Ruta de navegación
Publicaciones
BOCG. Congreso de los Diputados, serie A, núm. 13-2, de 18/04/2018
cve: BOCG-12-A-13-2
PDF
BOLETÍN OFICIAL DE LAS CORTES GENERALES
CONGRESO DE LOS DIPUTADOS
XII LEGISLATURA
Serie A: PROYECTOS DE LEY
18 de abril de 2018
Núm. 13-2
ENMIENDAS E ÍNDICE DE ENMIENDAS AL ARTICULADO
121/000013 Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
En cumplimiento de lo dispuesto en el artículo 97 del Reglamento de la Cámara, se ordena la publicación en el Boletín Oficial de las Cortes Generales de las enmiendas presentadas en relación con el Proyecto de Ley Orgánica de Protección de
Datos de Carácter Personal, así como del índice de enmiendas al articulado.
Palacio del Congreso de los Diputados, 6 de abril de 2018.-P.D. El Secretario General del Congreso de los Diputados, Carlos Gutiérrez Vicén.
ENMIENDA NÚM. 1
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la Mesa de la Comisión de Justicia
Don Carles Campuzano i Canadés, en su calidad de Diputado del Partit Demòcrata Català, integrado en el Grupo Parlamentario Mixto, y de acuerdo con lo establecido en el artículo 124 y siguientes del Reglamento de la Cámara, presenta enmienda
de totalidad al Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
Palacio de Congreso de los Diputados, 6 de febrero de 2018.-Carles Campuzano i Canadés, Portavoz Adjunto del Grupo Parlamentario Mixto.
Enmienda a la totalidad de devolución
Exposición de motivos
El artículo 156 del Estatuto de Autonomía de Catalunya (EAC) atribuye a la Generalitat un ámbito de actuación exclusivo en materia de protección de datos a la Autoritat Catalana de Protecció de Dades. El artículo 31 del mismo Estatuto
garantiza que el derecho a la protección de datos de las personas en relación con los tratamientos de datos competencia de la Generalitat de Catalunya está protegido por la Autoritat Catalana de Protecció de Dades.
La Ley 32/2010, de 1 de octubre, de la Autoritat Catalana de Protecció de Dades, establece que la Autoritat Catalana de Protecció de Dades es la encargada de salvaguardar la garantía del derecho a la protección de datos en el ámbito de las
administraciones públicas de Catalunya mediante el asesoramiento en la difusión del derecho y el cumplimiento de las funciones de control establecidas por el ordenamiento jurídico.
El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD), reconoce a todas las Autoridades de protección de datos plenos poderes en el ejercicio de sus competencias, El texto del Proyecto de Ley tiene
un carácter claramente regresivo y limita el ejercicio de las competencias de las Autoridades autonómicas de protección de datos.
A título de ejemplo, el artículo 56.2 del Proyecto de Ley establece que la Agencia Española de Protección de Datos será la representante común de las autoridades de protección de datos ante el Comité Europeo de Protección de Datos, según lo
establecido en el artículo 44.2 del Proyecto. Pero además establece que corresponde a la Agencia Española de Protección de Datos ser el representante común de las distintas autoridades de protección de datos a nivel estatal, en los demás grupos en
materia de protección de datos constituidos al amparo del derecho de la Unión Europa. Así como participar en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las Autoridades de control
independientes en materia de protección de datos. Esto, de acuerdo con el redactado de este proyecto de ley, podría impedir la participación de las autoridades autonómicas en los grupos de trabajo o reuniones internacionales en la materia, lo cual
facilita la unificación de criterio y colaboración entre las distintas Autoridades de protección de datos.
El Reglamento Europeo, del que la norma española solo puede ser la ejecución, plantea requisitos que no están previstos en este proyecto de Ley, especialmente en lo que hace referencia a las nuevas figuras como el Delegado de Protección de
Datos, esas extralimitaciones no pueden vulnerar la nivelación de requisitos a nivel europeo.
