LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 00:42:25

LegalToday

Por y para profesionales del Derecho

Ya llega la nueva LOPD (I)

Legal Department
Audea Seguridad de la Información

Desde el 25 de mayo de 2018 el GDPR es de aplicación directa a todos los Estados miembros de la UE.

Unas teclas para poner la combinación de seguridad

Con el objetivo de adaptar el ordenamiento jurídico español a la nueva normativa, el Pleno del Congreso de los Diputados aprobó por unanimidad el jueves 18 de octubre de 2018, el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

La aprobación por unanimidad en el Congreso garantiza también su aprobación en el Senado, por lo que este texto puede considerarse casi definitivo.

Por ello, y teniendo en cuenta que entrará en vigor al día siguiente de su publicación en el BOE,  desde Áudea Seguridad de la Información recomendamos empezar a analizar las principales novedades del proyecto de ley:

Menores de edad

Se establece que los menores de edad no podrán consentir de forma autónoma el tratamiento de sus datos personales hasta los 14 años. 

Deber de información

Se fomenta el modelo informativo por "capas", incluyendo en la primera capa: La identidad del Responsable del Tratamiento, la finalidad del tratamiento y la posibilidad de ejercer los derechos. 

Contactos profesionales

Se reconoce la aplicación del interés legítimo (salvo prueba en contrario) para el tratamiento de contactos profesionales para relaciones B2B, independientemente de que sean trabajadores de personas jurídicas, autónomos o profesionales liberales.

Evaluaciones de Impacto

El artículo 28 del proyecto amplía sensiblemente los casos en los que será necesaria una evaluación de impacto, como cuando el tratamiento pudiese provocar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados; cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales; así como cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación, entre otros.

Delegado de protección de datos

Si bien el artículo 37 del RGPD señala los casos en los que se deberá designar un delegado de protección de datos, el artículo 34 del proyecto amplía sensiblemente los casos, estableciendo un listado de entidades, entre las cuales se encuentran los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas; los operadores de telecomunicaciones y comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala; las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores; las entidades que desarrollen actividades de publicidad y prospección comercial; los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (salvo profesionales individuales), entre otras entidades.

Las altas y bajas de DPOs deben ser comunicadas en un plazo de 10 días desde el nombramiento o cese.

Transferencias internacionales de datos. 

Los artículos 45 y 46 del RGPD establecen que no será necesaria la autorización de la autoridad nacional de protección de datos para efectuar transferencias internacionales a países considerados adecuados o mediante garantías adecuadas.

Sin embargo, el artículo 42 del proyecto establece que requerirán autorización de la Agencia Española de Protección de Datos en los siguientes supuestos:

  • cuando se pretenda utilizar un contrato a modo de garantía adecuada que no sea el contrato modelo aprobado por la Comisión Europea,
  • cuando la transferencia se lleve a cabo por administraciones públicas y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados.

Además, las transferencias internacionales fundadas en un interés legítimo puntual e imperioso deben ser notificadas a la AEPD antes de que se produzca la transferencia.

Garantía de los derechos digitales.

Más adelante publicaremos otro artículo analizando los nuevos derechos digitales que recoge este proyecto de Ley.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.