Contacto
María Bardají Cruz

Phone: +34 (91) 535 99 77
E-Mail

El desarrollo del Reglamento Europeo de Protección de Datos en España - Una visión global sobre las novedades españolas

Autora: María Bardají

La razón por la cual España ha publicado la nueva Ley Orgánica de Protección de Datos el pasado 10 de noviembre es fundamentalmente la seguridad jurídica. La posibilidad de que el nuevo Reglamento Europeo de Protección de Datos (en adelante “RGPD”) conviviera con la ley actualmente aplicabe, esto es la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos (en adelante "LOPD") fue evaluada y directamente descartada por considerar que se crearía una apariencia de vigencia de esta última norma, pese a que muchas de sus previsiones habrían de entenderse desplazadas, como consecuencia del principio de primacía del Derecho Europeo. La intención de nuestro legislador ha sido, por lo tanto, la de permitir una correcta depuración de nuestro ordenamiento jurídico al mismo tiempo que se complementan los aspectos que el RGPD deja abiertos. 

En nuestra opinión, las diez novedades más importantes de la norma española pueden resumirse de la forma siguiente: 

1.- Transparencia e información: Se incorpora a nuestro derecho el principio de transparencia en el tratamiento manifestado a través de la obligación de información, formalizándose además la información por capas, práctica que ya venía utilizándose en España desde hace tiempo. 

2.- Derechos de los interesados: A este respecto la norma española recoge expresamente la posibilidad de ejercitar los derechos de los interesados por medio de representante voluntario. 

3.- Tratamientos específicos: La norma española, así mismo, regula tratamientos específicos como el de los datos de contacto de personas jurídicas, el whistleblowing, la finalidad estadística, las listas de exclusión publicitaria (Lista Robinson) o sistemas de información crediticia. Dentro de estos tratamientos cabe destacar aquellos de los que se establece una presunción iuris tantum de prevalencia del interés legítimo del responsable, es decir que éste siempre deberá llevar a cabo una ponderación de las condiciones concretas del tratamiento, como por ejemplo en el caso de los sistemas de información crediticia o el de tratamiento de los datos de contacto de personas jurídicas o de empresarios individuales. En el resto de casos, la licitud del tratamiento deriva de la existencia de un interés público o por servir a la función estadística o para fines de archivo de interés general.

4.- Discriminación: En aras a evitar situaciones discriminatorias, se incorpora la prohibición de almacenar datos especialmente protegidos, en cuyo caso, por lo tanto, la prohibición no podrá levantarse únicamente con el consentimiento del interesado.

5.- Edad a la cual podrán prestar consentimiento los menores de edad: Para respetar la consonancia con otros países europeos, la edad a la que los menores podrá prestar su consentimiento se fija en 13 años. 

6.- Tratamiento de los datos de personas fallecidas: Los herederos de una personas fallecida podrán solicitar el acceso a los datos que de la misma trate un determinado responsable y , en su caso, solicitar su rectificación o supresión. 

7.- Mecanismos de autoregulación en el sector público: Nuestra norma nacional promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el sector privado. 

8.- Bloqueo de los datos: Una novedad importante es la del bloqueo de datos, que ya venía aplicándose en nuestro derecho y que implica el mantenimiento de los mismos bajo estrictas medidas de seguridad a disposición de las autoridades, tribunales o cualquier otra autoridad a los efectos de poder ejercitar el derecho de defensa en caso de a existencia de reclamaciones. 

9.- Autoridades de control españolas. General, Catalana y Vasca: En consideración a la realidad regional de nuestro estado se reconocen expresamente la existencia de las agencias de protección de datos autonómicas, que asumirán, entre otras competencias, aquellas relativas a los tratamientos realizados por entidades del sector público de su territorio. 

10.- Sanciones: Al igual que se venía haciendo hasta el momento, la nueva Ley Orgánica mantiene la distinción entre sanciones muy graves, graves y leves, lo que también afecta a su régimen de prescripción. 

En nuestra opinión, el legislador español ha hecho un esfuerzo para alcanzar la mayor sintonía con las intenciones europeas plasmadas en el RGPD y lo consigue respetando muchas de las prácticas existentes en nuestro país. 

Rödl & Partner queda a su disposición para cualquier aclaración al respecto.

Die Entwicklung der Datenschutz-Grundverordnung in Spanien- Besonderheiten der spanischen Datenschutz-Regulierung im Überblick

Autor: María Bardají

Um die Rechtssicherheit zu fördern, hat die spanische Regierung das Projekt des neuen Datenschutzgesetzes, vom 10. November 2017, genehmigt. 

