El Proyecto de Ley Orgánica de Protección de Datos se presentó en la Mesa del Congreso y su publicación en el Boletín Oficial de las Cortes Generales, BOCG, durante el mes de noviembre de 2017. Deberá ser aprobado antes de mayo de 2018, cuando entre en vigor el Reglamento (UE) 2016/679. Hasta esa fecha, el Proyecto de Ley podrá sufrir modificaciones a través de las enmiendas parciales o a la totalidad que puedan presentarse. Por lo tanto, los comentarios al Proyecto de Ley de los siguientes párrafos deberán ser corregidos o matizados en el futuro.
El Proyecto de Ley se ha debatido durante el mes de febrero de 2018 en el Congreso de Diputados estando en fase de enmiendas.
El objeto del Proyecto de Ley es trasladar el Reglamento (UE) 2016/679 (de aquí en adelante nos referimos como Reglamento) al derecho español. Los cambios que impone el Reglamento son tan amplios y profundos que exigen la elaboración de un nuevo marco legislativo sobre la protección de datos. La “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” y el “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999” serán derogados y sustituidos por otras leyes y reglamentos similares.
 |
| Sesión solemne del Congreso de los Diputados (origen de la imagen es.wikipedia) |
Como es de suponer, el Proyecto de Ley reconoce a la Agencia Española de Protección de Datos, AEPD como la autoridad de control principal y a las Agencias de las Comunidades Autónomas como otras autoridades de control. El Título VII “Autoridades de protección de datos” regula las Agencias y sus relaciones tal como establece el Reglamento. En un futuro habrá que aprobar el Estatuto de la AEPD mediante Real Decreto.
Situados en el papel que juega la AEPD, procedemos a destacar algunos puntos interesantes del Proyecto de Ley.
TÍTULO I. Disposiciones generales
En este título se exponen el objetivo y el ámbito de aplicación del Proyecto de Ley que nos ocupa. La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española, estableciendo que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Otro motivo es adaptar el Reglamento como se ha explicado anteriormente.
Llama la atención el artículo 3 la regulación de datos de las personas fallecidas. Permite que se ejecuten las instrucciones del fallecido o que sean los herederos puedan ejercer los derechos de acceso, rectificación y supresión. No obstante, habrá un Real Decreto donde se establecerán los requisitos y las condiciones.
El incumplimiento de las obligaciones con respecto a los datos de un fallecido constituye una infracción leve (art. 74-g).
TÍTULO II. Principios de protección de datos.
El concepto de “calidad de datos” como principio de la protección de datos del artículo 4 de la LOPD 15/1999 se amplia con el conjunto de principios de tratamiento de datos que expone el Reglamento. El Título II recoge los “Principios de Protección de Datos”. He destacado estos principios dada su importancia normativa. El tratamiento de datos queda sujeto a la conducta que determinan estos principios. Los principios constituyen el marco para el desarrollo del resto de las normas y su cumplimiento es la principal prioridad.
Los principios del tratamiento de datos son los siguientes:
- Licitud, lealtad y transparencia
- Limitación de la finalidad
- Minimización de datos
- Exactitud
- Limitación del plazo de conservación
- Integridad y confidencialidad
- Responsabilidad proactiva.
El incumplimiento de estos principios constituye una infracción muy grave (art. 72.1,-a).
El principio de “licitud” se desarrolla en el artículo 6 del Reglamento. Este principio nos conduce al concepto de “consentimiento del afectado” y a las condiciones que deben concurrir para otorgar dicho consentimiento, (artículo 7 del Reglamento).
Hay que destacar que los datos que aportará el afectado serán exactos y ciertos cumpliendo con el principio de “exactitud”. El responsable de tratamiento no será responsable cuando éstos no lo sean y así queda reflejado en el artículo 4 del Proyecto de Ley, respecto a la inexactitud de los datos.
El “deber de confidencialidad” se extiende en el tiempo después de finalizar la relación con el responsable o encargado de tratamiento.
Se refuerza el principio de “minimización” sobre los datos que son necesarios en el tratamiento y la finalidad requerida. El principio de minimización sustituye de una manera más contundente el hecho que los datos sean “no excesivos” como expresaba el artículo 4 sobre la calidad de los datos en la anterior LOPD 15/1999.
La “legitimización para el tratamiento” traslada la definición de "consentimiento del afectado" del Reglamento.
Aquí hay una diferencia importante en la nueva legislación: el consentimiento que debe otorgar el afectado ha de ser un tratamiento explícito, claro e inequívoco, una acción afirmativa. Por ejemplo hay que marcar con un tic en una casilla para dar el consentimiento. En la derogada (a partir de mayo) LOPD 15/1999 la acción válida era el consentimiento tácito.
