Saltar al contenido

La innombrable. A cargo de Iciar López Vidriero.

AD 78/2021

LA INNOMBRABLE

RESUMEN

El presente artículo tiene la intención de presentar algunas de las novedades que nuestra recién  Ley 7/2021, Ley de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que, como su propio nombre indica, es “La Innombrable”.

SUMMARY

This article is intended to present some of the novelties that our recently passed Law 7/2021, Law on the protection of personal data processed for the purposes of prevention, detection, investigation and prosecution of criminal offenses and enforcement of criminal penalties, which, as its name suggests, is “The «Unmentionable».

PALABRAS CLAVE

AEPD – DPO – DPD – privacidad – GDPR – RGPD – prevención – detección- investigación – enjuiciamiento – infracciones penales- sanciones penales- brecha de seguridad – conservación – videovigilancia – cooperación – Reglamento – Directiva – fallecidos –

KEY WORDS

AEPD – DPO – DPD – privacy – GDPR – RGPD – prevention – detection – investigation – prosecution – criminal offenses – criminal penalties – security breach – retention – video surveillance – cooperation – Regulation – Directive – deceased –

El presente artículo tiene la intención de presentar algunas de las novedades que nuestra recién  Ley 7/2021, Ley de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que, como su propio nombre indica, es la “innombrable”.

La verdad que esta Ley era muy necesaria, no sólo por haber finalizado el plazo para su trasposición y que nos estaba costando la friolera de 89.000 euros diarios desde que se dictó la sentencia, el pasado 25 de febrero de 2021, es decir un total de 8.099.000€, además de los 15 millones de euros que ya nos habían impuesto por ir retrasadillos, a pesar de los cientos de tirones de orejas que nos habían dado, con lo que como se diría en el Precio Justo, nuestra Innombrable sólo nos ha costado la friolera de 23.099.000€, si señores, más de 23 millones de pesetas  “A jugar..”

Bueno, habiendo hecho cálculos cual secretaria del 1, 2, 3, porque me he tenido que poner gafas y todo y coger calculadora para multiplicar los 91 días de multa que nos han caído, vamos a ir ahora al fondo del tema y ver cuáles son las novedades que nos aporta nuestra nueva Ley 7/2021 que además de ser “La innombrable” también pasará a la historia por ser “La impagable”.

Pues bien, desde la entrada en aplicación del RGPD el 25 de mayo de 2018 y el desarrollo de éste que España llevó a cabo a través de su LO 3/2018, todos estábamos esperando la transposición de la Directiva (UE) 2016/680 para poder dar carpetazo por fin a nuestra ya cuasi derogada Ley 15/99, ya que en 2016 cuando entró en vigor el Reglamento Europeo de Protección de Datos se aprovechó para hacer público el paquete de medidas, al más puro estilo 2*1 ya que estaba compuesto tanto por el RGPD como por la Directiva (UE) 2016/680.

Nunca está de más dar un repasito a las diferencias entre un Reglamento y una Directiva y, por qué no, las diferencias entre una entrada en vigor y una entrada en aplicación, porque a estas alturas de la película todavía se siguen publicando múltiples artículos en los que hacen referencia a la entrada en vigor del RGPD en 2018, cuando nada más lejos de la realidad, esta norma europea entró en vigor en 2016, teniendo una vacatio legis de 2 años que es lo que provoca que el RGPD no entre en aplicación hasta el 25 de mayo de 2018, momento en el cual pasa a ser obligatorio para todos los Estados Miembros…pero señores (digo señores porque como ahora se puede decir chicos, chicas y chiques, digo yo que señores estará bien visto) ¿qué Estados Miembros? ¿Los de la Unión Europea? Pues va a ser que no, parece que el Reglamento ya nos ponía dificultades desde el principio y, deja claro que cuando habla de Estados Miembros, estos serán los comprendidos en el Espacio Económico Europeo y, por tanto, comprende además de los países de la Unión Europea, a Noruega, Liechestein e Islandia.

Sin embargo la Directiva 2016/680 cuando se refiere a los Estados Miembros, hay que irse a sus considerandos para entender su ámbito territorial entre los cuales incluye además de los Estados miembros de la Unión Europea, a Suiza, Noruega, Liechestein e Islandia, por lo que el ámbito territorial es algo más amplio que el del RGPD

Con respecto a las diferencias entre Reglamento y Directiva, dejo a continuación algunas características diferenciadoras para posicionar al lector, debiendo tener en cuenta que con la antigua LOPD 15/99 partíamos de una Directiva (Directiva 95/46/CE), a la cual también nos transpusimos tarde, mientras que actualmente partimos de una Reglamento, claro indicador de la búsqueda de homogenización entre los diferentes estados miembros. En todo caso, de las disposiciones de la Unión Europea debemos tener en cuenta que tanto los Reglamentos como las Directivas son vinculantes mientras que los Dictámenes y Recomendaciones no.