Die Möglichkeit, dass die neue DSGVO und das derzeit in Spanien geltende Gesetz 15/1999, vom 13. Dezember, über Datenschutz (im Folgenden, "LOPD"), koexistieren könnte, wurde zwar in Betracht gezogen, jedoch sofort verworfen, da es einen Anschein von Gültigkeit des Gesetzes schaffen würde, obwohl seine Vorschriften als Folge des Vorrangs des EU-Rechts verdrängt werden. Die Absicht unseres Gesetzgebers war daher, eine korrekte Reinigung unseres Rechtssystems zu ermöglichen und gleichzeitig die offenen Aspekte des DSGVO zu vervollständigen.

Die zehn wichtigsten Neuheiten der spanischen Norm lassen sich unserer Auffassung nach wie folgt zusammenfassen:

1.- Transparenz und Information: Das Prinzip der Transparenz in der Verarbeitung von Daten, welches in der Informationspflicht veräußert wird, wird in unserem Gesetz verankert, und die Information in Schichten wird formalisiert, eine Geübtheit, die bereits seit einiger Zeit in Spanien angewendet wird.

2.- Rechte des Betroffenen: In diesem Zusammenhang sieht das spanische Gesetz ausdrücklich die Möglichkeit vor, dass die Rechte des Betroffenen durch einen Vertreter ausgeübt werden.

3.- Besondere Verarbeitungen: Die spanische Norm regelt ebenfalls besondere Verarbeitungen, wie z.B. Kontaktdaten von juristischen Personen, Whistleblowing, statistische Zwecke, Ausschlusslisten für Werbung (Robinsonliste) oder Kreditinformationssysteme. Unter diesen Verarbeitungen sind diejenigen hervorzuheben, bei denen vermutet wird, dass ein legitimes Interesse der verantwortlichen Stelle vorliegt, das heißt, dass diese immer die spezifischen Verarbeitungsbedingungen erwägen muss, wie z.B. im Fall von Kreditinformationssystemen oder die Behandlung von Kontaktdaten von juristischen Personen oder Einzelunternehmern. In allen anderen Fällen, ergibt sich die Rechtmäßigkeit der Verarbeitung der Daten aus dem öffentlichen Interesse oder aus der statistischen Nutzung oder aus Gründen der Speicherung für das allgemeine Interesse.

4.- Diskriminierung: Um diskriminierende Situationen zu vermeiden, wird das Verbot besonders geschützte Daten zu speichern aufgenommen. Jenes Verbot kann nicht lediglich durch Einwilligung des Betroffenen aufgehoben werden.

5.- Alter für die gültige Einwilligung durch Minderjährige: Um die Konsonanz mit anderen europäischen Ländern einzuhalten, wird das Alter, in dem Minderjährige ihre Einwilligung geben können, auf 13 Jahre festgelegt.

6.- Verarbeitung von Daten verstorbener Personen: Die Erben einer verstorbenen Person können Zugang zu den Daten verlangen, die eine bestimmte Verantwortliche Stelle verarbeitet, und ggf. ihre Berichtigung oder Unterlassung beantragen.

7.- Mechanismen der Selbstregulierung im öffentlichen Sektor: Unsere nationale Vorschrift fördert Selbstregulierungsmechanismen, sowohl im öffentlichen als auch im privaten Sektor.

8.- Sperren von Daten: Eine wichtige Neuerung ist das Sperren von Daten, welches bereits in unserem Recht vorgesehen war. Die Daten müssen unter strengen Sicherheitsmaßnahmen aufbewahrt und blockiert werden, und stehen den Gerichten und anderen Behörden zur Verfügung, um im Falle von Reklamationen das Verteidigungsrecht ausüben zu können.

9.- Datenschutzbehörden auf National- und Regionalebene (Baskenland und Katalonien): In Anbetracht der regionalen Realität unseres Staates, wird die Existenz regionaler Datenschutzbehörden ausdrücklich anerkannt, die, unter anderen Befugnissen, die Aufsicht über die Verarbeitung von personenbezogenen Daten durch öffentliche Behörden in ihren Hoheitsgebieten übernehmen.

10.- Strafen: Im neuen Gesetz wird die Unterscheidung zwischen sehr schweren, schweren und milden Verstoße beibehalten, wovon auch die Verjährungsfristen abhängen.