La edad en que los menores pueden dar el consentimiento lícito para el tratamiento de datos personales es de 13 años. En el anterior Real Decreto 1720/2007 la edad es de 14 años. Los menores pueden prestar su consentimiento para abrir cuentas en redes sociales y transferir datos personales. Es previsible que algunos responsables de tratamiento puedan retomar datos que vayan más allá de los estrictamente necesarios para la finalidad del servicio y puedan cruzar las fronteras a países u organizaciones con dudosa voluntad de proteger los intereses de dichos datos personales. A pesar de ello, constituye una infracción grave si el responsable o encargado de tratamiento “no acredita” esfuerzos razonables para verificar la validez del consentimiento otorgado por un menor de edad o los titulares de la patria potestad o tutela del menor (art 73-a y -b).
Ni el Reglamento ni el Proyecto de Ley explican cómo se “acreditan esfuerzos razonables”. Habrá que esperar al desarrollo de la presente Ley Orgánica en futuros reglamentos para conocer cómo se puede verificar la validez del consentimiento otorgado por un menor.
La licitud del tratamiento (recordemos que es un principio) especifica unos tipos de datos con condiciones generales y especiales de tratamiento.
- Condiciones generales del tratamiento.
El responsable aplicará los medios adecuados para el tratamiento, las medidas técnicas y organizativas para aplicar los principios de protección de datos. Destacar que el Proyecto de Ley permitirá una ley que podrá imponer condiciones especiales al tratamiento, tales como medidas adicionales de seguridad u otras establecidas en el Capítulo IV del Reglamento. Esto se traduce en que la protección de datos debe ser la base para cualquier diseño técnico u organizativo que vaya a realizar un tratamiento de los mismos; es decir, el “principio de protección de datos desde el diseño y por defecto”. Otro principio más que se suman a los anteriores. (ver artículo 25 del Reglamento).Si no se adoptan medidas técnicas y organizativas que sean apropiadas para cumplir con este principio y que garanticen el tratamiento adecuado constituye una infracción grave (art. 73-d).
- Condiciones especiales del tratamiento.
El Reglamento especifica aquellos datos que deben tener un tratamiento especial. En el artículo 9 “Tratamiento de categorías especiales de datos personales” se incluyen el tratamiento de datos genéticos, datos biométricos, estos últimos que puedan ser utilizados para identificar de manera unívoca a una persona física. En cuanto al Proyecto de Ley señala que para los datos de especial protección como son la ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico, aunque el afectado otorgue el consentimiento para su tratamiento, no será consentido. Aquí surge la duda si será necesaria otra regulación adicional para concretar este último aspecto de no consentimiento. Tampoco menciona el Proyecto de Ley como datos de tratamiento especial los datos genéticos o biométricos señalados en el Reglamento.El incumplimiento de tratamiento con protección especial para estos datos constituye una infracción grave. (art 72.1-e).
- Tratamiento de naturaleza penal.
Estos datos corresponderán al Ministerio de Justicia y se establecerán normas especiales para este tipo de datos.
TÍTULO III. Derechos de las personas
El Título III se divide en varios capítulos. El Capítulo I está dedicado al principio de “Transparencia e información”.
El Reglamento aporta el concepto de “información por capas” sobre el que se articula el principio de “transparencia”. La primera capa es aquella que ofrece la “información básica” que debe presentar el responsable de datos al afectado. Pero debe añadir una dirección electrónica donde pueda recabar más información, está sería la segunda capa.
El responsable de tratamiento debe aportar al afectado la “información básica” que se puede resumir en contestar claramente las siguientes preguntas que debe formularse el afectado:
- ¿Quién recoge los datos?
- ¿Para qué se usarán los datos?
- ¿Qué datos son los que se van a aportar?
- ¿A qué categoría pertenecen?
- Si no les ha aportado el interesado, ¿de dónde se han obtenido esos datos?
El incumplimiento de no informar adecuadamente constituye una infracción leve (art 74-a).
El Proyecto de Ley Orgánica desarrolla en el Capítulo II el ejercicio de los derechos del afectado sobre sus datos personales. El responsable del tratamiento facilitará al afectado el ejercicio de sus derechos. Queda desdibujado el acrónimo ARCO (derechos de Acceso, Rectificación, Cancelación y Oposición) porque la cancelación se cambia por supresión y además se amplían sus posibilidades como el “derecho al olvido”. Hay otros derechos nuevos como la portabilidad de los datos. El Proyecto de Ley recoge:
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad
- Derecho de oposición
No hay una redacción propia en los artículos de estos derechos y el Proyecto de Ley remite directamente al Reglamento.
