tener acceso al borrador en el que la Agencia Española de Protección de Datos (AEPD) ha venido trabajando junto al departamento de derecho público de la Comisión General de Codificación del Ministerio de Justicia, pues ello nos hubiese permitido ser más eficaces a la hora de aportar soluciones, pero entendemos que no ha sido posible en esta etapa previa por cuestiones de confidencialidad.

Así pues, sin poder acceder a ese borrador es prematuro posicionarse respecto de cuestiones que todavía desconocemos, pero sí nos parece fundamental destacar que hay que trabajar por un lado para aclarar la ingente cantidad de conceptos jurídicos indeterminados y tratar de alcanzar la máxima seguridad jurídica posible, y por otro lado, para dotar a las autoridades de control de la fortaleza y de los recursos necesarios para garantizar la aplicación y el cumplimiento de la ley, como sobre todo que no haya sensación ni de impunidad en cuanto a las infracciones, ni de arbitrariedad en cuanto a la imposición de las sanciones.

Nos preocupa seriamente saber qué va a pasar con situaciones preexistentes y de qué manera éstas se van a adecuar la nueva situación, así como la determinación del periodo transitorio en el que nos encontramos, y en donde nuestros clientes nos piden soluciones que todavía no somos capaces de ofrecer con el rigor que nos gustaría habida cuenta de la cantidad de lagunas que están todavía por resolver.

De esta forma se reduce sensiblemente el periodo de adaptación de 2 años inicialmente previsto, como sucede por ejemplo con cuestiones como el consentimiento, donde todavía desconocemos de qué manera se va a concretar su regulación, así como las exigencias respecto del cómo, y el cuándo los responsables de los tratamientos preexistentes van a tener que irlos adecuando al nuevo marco regulador.

También nos preocupan cuestiones como la regulación del interés legítimo, y hasta qué punto, va a comprender finalidades tasadas y acotadas o bien de carácter conceptual como es el caso de las de publicidad o prospección comercial, lo que se entiende por actividades principales o auxiliares, los modelos sobre la información que el responsable de tratamiento deberá facilitar al interesado en los supuestos previstos en los arts. 13 y 14 del Reglamento UE, dependiendo de que los datos a tratar hayan sido obtenidos o no de dicho interesado.

Del mismo modo nos preocupa qué va a pasar con los autónomos o con los organismos públicos, cuáles vas a ser las exigencias respecto de los tratamientos que realicen así como la definición del régimen sancionador (si se van a basar en los parámetros del actual), o la necesaria determinación sobre cuáles van a ser los actos a comunicar/registrar ante las autoridades de control (toda vez que desaparece el registro de ficheros) y cuáles van a ser éstas finalmente, con su correspondiente despliegue de funciones y competencias.

Finalmente, otros aspectos concretos como los tratamientos de solvencia patrimonial y crédito, de prospección comercial, los realizados en redes sociales e internet, o la revisión de la edad del menor para consentir nos parecen fundamentales, así como tener en cuenta y anticiparnos al impacto de tecnologías como el Big Data, el Cloud Computing, la realidad virtual/aumentada, el Internet of things o la Inteligencia Artificial entre otras.

Cuestión aparte merece todo lo relativo a la regulación de la figura del DPO que va a ser trascendental para el colectivo de la abogacía que representamos. Desde ENATIC hemos estado analizando permanentemente la evolución de esta figura, siempre desde una posición de prudencia y también de responsabilidad a la espera de los pronunciamientos de la AEPD y de los resultados del Comité técnico de certificación y de su posterior regulación en el ámbito de la certificación para que nuestro proyecto de formación y de acreditación y certificación guarde total sintonía.

En todo caso, estamos convencidos de que se trata de una función crucial e indispensable en el cumplimiento del nuevo marco regulador. Entendemos igualmente que debe ofrecerse desde una perspectiva integral, transversal y multidisciplinar y con los más altos niveles de exigencia y de capacitación, pero a la vez consideramos que debemos ser los juristas quienes lideremos y supervisemos esta función hacia sus diferentes niveles jerárquico-funcionales.

En todo caso, podemos anticipar que próximamente –y tras la convocatoria de nuestra asamblea general – estaremos en disposición comunicar públicamente nuestros planes y proyectos al respecto.