La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental que garantiza a las personas el control sobre sus datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados. De esta forma, este derecho se configura como una facultad para oponerse a que determinados datos personales sean usados para fines distintos a aquél que justificó su obtención.
Con el objetivo de impulsar una regulación más uniforme de este derecho fundamental, el Parlamento Europeo y el Consejo aprobaron en abril de 2016 el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (GDPR), que será aplicable a partir del 25 de mayo de 2018.
En este contexto, el Gobierno de España publicó en junio de 2017 un Anteproyecto de Ley Orgánica de Protección de Datos de carácter personal (APLOPD). Este Anteproyecto, cuya versión definitiva derogará la actual LOPD, pretende mejorar la regulación de este derecho fundamental y adaptar la legislación española a las disposiciones contenidas en el GDPR.
En la nota técnica elaborada por el Área de I+D de Management Solutions se resume el contenido de este Anteproyecto de Ley Orgánica.
Resumen ejecutivo
Los aspectos más relevantes del GDPR que aborda este Anteproyecto de Ley Orgánica son los siguientes: principios, derechos de las personas, responsable y encargado del tratamiento, transferencia internacional de datos, autoridades y régimen sancionador.
Ámbito de aplicación
El APLOPD se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Contenido principal
- Disposiciones generales: i) ámbito de aplicación (datos sujetos y excepciones), y ii) datos de personas fallecidas.
- Principios de protección de datos: i) principios generales (ej. exactitud, confidencialidad), y ii) tratamientos concretos (ej. sistemas de información crediticia, datos de contacto).
- Derechos de las personas: i) transparencia, información al afectado; ii) ejercicio de derechos (ej. de acceso, supresión, olvido); y iii) bloqueo de los datos.
- Responsable y encargado del tratamiento: i) obligaciones encargado y responsable, ii) registro de actividades, iii) encargado tratamiento, y iv) delegado de protección de datos.
- Transferencias internacionales de datos: i) régimen de transferencia, ii) aprobación por la AEPD, iii) autorización previa por la AEPD, y iv) información previa.
- Autoridades de protección de datos: i) AEPD, y ii) autoridades autonómicas
- Régimen sancionador: i) sujetos responsables; ii) infracciones muy graves, graves y leves; y iii) sanciones