Cuando los “responsables o encargados” de las administraciones públicas cometiesen alguna infracción contra la protección de datos, desde las más graves a las más leves, “la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”.
El anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), al que ha tenido acceso eldiario.es, prevé de esta forma, en su artículo 77.2 que el Gobierno, las comunidades autónomas, los ayuntamientos, los organismos públicos, las corporaciones de derecho públicos, las fundaciones del sector público y las universidades no paguen nada cuando vulneren la norma. Solo serán objeto de “apercibimiento” y, en todo caso, se iniciarán “acciones disciplinarias”, según el procedimiento que resulte de aplicación en cada administración.
El anteproyecto, que el Ministerio de Justicia envió la semana pasada al Consejo de Ministros, recoge en sus artículos 72 a 74 una relación de sanciones muy graves, graves y leves, en su mayor parte incluidas en el Reglamento de Protección de Datos de la Unión Europea, al que la legislación española debe adaptarse, y que pueden acarrear hasta 20 millones de euros de multa o alcanzar el 4% de la facturación de la empresa implicada. No afectarán a las instituciones públicas.
El anteproyecto de la LOPD establece también el nombramiento del responsable de la Agencia Española de Protección de Datos, que cambia su nombre de director a presidente, pero seguirá siendo nombrado por el Gobierno, un aspecto que ha sido objeto de numerosas críticas hasta ahora.
Así, el anteproyecto dice, en su artículo 49.1, que el presidente de la Agencia Española de Protección de Datos, cuyo estatus será asimilado al de los secretarios de Estado, “ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en su desempeño”. Pero a continuación indica que “será nombrado por el Gobierno, a propuesta del ministro de Justicia, mediante real decreto entre profesionales de reconocida competencia con conocimientos y experiencia acreditados para el desempeño de sus funciones”.
Entre las novedades en la composición del consejo consultivo de la Agencia destaca la incorporación de un representante de los profesionales de protección de datos también “designado por el ministro de Justicia”.
La futura ley orgánica, que debe entrar en vigor antes de que, en mayo de 2018, sea de aplicación el Reglamento de Protección de Datos en toda la Unión Europea, crea la figura de los delegados de protección de datos en colegios profesionales, centros educativos y universidades, prestadores de servicios por internet, supervisores y auditores, entidades financieras, aseguradoras, sociedades de inversión, compañías eléctricas, entidades responsables de ficheros sobre solvencia económica y patrimonial, empresas de publicidad y prospección comercial, centros sanitarios, emisores de informes comerciales sobre personas y empresas, operadores del juego electrónico, y empresas de seguridad privada.
El delegado de protección de datos, según el anteproyecto, “actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.
Como se había anunciado, la futura ley recoge aspectos del reglamento de desarrollo de la anterior norma orgánica de 1999 e introduce el tratamiento de datos de personas fallecidas por parte de sus herederos, excluye el consentimiento tácito en el uso de datos y reduce de 14 a 13 años la edad para ese consentimiento, que tiene que ser expreso y afirmativo.
Además de regular la transparencia en la información que ofrecen los bancos de sus créditos y de los sistemas de exclusión publicitaria, el anteproyecto incluye el tratamiento de datos con fines de videovigilancia. En este último aspecto, se prevé que las imágenes y datos “serán suprimidos en el plazo máximo de un mes desde su captación salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”. En el caso de que las imágenes hayan sido captadas por fuerzas policiales, el tratamiento “se regirá por su legislación específica y supletoriamente por el Reglamento” de la UE y la propia ley orgánica.
Además de regular los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición en relación con el tratamiento de datos, la futura ley prevé la obligación de bloqueo para que queden “a disposición exclusiva del tribunal, el ministerio fiscal u otras administraciones públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas”.
En relación con el derecho de acceso a datos, el anteproyecto establece en su artículo 23.2 que “se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. La comunicación del sistema al afectado permitirá denegar su solicitud de acceso”. Y añade: “Cuando el afectado elija un medio distinto al que se le ofrece asumirá los riesgos y los costes desproporcionados que su elección comporte”. La redacción sugiere que todo el que no se maneje bien con la tecnología digital quedará marginado.