Si se obstaculiza, impide o no se atienden estos derechos, constituirá una falta muy grave (art 72.1-k) o grave (art 73-c).
El derecho de supresión amplia su aplicación al que se ha denominado "derecho al olvido". Como recoge el Reglamento, el ejercicio del derecho al olvido solo será posible si los costes y la tecnología disponible para aplicarlos son razonables. Esto se convierte en un resquicio para que las empresas puedan eludir su aplicación. Se puede ejercitar el derecho ante un buscador de Internet sin necesidad de acudir a la fuente que posee los datos. Conviene distinguir como aclara la AEPD: “Los motores de búsqueda y los editores originales realizan dos tratamientos de datos diferenciados, con legitimaciones diferentes y también con un impacto diferente sobre la privacidad de las personas. al motor de búsqueda, ya que la difusión universal que realiza el buscador, sumado a la información adicional que facilita sobre el mismo individuo cuando se busca por su nombre, puede tener un impacto desproporcionado sobre su privacidad.
No obstante lo anterior, también se puede ejercitar este derecho ante el editor original”.
Las “cookies” necesitan un consentimiento explícito por parte del afectado.
Una “cookie” es un fichero que se descarga en su ordenador, teléfono inteligente o tableta, y que es consultado al acceder a la mayoría de páginas y servicios a través de la red. Las “cookies” permiten almacenar o recuperar información sobre los hábitos de navegación de un usuario y, dependiendo de la información (datos) que contengan y de la forma en que se utilice el dispositivo, pueden usarse para reconocer al usuario. El Reglamento establece que la "cookie" puede ser un elemento que permita identificar a las personas físicas. Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas, protocolos, radiofrecuencias, direcciones de internet y sesiones en forma de “cookie” y se pueden elaborar perfiles de las personas físicas e identificarlas.
TÍTULO IV. Disposiciones aplicables a tratamientos concretos
El Título IV recoge “Disposiciones aplicables a tratamientos de datos concretos”, no están recogidos en el Reglamento y son propios de la legislación española, se amplia el número de tratamiento. He ampliado algunos tipos de tratamiento, pero remito a las publicaciones de la AEPD para obtener más información. Consultas y preguntas frecuentes.
- Tratamiento de datos de contacto y de empresarios individuales.
- Aquellos donde prevalece el interés legítimo del responsable de tratamiento.
- Sistemas de información crediticia sobre los ficheros de solvencia patrimonial y crédito conocidos como "fichero de morosos".
- Tratamiento de datos relacionados con algunas operaciones mercantiles.
- Tratamiento con fines de videovigilancia. Conviene diferenciar sobre el tratamiento de los datos procedentes de las imágenes y sonidos obtenidos con cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por órganos de vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico se regirá por su legislación específica en la Directiva Europea 2016/680.
- El otro tratamiento de videovigilancia corresponde al que pueden realizar las personas físicas o jurídicas, públicas o privadas para mantener la seguridad de personas, bienes o instalaciones. Con este fin, se pueden obtener imágenes de la vía pública. Las imágenes deben conservarse como máximo un mes excepto que deban ser conservadas para acreditar actos contra la seguridad. El deber de información queda cumplido con la colocación visible del cartel como se hace hasta ahora.
- Sistemas de exclusión publicitaria. Se puede evitar la publicidad no deseada registrando los datos personales en el fichero de exclusión publicitaria. En la actualidad se encuentra en funcionamiento el denominado “Servicio de Lista Robinson”. Quienes lo deseen pueden registrarse en dicho fichero de exclusión publicitaria a través del sitio web www.listarobinson.es, a fin de evitar la publicidad de entidades con las que no se mantiene o no se ha mantenido ningún tipo de relación. El citado fichero de exclusión no impide recibir publicidad de las entidades que obtuvieron consentimiento para ello, por ejemplo cuando se contrató el servicio de telefonía. En estos casos procede que el usuario revoque el consentimiento inicialmente prestado o ejercite el derecho de oposición.
- Sistemas de información de denuncias internas en el sector privado.
- Tratamiento de datos en el ámbito de la función estadística pública
- Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas.
- Tratamiento de datos relativos a infracciones y sanciones administrativas.
TÍTULO V. Responsable y encargado del tratamiento
El Título V aporta varias novedades.
Los responsables y encargados deberán valorar si es conveniente realizar una evaluación de impacto en la protección de datos y la consulta previa con la AEPD.