En el Proyecto de Ley se encuentran numerosas referencias a las competencias de la Agencia Española de Protección de Datos. Debería establecerse reciprocidad con las competencias de las Autoridades Autonómicas de protección de datos en sus
respectivos ámbitos.
Por todo ello, los Diputados y Diputadas del Partit Demòcrata Català presentan la siguiente enmienda a la totalidad del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
A la Mesa de la Comisión de Justicia
Al amparo de lo establecido en el Reglamento de la Cámara, el Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea presenta las siguientes enmiendas parciales al Proyecto de Ley Orgánica de Protección de Datos de Carácter
Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Ricardo Sixto Iglesias y Sara Carreño Valero, Diputados.-Alberto Garzón Espinosa, Portavoz del Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea.
ENMIENDA NÚM. 2
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 1. Objeto de la Ley
De modificación.
Se modifica el apartado 2 del artículo 1, quedando el texto del artículo de la siguiente forma:
'Artículo 1. Objeto de la Ley.
1. La presente Ley Orgánica tiene por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
2. El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta Ley
Orgánica, así como en las específicas disposiciones legales que se desarrollen para el caso de la investigación científica y salud publica y la protección de los menores de dieciséis años.'
MOTIVACIÓN
En coherencia con las enmiendas planteadas en las dos disposiciones adicionales nuevas que se proponen por parte de este grupo, toda vez que para los supuestos de investigación científica y salud publica y la protección de los menores de
dieciséis años se hace necesaria una regulación específica, todo ello en línea con la argumentación desarrolladas en la precitadas enmiendas y con lo indicado en el artículo 8 y 9.2 del presente proyecto de ley sobre la posibilidad imponer por medio
de una ley condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas medidas que se pudieran considerar convenientes.
ENMIENDA NÚM. 3
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 6. Tratamiento basado en el consentimiento del afectado
De modificación y adición.
Se modifica el artículo 6. Se modifican los apartados 2 y 3, se añaden nuevos apartado 4 y 5, renumerando el antiguo apartado 3 como apartado 6, quedando el texto del artículo 6 de la siguiente forma.
'Artículo 6. Tratamiento basado en el consentimiento del afectado.
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de
ellas.
En el ámbito de la investigación científica, biomédica y de salud pública el consentimiento podrá dar cobertura a otras finalidades que en este ámbito de difícil determinación o especificar en el momento de otorgarlo, finalidades que deberán
ser estrictamente compatibles con la investigación científica y de salud pública. En cualquier caso, el afectado deberá ser informado de los usos para otras finalidades se puedan dar a sus datos, debiendo otorgar su consentimiento.
3. El tratamiento de datos personales con fines distintos de aquellos para los que han sido recogidos inicialmente solo deberá permitirse cuando sean compatibles con los fines de su recogida inicial.
Las operaciones de tratamiento ulterior con fines de interés público, como la investigación científica, biomédica y de salud pública, así como otros de interés histórico o con fines estadísticos deben considerarse operaciones de tratamiento
lícitas cuando su tratamiento ulterior sea compatible con el consentimiento inicialmente otorgado y con las garantías adecuadas para salvaguardar los derechos de las personas, especialmente de los pacientes en procesos sanitarios, que se establezcan
en la ley.
En ningún caso, los datos de las personas a los que se refiere específicamente este apartado cuyos datos hayan sido aportados a las administraciones o la sanidad pública podrán ser tratados con fines lucrativos.
4. A los efectos del artículo 9.2.i) del Reglamento (UE) 2016/679, de 27 de abril de 2016, son de interés público en el ámbito de la salud pública y la investigación científica las actuaciones sanitarias y los estudios epidemiológicos
necesarios para la identificación o prevención de un riesgo o peligro grave o inminente para la salud de la población. Entre estas actividades se incluye la vigilancia en salud pública que incluye expresamente la de las enfermedades de declaración
obligatoria y la de aquellas enfermedades y riesgos para la salud que las autoridades sanitarias e instituciones públicas con competencias en la vigilancia de la salud pública consideren necesario vigilar.
