Les administracions públiques no pagaran multes i només seran “avisades” si vulneren la llei de protecció de dades

Quan els “responsables o encarregats” de les administracions públiques cometen alguna infracció contra la protecció de dades, des de les més greus fins a les més lleus, “l’autoritat de protecció de dades que resulte competent dictarà resolució i les sancionarà amb advertència. La resolució establirà així mateix les mesures que calga adoptar perquè cesse la conducta o es corregisquen els efectes de la infracció que s’haja comés”.

L’avantprojecte de Llei orgànica de protecció de dades de caràcter personal (LOPD), a què ha tingut accés eldiario.es, preveu d’aquesta manera, en l’article 77.2, que el Govern, les comunitats autònomes, els ajuntaments, els organismes públics, les corporacions de dret públic, les fundacions del sector públic i les universitats no paguen res quan vulneren la norma. Solament seran objecte d’“advertència” i, en tot cas, s’iniciaran “accions disciplinàries”, segons el procediment que resulte d’aplicació en cada administració.

L’avantprojecte, que el Ministeri de Justícia va enviar la setmana passada al Consell de Ministres, recull en els articles 72 a 74 una relació de sancions molt greus, greus i lleus, en la major part incloses en el Reglament de protecció de dades de la Unió Europea, a què la legislació espanyola s’ha d’adaptar i que poden implicar fins a 20 milions d’euros de multa o arribar al 4% de la facturació de l’empresa implicada. No afectaran les institucions públiques.

L'avantprojecte de la LOPD estableix també el nomenament del responsable de l'Agència Espanyola de Protecció de Dades, que canvia el nom de director a president, però continuarà sent nomenat pel Govern, aspecte que ha estat objecte de nombroses crítiques fins ara.

Així, l’avantprojecte diu, en l’ article 49.1, que el president de l’Agència Espanyola de Protecció de Dades, amb un estatus assimilat al dels secretaris d’estat, “exercirà les seues funcions amb plena independència i objectivitat i no estarà subjecte a cap instrucció a l’hora d’exercir-les”. Però a continuació indica que “serà nomenat pel Govern, a proposta del ministre de Justícia, mitjançant reial decret entre professionals de reconeguda competència amb coneixements i experiència acreditats per a acomplir les seues funcions”.

Entre les novetats en la composició del consell consultiu de l’Agència destaca la incorporació d’un representant dels professionals de protecció de dades també “designat pel ministre de Justícia”.

La futura llei orgànica, que ha d’entrar en vigor abans que, el maig del 2018, siga aplicable el Reglament de protecció de dades en tota la Unió Europea, crea la figura dels delegats de protecció de dades en col·legis professionals, centres educatius i universitats, prestadors de serveis per Internet, supervisors i auditors, entitats financeres, asseguradores, societats d’inversió, companyies elèctriques, entitats responsables de fitxers sobre solvència econòmica i patrimonial, empreses de publicitat i prospecció comercial, centres sanitaris, emissors d’informes comercials sobre persones i empreses, operadors del joc electrònic i empreses de seguretat privada.

El delegat de protecció de dades, segons l’avantprojecte, “actuarà com a interlocutor del responsable o encarregat del tractament davant de l’Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades”.

Com s’havia anunciat, la futura llei recull aspectes del reglament que desenvolupava l'anterior norma orgánica del 1999 i introdueix novetats en el tractament de dades de persones mortes per part dels hereus, exclou el consentiment tàcit en l’ús de dades i redueix de 14 a 13 anys l’edat per a aquest consentiment, que ha de ser exprés i afirmatiu.

A més de regular la transparència en la informació que ofereixen els bancs dels seus crèdits i dels sistemes d’exclusió publicitària, l’avantprojecte inclou el tractament de dades amb finalitats de videovigilància. En aquest últim aspecte, es preveu que les imatges i les dades “seran suprimides en el termini màxim d’un mes des de la seua captació, llevat que hagen de ser conservades per a acreditar la comissió d’actes que atempten contra la integritat de persones, béns o instal·lacions”. En el cas que les imatges hagen estat captades per forces policials, el tractament “es regirà per la legislació específica i supletòriament pel Reglament” de la UE i la mateixa llei orgànica.

A més de regular els drets d’accés, rectificació, supressió, limitació, portabilitat i oposició en relació amb el tractament de dades, la futura llei preveu l’obligació de bloqueig perquè queden “a disposició exclusiva del tribunal, el Ministeri Fiscal o altres administracions públiques competents, en particular de les autoritats de protecció de dades, per a exigir possibles responsabilitats derivades del tractament i pel termini de prescripció d’aquestes”.

En relació amb el dret d’accés a dades, l’avantprojecte estableix en l’article 23.2 que “s’entendrà atorgat si el responsable del tractament facilita a l’afectat un sistema d’accés remot, directe i segur a les dades personals que garantisca, de manera permanent, l’accés a la totalitat. La comunicació del sistema a l’afectat permetrà denegar-ne la sol·licitud d’accés”. I afig: “Quan l’afectat trie un mitjà diferent al que se li ofereix, assumirà els riscos i els costos desproporcionats que la seua elecció comporte”. La redacció suggereix que la gent que no sàpia fer anar la tecnologia digital quedarà marginada.