El Proyecto de Ley ofrece en el artículo 28.2 unos supuestos donde existe un mayor riesgo para protección de datos. Las organizaciones deberán comprobar si encajan en estos supuestos para saber si deben realizar la evaluación de impacto y la consulta con la AEPD.
La AEPD dispone de una herramienta para las empresas que realizan tratamiento de datos personales que, a priori, tienen un nivel de riesgo bajo.
Herramienta FACILITA
Es un incumplimiento grave no efectuar la consulta previa en la AEPD antes des proceder al tratamiento de datos (art 73-u).
Las medidas de “responsabilidad activa”, (recordemos que es un principio que rige el tratamiento de datos), que deben cumplir los responsables, encargados o representantes se manifiesta en mantener un registro de las actividades del tratamiento. El artículo 30 del Reglamento lista la información que deberá contener los registros. El Proyecto de Ley obliga a los sujetos del artículo 77.1 a que hagan público un inventario de sus actividades de tratamiento accesible por medios electrónicos. Ver estos responsables o encargados en el Título IX más adelante.
No mantener el registro actualizado de las actividades de tratamiento constituye una infracción
El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la AEPD.
Cuando se produzca una violación de la seguridad de los datos personales se notificará a la AEPD.
Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al afectado.
Es una infracción grave el incumplimiento del deber de notificar a la AEPD la violación de seguridad de los datos personales (art. 73-r) o al afectado cuando la AEPD ha requerido al responsable que lo haga (art.73-s).
La figura del Delegado de Protección de Datos puede ser:
- persona física o jurídica (art. 35)
- pertenecen o no a la organización del responsable o encargado del tratamiento. Hay que destacar la protección legal de la labor del Delegado dentro de la organización (así se recoge en el artículo 36 “Protección del delegado de protección de datos”).
- La designación del delegado en las organizaciones puede ser voluntario u obligatorio. (art 34.2)
Como novedad, el Proyecto de Ley lista unas entidades donde será obligatorio instaurar la figura del Delegado (art 34.1 a – ñ):
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas reguladas, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito de fomento de la financiación empresarial.
g) Las entidades aseguradoras, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión.
i) Los distribuidores y comercializadores de energía eléctrica y de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos,.
ñ) Quienes desempeñen las actividades de Seguridad Privada.
En cuanto a cómo determinar si una persona está cualificada para ser Delegado, ni el Reglamento ni el Proyecto de Ley especifican condiciones concretas.
La AEPD creará un Registro de Delegados, manteniendo una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Las organizaciones tendrán un plazo de 10 días para comunicar la elección de Delegados a la AEPD.
El incumplimiento de la designación de un Delegado de Protección de Datos cuando es exigible constituye una infracción grave (art 73–v).
Una de las funciones del Delegado es atender las reclamaciones de los afectados ante el responsable, encargado o representante. De este modo se convierte en un soporte o una ayuda en las tramitaciones de los derechos de los afectados. Las AEPD pueden remitir las tramitaciones que reciban a los correspondientes Delegados de los responsables o encargados.
El Reglamento menciona dos maneras que permitirán al responsable y encargado demostrar que cumple con las medidas de cumplimiento, sobre todo en la identificación del riesgo relacionado con el tratamiento de datos y su evaluación con respecto al origen, naturaleza, probabilidad y gravedad. También le proporcionarán un conjunto de buenas prácticas para mitigar el riesgo. Explicarán las medidas técnicas y operativas necesarias que deban aplicarse para conseguir dicha finalidad. Estas maneras son:
- Códigos de Conducta
- Certificaciones (por ejemplo la certificación basada en la ISO 27001 o el Esquema Nacional de Seguridad para las Administraciones Públicas)
Otras directrices adicionales son las que proporcione el Comité Europeo de Protección de Datos y el Delegado de Protección de Datos.
Los procesos de Certificación son lentos y costosos, sólo están disponibles para grandes corporaciones. Las PYMES y MicroPYMES podrán suscribirse a los códigos de conducta.
Surgirán asociaciones y organismos que representen a los responsables o encargados de tratamiento de datos que podrán elaborar códigos de conducta a los cuales adherirse de forma vinculante. Queda pendiente la redacción de un Real Decreto que describa cómo han de elaborarse y aprobarse los códigos de conducta. Será la AEPD la que se encargue de aprobar los códigos de conducta y de mantener los registros de los que se vayan creando.
Será la Entidad Nacional de Acreditación, ENAC la que acredite a las instituciones certificadoras, como por ejemplo AENOR, LGAI Technological Center, VAC-Instituto de Certificación, OCA Instituto de Certificación, etc.
