El pleno del Senado ha aprobado, por 221 votos a favor, 21 en contra y ninguna abstención, el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, con la que se adapta el ordenamiento jurídico español al Reglamento General de Protección de Datos y se completan sus disposiciones, dando lugar a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. La ley se dirige, además, a garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Al no haberse introducido ninguna enmienda en el texto remitido por el Congreso, la Ley queda definitivamente aprobada por las Cortes Generales. La norma entrará en vigor el día siguiente al de su publicación, lo que se espera que tenga lugar con la mayor rapidez.
Contenido y estructura de la LOPD de 2019
La norma consta de 97 artículos, organizados en 10 títulos; 22 disposiciones adicionales; 6 transitorias; 1 derogatoria y 16 finales.
El Título I, relativo a las disposiciones generales, regula el objeto y el ámbito de aplicación de la ley y establece que el derecho fundamental de las personas físicas a la protección de datos personales. Incluye la regulación de los datos de las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
El Título II regula los principios de protección de datos: exactitud de los datos; deber de confidencialidad; el tratamiento basado en el consentimiento del afectado; el consentimiento de los menores de edad; el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos; las categorías especiales de datos y el tratamiento de datos de naturaleza penal.
Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, como la creación de «listas negras» de sindicalistas.
El Título III, sobre los derechos de las personas, se organiza en dos capítulos, el primero, “Transparencia e información”, recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En el segundo Capítulo de este Título, “Ejercicio de los derechos”, se contienen las disposiciones generales sobre ejercicio de los derechos y se regula el ejercicio de los derechos de acceso; rectificación; supresión; a la limitación del tratamiento; a la portabilidad y de oposición.
El Título IV, contiene las disposiciones aplicables a una relación de tratamientos concretos que, según la exposición de motivos, “en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos”. Dentro de ellos se incluye, en primer lugar, aquellos tratamientos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, como el de los datos de contacto, de empresarios individuales y de profesionales liberales; de los sistemas de información crediticia y el de los tratamientos relacionados con la realización de determinadas operaciones mercantiles.
El Título V se ocupa del responsable y del encargado del tratamiento. Su Capítulo I (“Disposiciones generales. Medidas de responsabilidad activa”), regula las obligaciones generales del responsable y encargado del tratamiento; los supuestos de corresponsabilidad; el representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea; el registro de las actividades de tratamiento y el cuestionado bloqueo de los datos.
En el Título VI se contienen las normas aplicables a las transferencias internacionales de datos, adaptando lo previsto en el RGPD en cuanto a los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa
El Título VII versa sobre las Autoridades de protección de datos, y se estructura en dos capítulos. El primero dedicado a la Agencia Española de Protección de Datos, regula su régimen jurídico, presupuestario y de personal; sus funciones y potestades; la Presidencia de la Agencia, su Consejo Consultivo y la publicidad de sus actuaciones. También las potestades de investigación de la AEPD y sus planes de auditoría preventiva, regulando su ámbito y personal; el deber de colaboración con ella; el alcance de su actividad de investigación; sus planes de auditoría. Dentro del mismo Título VII, se regula también las Autoridades autonómicas de protección de datos.
El Título VIII se refiere los procedimientos sancionadores por vulneración de la normativa de protección de datos: su régimen jurídico; la iniciación y duración del procedimiento; la admisión a trámite de las reclamaciones; el alcance territorial; las actuaciones previas de investigación y las medidas provisionales y de garantía de los derechos aplicables.
A continuación el Título IX regula el fundamental régimen sancionador. Se regulan los sujetos responsables; se tipifican las infracciones y se identifican las muy graves, graves y leves, las sanciones y medidas correctivas y la prescripción de las infracciones y sanciones.
En lo que se refiere a las sanciones, el Consejo de Ministros había aprobado un Real Decreto Ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos.
Finalmente, la Ley incorpora un Título X, denominado “Garantía de los derechos digitales”, a fin de “reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución”.
Descarga de forma gratuita los documentos clave requeridos por la nueva normativa de protección de datos