Características de un Reglamento; Acto legislativo de alcance general que establece una norma e impone una obligación o acuerdo de derechos, por lo que el reglamento es esencialmente normativo siendo aplicable a categorías, siendo obligatorio en todos sus elementos, debiendo destacar las siguientes características.

  • Es directamente aplicable en todos los estados miembros, es decir, es apto para otorgar derechos e imponer obligaciones a los estados miembros, a sus órganos y a los particulares, tal y como lo hace la ley nacional.
  • Son obligatorios en todos sus elementos. Desde su entrada en vigor, la totalidad de sus disposiciones se imponen a los estados miembros, a sus jurisdicciones y a sus súbditos o nacionales.
  • Los reglamentos comunitarios entran en vigor por su publicación en el Boletín Oficial de las Comunidades Europeas, en la fecha en que los mismos determinen, normalmente veinte días después de su publicación, o, en su defecto, transcurrida una «vacatio legis.» No admiten transposición
  • Permiten su desarrollo.
  • En caso de omitir formas de aplicación o dar pautas para elección por parte de los estados miembros, estos podrán adoptar disposiciones complementarias para desarrollar las mismas.
  • El reglamento puede imponer todas las modalidades de aplicación y de ejecución que se consideren útiles o necesarias.
  • Precisan de la intervención normativa de los estados miembros para transformarla en derecho interno con arreglo al reparto de competencias dentro de cada uno de ellos, así en unos casos será necesario la adopción de una Ley y en otros bastará con un Decreto o una Orden Ministerial.

Características de una Directiva; Normas vinculantes para los Estados miembros destinatarios, si bien en cuanto a resultado, no siendo por tanto obligatorias en todos sus elementos, lo que permite a los estados miembros destinatarios la facultad de poder escoger la forma de poder cumplir con sus fines con libertad a la hora de elaborar su legislación nacional de desarrollo, debiendo destacar las siguientes características:

  • La directiva no es de alcance general.
  • Entra en vigor con su notificación al estado miembro o a los estados miembros destinatarios y se redacta en la lengua de los destinatarios. Directiva 95/46, en España tardamos aún un año más en adecuarnos a través de la LOPD.
  • Solo obliga a los destinatarios que designe. En el caso de la Directiva 95/46, en su último artículo   define los destinatarios de ésta, que son todos, si bien las Directivas pueden designar algunos o sólo uno.
  • La Directiva impone una obligación de resultados, es decir, fija los objetivos de resultado, pero no tiene eficacia directa en los ordenamientos a los que va dirigida, permitiendo que éstos tengan libre elección en cuanto a la forma y medios para poder dar cumplimiento a la Directiva.

¿Por qué hemos llegado tarde?

Pues bien, si atendemos al artículo 63 de la Directiva 2016/680, referente a la Transposición, veremos que teníamos de plazo hasta 6 de mayo de 2018, es decir, 19 días antes de la entrada en aplicación del RGPD.

En este caso no ha sido España la única que se ha dejado llevar por el tiempo, ya que Grecia también fue multada por la Comisión Europea, si bien al final en la carrera de obstáculos España ha ganado por goleada ya que tan sólo ha tardado 3 años en transponer la Directiva, lo que no sólo ha ocasionado una multa económica que supera los 23 millones de euros, sino que ha obligado a mantener en vigor 2 artículos de la LO 15/99 (artículo 23 y 24) que, a fecha de hoy siguen en vigor, puesto que nuestra “Innombrable” no entrará en vigor hasta pasados 20 días desde su publicación (27 de mayo de 2021), por lo que hasta mediados de junio no podremos ver por fin derogada completamente la LO 15/99 y hasta entonces deberemos seguir atendiendo a las dos disposiciones que incluyo a continuación de nuestra LO 3/2018.