Varias infracciones muy graves y graves se pueden imponer a las organizaciones que elaboran y mantienen los códigos de conducta y las entidades certificadoras.
TÍTULO VI. Transferencias internacionales de datos
Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento, esta ley orgánica y sus normas de desarrollo, y en las circulares de la AEPD.
El Reglamento establece las condiciones en las que se deben efectuar las transferencias internacionales de datos.
- Transferencias basadas en una decisión de adecuación
Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando Comité Europeo de Protección de Datos haya decidido que se garantiza un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.El Comité publicará en el Diario Oficial de la Unión Europea, DOUE, y en su página web una lista de terceros países, territorios y sectores de un tercer país, y organizaciones internacionales que ofrecen garanticen el nivel adecuado de protección.
- Transferencias basadas en garantías adecuadas
En este caso, el responsable o el encargado del tratamiento pueden transmitir datos personales a un tercer país u organización internacional que ofrezca garantías adecuadas para que los afectados dispongan con derechos exigibles y acciones legales.Las garantías pueden darse en países que no tengan autoridades de control o que sí las tengan. Las garantías las ofrecen:
- Organismos públicos
- Normas corporativas
- Cláusulas de protección de datos adoptadas por el Comité Europeo de Protección de Datos.
- La AEPD adoptará cláusulas contractuales tipo para la realización de transferencias internacionales de datos y aprobadas por la Comité Europeo de Protección de Datos.
- Disposición de Certificados
- Adhesión a Códigos de Conducta.
- Transferencias con normas corporativas vinculantes.
La AEPD podrá aprobar normas corporativas vinculantes. Esta situación es jurídicamente vinculante a todos los miembros de un grupo empresarial- Transferencias o comunicaciones no autorizadas por el Derecho de la Unión.
En estas circunstancias requerirán una previa autorización de la AEPD o las agencias autonómicas, sometida a la emisión por el Comité Europeo de Protección de Datos. El procedimiento tendrá una duración máxima de un año.Existen transferencias internacionales donde los responsables del tratamiento deberán informar AEPD o a las agencias autonómicas antes de efectuar la transferencia. Corresponden con los casos:
- Cuando los responsables tengan un interés legítimo.
- El afectado otorga el consentimiento explícito a la transferencia después de ser informado de los posibles riesgos debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
- Ejecución de contratos entre el afectado y el responsable de tratamiento.
Esto no es aplicable a las actividades que realizan las autoridades públicas en el ejercicio de sus poderes públicos.
La transferencia internacional de datos de carácter personal a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones anteriores constituyen una infracción muy grave (art. 72.1–l).
TÍTULO VII. Autoridades de protección de datos
Empezamos este artículo con el Título VII y la AEPD.
La AEPD es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones
El Gobierno elaborará un nuevo estatuto para la AEPD.
TÍTULO VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos
En el Título VIII se recogen los procedimientos en el caso de posible vulneración de la normativa de protección de datos. En el título se establece un marco de actuación pero será necesario un Real Decreto que desarrolle los procedimientos en la AEPD.
Este título recoge las clases de iniciación del procedimiento, la determinación del alcance, las actuaciones previas de investigación si fuesen necesarias y la adminisión a trámite de la reclamación. Los plazos de tramitación y la notificación de las resoluciones no podrán exceder los 9 meses.
TÍTULO IX. Régimen sancionador
Comienza el título con el artículo 70 listando los sujetos responsables al régimen sancionador.
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.
No será aplicable este régimen sancionador al Delegado de Protección de Datos
En el artículo 77.1 continúa con determinadas categorías de responsables o encargados de tratamiento:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
Se deduce que sobre éstas se efectuará un control más preciso sobre sus actividades como se ha visto anteriormente.
Las infracciones pueden ser consideradas muy graves, graves y leves. Posponemos su atención, lo haremos cuando esté aprobada la ley. No obstante en los párrafos anteriores hemos mencionado algunas infracciones.
Las sanciones son:
Infracciones leves: menos de 40.000 euros.
Infracciones graves: entre 40.001 y 300.000 euros
Infracciones muy graves: superior a 300.000 euros.
Tal como expone el Reglamento en el artículo 83, las cuantías estarán circunscritas a cada caso individual.
Finalizo este resumen donde destaco aspectos importantes que aporta el Proyecto de Ley Orgánica de Protección de Datos. Apartadas he dejado las Disposiciones que incluye el proyecto. Cuando la ley entre en vigor corregiremos aquellos aspectos que hayan cambiado y ampliaremos los puntos del articulado que se hayan pasado por alto.
No hay comentarios:
Publicar un comentario