¿Llegará a tiempo la nueva Ley de Protección de Datos?

Los expertos dudan de que el nuevo texto pueda estar aprobado para mayo

El reglamento europeo será directamente aplicable haya o no una nueva ley nacional

Urge adaptar la normativa española al reglamento europeo
Urge adaptar la normativa española al reglamento europeo

El próximo 25 de mayo aparece marcado en rojo en las agendas físicas o electrónicas de miles de profesionales del derecho. Ese día comienza a ser aplicable, con todas sus consecuencias, el reglamento europeo de protección de datos de 2016. La aplicación de esta norma en cada uno de los Estados miembros requiere de un desarrollo normativo interno que, en el caso de nuestro país, está despertando no pocas dudas. Veamos algunas de las principales.

El pasado 10 de noviembre, el Gobierno aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que fue remitido al Congreso de los Diputados. La finalidad de esta norma es tanto "la depuración del ordenamiento nacional" de la normativa interna que se oponga al reglamento como su desarrollo o complemento para hacer plenamente efectiva su aplicación. En la actualidad, este proyecto se encuentra en fase de presentación de enmiendas hasta el próximo 6 de febrero en la Comisión de Justicia del Congreso. Pero las probabilidades de que sea aprobado a tiempo de entrar en vigor el 25 de mayo parecen complicarse.

Según Artemi Rallo, diputado socialista y exdirector de la Agencia Española de Protección de Datos (AEPD), el Gobierno del PP no aprovechó el año 2016, durante el que estuvo en funciones, para avanzar con el anteproyecto, lo que ha hecho que el proyecto actual llegue al Parlamento con los plazos para su tramitación demasiado justos. Además, el hecho de que haya sido necesario ampliar hasta en tres ocasiones el plazo de presentación de enmiendas permite prever que un alto número de propuestas de modificación de su articulado van a complicar más su tramitación. Por ello, fuentes parlamentarias y expertos contactados dudan seriamente de que el proyecto pueda estar tramitado en la fecha prevista, apostando por su aprobación durante el segundo semestre del año.

Pese que el reglamento europeo, por su propia naturaleza, será directamente aplicable con independencia de que haya o no una ley nacional, el retraso en la aprobación de la nueva LOPD tendría varias consecuencias poco favorables. La primera sería el mantenimiento de la vigencia de la ley de 1999 en aquello que no se oponga al reglamento, lo cual supondría un grave riesgo de inseguridad jurídica e incertidumbre en numerosos supuestos.

Otro aspecto esencial en el que la carencia de esa nueva ley puede tener serias consecuencias sobre los administrados, particulares y empresas es el relativo a las sanciones. El reglamento europeo establece un régimen sancionador muy severo, que puede alcanzar para los supuestos más graves, multas administrativas de hasta veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente de hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose en todo caso "por la de mayor cuantía".

Y ello se hace estableciendo a la vez unos criterios de tipificación de las conductas y de graduación de las sanciones muy genéricos, de difícil encaje con nuestro principio constitucional de seguridad jurídica. Por ello el proyecto de LOPD prevé unos supuestos mucho más precisos de sanciones leves, graves y muy graves, asociados a su vez a un régimen de sanciones y de prescripción muy tasado.

Pero la carencia de una ley interna en el plazo previsto puede exponer a todos los administrados y en especial a las empresas a un serio riesgo de inseguridad y de elevadas sanciones.

El delegado de protección de datos

Una de las novedades del Reglamento europeo es la creación de la figura del delegado de protección de datos (Data Protection Officer o DPO, por su expresión inglesa). En principio y según el reglamento se trata de un cargo voluntario para las organizaciones, excepto para los organismos públicos y para aquellas organizaciones cuya actividad principal "requieran una observación habitual y sistemática de interesados a gran escala", o "consistan en el tratamiento a gran escala de categorías especiales de datos personales", para los que resulta obligatorio.

Sin embargo el proyecto de LOPD introduce un nivel de detalle mucho mayor, al establecer que "en todo caso" deberá existir esta figura en al menos quince supuestos, entre los que incluye a los colegios profesionales y sus consejos generales; los centros docentes que ofrezcan enseñanza reglada; las entidades que presten servicios de comunicaciones electrónicas; los prestadores de servicios de la sociedad de la información; las entidades de crédito; los establecimientos financieros de crédito; las entidades aseguradoras y reaseguradoras; las empresas de servicios de inversión; los distribuidores y comercializadores de energía eléctrica; las entidades responsables de ficheros de solvencia patrimonial; las empresas de publicidad y prospección comercial; los centros sanitarios; los empresas que desarrollen la actividad de juego y las empresas de seguridad privada.

Ante este panorama, la carencia de una norma interna puede introducir otro componente de inseguridad. Quizás por ello, la directora de la AEPD ha advertido en varias intervenciones recientes que el ritmo de notificación a la Agencia de los DPO designados está siendo muy lento.

En lo que sí ha avanzado nuestro ordenamiento es en la aprobación de un procedimiento de certificación de DPO. La finalidad de esta certificación, que al igual que el propio cargo no es de obligada implantación salvo en determinados casos, es la de ofrecer a las empresas garantía de que el profesional certificado está debidamente cualificado para el ejercicio del cargo.

La AEPD ha sido la primera autoridad europea en definir un esquema de certificación, que será gestionado por la Entidad Nacional de Certificación (Enac).

Libertad de expresión e información

La protección de datos tiene un claro punto de fricción con el derecho de información; por ello, el Reglamento prevé en su artículo 85 que "Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos".

El proyecto de LOPD no hace ninguna referencia expresa a este tema, por lo que habrá que esperar a un ulterior desarrollo legislativo.

Dado la actual relación de fuerzas parlamentarias, el alcance y contenido que vaya a tener esta regulación es una completa incógnita, lo cual puede abrir importantes incertidumbres para los profesionales de la información, en particular a la vista del marco sancionador ya establecido por el Reglamento europeo.

Hazte con la guía más completa para afrontar con seguridad los cambios que implica el nuevo Reglamento de Protección de Datos pinchando aquí.

Posibles efectos

  • Aplicabilidad directa del reglamento. Aunque no exista una ley nacional, el reglamento europeo será directamente aplicable a partir del 25 de mayo.
  • Vigencia de la LOPD de 1999. La no derogación expresa de la ley actual la dejaría vigente en aquello que no se opusiera al reglamento, con la consiguiente incertidumbre.
  • Sanciones. El régimen sancionador que establece el reglamento puede plantear un riesgo para la seguridad jurídica.
  • Delegado de protección de datos. La figura del DPO aparece mucho más detallada en el proyecto de ley.
  • Libertad de información. El reglamento remite a la ley nacional para conciliar el ejercicio de este derecho con el de la protección de datos.
Normas