Cosas que debemos tener en cuenta respecto a “La innombrable”

  • Esta Ley nos amplía el ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de la cooperación policial y judicial penal, incluyendo la regulación de los datos genéticos,  así como la distinción entre los datos personales según su grado de exactitud y fiabilidad, o la diferenciación entre distintas categorías de interesados.
  • Busca una cooperación en la prevención y lucha contra amenazas permitiendo el tratamiento de datos a gran escala en el ámbito de la seguridad, buscando, en todo caso, garantizar  los principios democráticos y la seguridad de las personas.
  • Consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición transitoria, una disposición derogatoria y doce disposiciones finales.
  • Se hace una mención específica a la exclusión del ámbito de aplicación de las personas fallecidas añadiendo las mismas excepciones que ya incluía el RGPD respecto a las personas vinculadas al fallecido por razones familiares y/o de hecho, herederos y representantes de los fallecidos.
  • Se mantiene mismo plazo para notificación de brechas de seguridad: 72 horas.
  • Se incluye un artículo expreso acerca del deber de colaboración que abarca tanto a las Administraciones públicas, como a cualquier persona física o jurídica, las cuales se encuentra todas obligadas a colaborar con las autoridades judiciales, Ministerio Fiscal y Policía Judicial.
  • Deben revisarse los plazos de conservación al menos cada 3 años.
  • Los datos deberán suprimirse, con carácter general, a los 20 años.
  • La solicitud de un derecho se considerará repetitiva cuando se realicen tres solicitudes sobre el mismo supuesto en un plazo de 6 meses.
  • Se incluye un artículo específico acerca de las restricciones de los derechos de información, acceso, rectificación y supresión (artículo 24)
  • Están obligados a llevar a cabo un registro de operaciones.
  • La autoridad de control competente respecto a esta Ley es la AEPD, sin perjuicio de las autoridades autonómicas cuando el tratamiento se encuentre dentro de su ámbito de competencia.
  • Se podrán imponer sanciones económicas siempre y cuando el sujeto responsable no se encuentre entre los enumerados en el artículo 77.1 LO 3/2018, por lo que las administraciones públicas siguen estando exentas de pago de multas.
  • Cabe destacar que no hay obligación en la designación de un Delegado de Protección de Datos para los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento se lleve a cabo en el ejercicio de sus funciones jurisdiccionales.

 

También resulta de especial interés la mención expresa al tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad, dedicándole hasta 5 artículos incluido el régimen disciplinario a aplicar. Respecto a la videovigilancia cabría resaltar los siguientes aspectos:

  • No se considerarán intromisiones ilegítimas
  • En la instalación de sistemas de grabación de imágenes y sonidos se atenderá al principio de proporcionalidad
  • En las vías o lugares públicos donde se instalen videocámaras fijas, el responsable del tratamiento deberá atender al principio de proporcionalidad en su doble versión de idoneidad e intervención mínima.
  • cuando las Fuerzas y Cuerpos de Seguridad utilicen instalaciones fijas de videocámaras de las que no sean titulares y exista, por su parte, un control y dirección efectiva del proceso completo de tratamiento
  • Los propietarios y, en su caso, los titulares de derechos reales sobre los bienes afectados por estas instalaciones, o quienes los posean por cualquier título, están obligados a facilitar y permitir su instalación y mantenimiento, sin perjuicio de las indemnizaciones que procedan.
  • Podrán utilizarse dispositivos de toma de imágenes y sonido (de forma conjunta) de carácter móvil si bien queda supeditada, en todo caso, a la concurrencia de un peligro o evento concreto.
  • El uso de los dispositivos móviles deberá estar autorizado por la persona titular de la Delegación o Subdelegación del Gobierno o en el caso de Cuerpos de Policía propios de las Comunidades Autónomas será por sus órganos correspondientes.
  • Las autorizaciones de dispositivos móviles sólo se concederán por un plazo máximo de un mes prorrogable por otro.
  • En casos de urgencia o necesidad inaplazable será el responsable operativo de las Fuerzas y Cuerpos de Seguridad competentes el que podrá determinar su uso, siendo comunicada tal actuación con la mayor brevedad posible, y siempre en el plazo de 24 horas, al Delegado o Subdelegado del Gobierno o autoridad competente de las comunidades autónomas.
  • Si la grabación captara la comisión de hechos que pudieran ser constitutivos de infracciones penales se deberá poner a disposición judicial en el plazo máximo de 72 horas desde su grabación.
  • Plazo de conservación: 3 meses.

Bueno, creo que como aperitivo de lo que nos trae la “Innombrable” este artículo ha tocado a su fin, si bien habrá que hacer un estudio más preciso a posteriori sobre todo de la parte de transferencias internacionales y otros articulados de la nueva Ley.

Iciar López-Vidriero Tejedor

31 de mayo de 2021


BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

En Madrid a 28 de mayo de 2021

Deja un comentario

A %d blogueros les gusta esto: