El Consejo de Ministros, a propuesta del Ministerio de Justicia, ha impulsado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que, una vez aprobada, derogará la LOPD y cuantas disposiciones nacionales de igual o inferior rango contradigan, se opongan, o resulten incompatibles con el Reglamento General de Protección de Datos (“RGPD”). El objeto de la nueva LOPD es adaptar la legislación española a los cambios introducidos por el RGPD, clarificando sus disposiciones dentro de los límites que el mismo establece.

El Anteproyecto cuenta con 78 artículos que siguen el mismo orden sistemático que el RGPD. Entre los principales cambios y novedades que recoge, destacamos los siguientes:

  • Regula determinadas facultades en relación con los datos personales de las personas fallecidas, respecto de los que el RGPD excluye expresamente su aplicación.
  • Establece en 13 años la edad mínima para la validez del consentimiento de los menores de edad al tratamiento de sus datos personales, salvo que la ley exija para el acto o negocio jurídico en cuestión la asistencia de los titulares de la patria potestad.
  • Entiende amparado en el interés legítimo el tratamiento de datos de los empresarios individuales que se refieran a ellos en su condición de tales y siempre que no se traten para entablar una relación con ellos como personas físicas, así como el tratamiento de datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que sean los mínimos datos imprescindibles para su localización profesional y se traten únicamente para mantener relaciones con la citada persona jurídica.
  • Regula el tratamiento de datos en sistemas de información crediticia, estableciendo, entre otros aspectos, que los datos solo podrán mantenerse durante un periodo de cinco años y que no podrán incluirse deudas cuya cuantía sea inferior a cincuenta euros (cuantía que podrá modificarse mediante real decreto).
  • Regula los tratamientos de datos con fines de videovigilancia, considerando suficiente la colocación de un distintivo informativo en lugar suficientemente visible y mantener a disposición de los interesados de la información exigida por el RGPD a efectos de informar a los trabajadores del uso de las videocámaras con fines de control empresarial cuando ese control tiene por objeto actos ilícitos flagrantes de los trabajadores.
  • Regula la creación de canales de denuncia internos para denunciar conductas o actos ilícitos, permitiendo los sistemas anónimos (a los que, tradicionalmente, la Agencia Española de Protección de Datos se había opuesto).
  • Regula el tratamiento de datos relacionados con determinadas operaciones de M&A.
  • Incluye una lista abierta de tipos de entidades que deberán designar un delegado de protección de datos (entidades que exploten redes y presten servicios de comunicaciones electrónicas, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, distribuidores y comercializadores de energía eléctrica, entidades que desarrollen actividades de publicidad cuando lleven a cabo tratamientos basados en las preferencias de los interesados o realicen actividades que impliquen la elaboración de perfiles, y operadores de juego online, entre otras) .
  • Siguiendo la actual LOPD, clasifica las infracciones en leves, graves y muy graves, incluyendo un extenso catálogo de infracciones tipificadas para cada uno de estos supuestos.

El Anteproyecto se encuentra en fase de trámite de audiencia e información pública, y es previsible que su contenido cambie antes de su aprobación. Sin embargo, su estudio y seguimiento sin duda facilitarán su aplicación cuando entre en vigor, por lo que permaneceremos atentos a la evolución de la norma.