Las autoridades sanitarias y los órganos de las Administraciones con competencias en la vigilancia y control de los problemas de la salud pública a los que se refiere la Ley 33/2011, General de Salud Pública, podrán recabar la comunicación
de datos personales en poder de cualquier Administración o de entidades privadas cuando el conocimiento de tales datos resulte necesario para el desempeño de sus funciones legítimas de tutela de la salud pública.
Establecido todo lo anterior, y como norma, en la investigación epidemiológica se trabajará con datos anonimizados o, en su caso, seudonimizados, estableciéndose como excepción las situaciones de riesgo o peligro grave o inminente para la
salud pública así como aquellas que pudieran establecerse en la legislación que de forma especial se desarrolle para el tratamiento de datos en el ámbito de la salud.
5. Los centros y servicios sanitarios y los profesionales sanitarios, tanto públicos como privados, deberán ceder a las autoridades sanitarias e instituciones públicas con competencias en la vigilancia de la salud pública los datos
identificativos de los pacientes que resulten imprescindibles para la toma de decisiones cuando sea necesario para la identificación o prevención de un riesgo o peligro grave para la salud de la población y así se les requiera motivadamente por
razones epidemiológicas o de salud pública.
La Administración comunicante o la entidad privada dejará constancia de la finalidad señalada por el órgano responsable en materia de salud pública y del contenido de la comunicación realizada. El órgano responsable en materia de salud
pública quedará obligado, por el solo hecho de la comunicación, a la observancia de las disposiciones relativas a la protección de los datos personales en relación con los datos comunicados.
6. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.'
MOTIVACIÓN
Las propuestas de enmiendas al presente artículo tienen como objetivo dotar al consentimiento de una cobertura suficiente que permita avanzar en materias de indudable interés público, especialmente en el campo de la salud pública o la
investigación científica, como las apuntados por el Reglamento UE 2016/679, estableciendo ya en esta ley algunos de los parámetros que deben orientar la legislación específica a la que alude el propio artículo 9.2 del Proyecto de Ley.
En concreto, los considerandos 33, 50, 157 y 159 del Reglamento UE 2016/679 contemplan la posibilidad de otorgar, en el ámbito de la salud pública y la investigación científica, un consentimiento amplio, así como compatibilizar posibles usos
posteriores con el tratamiento inicial para el que se consintió, como así lo han trasladado a este grupo parlamentario diversas sociedades médicas.
Debe tenerse en consideración lo que concretamente se indica en los considerandos aludidos anteriormente, como es el caso del Considerando 33 que nos dice: 'Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de
los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas
reconocidas para la investigación científica'.
Considerando 159: 'El presente Reglamento también debe aplicarse al tratamiento datos personales que se realice con fines de investigación científica. El tratamiento de datos personales con fines de
investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la
investigación financiada por el sector privado... Entre los fines de investigación científica también se deben incluir los estudios realizados en interés público en el ámbito de la salud pública...'.
Considerando 157: 'Para facilitar la investigación científica, los datos personales pueden tratarse con fines científicos...'.
Además, la Agencia Española de Protección de Datos en su Plan Estratégico 2015-2019 incluye entre sus retos el que la innovación y la protección de datos discurran de forma paralela, siendo este un buen momento, a través de este nuevo marco
normativo sobre protección de datos, para dar respuesta a este nuevo paradigma.
Por todo ello, y teniendo en consideración la preocupación que este proyecto de ley genera en los colectivos médicos y científicos, se propone la introducción de un nuevo párrafo al apartado 2 de este artículo.
Por otro lado, la propuesta de un nuevo apartado 3 al presente artículo, relativo a la compatibilidad del fin inicial para el que fue recogido el consentimiento con el fin ulterior, responde a lo previsto en el considerando 50 del Reglamento
UE 2016/679 que señala que: 'El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial... Las operaciones de
tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles'.
Prueba de ello es que el artículo 6.4.a) del Reglamento UE 2016/679 establece que, cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado, el
responsable del tratamiento tendrá en cuenta, entre otras cosas, cualquier relación entre los fines para los cuales se recogieron los datos personales y los fines de tratamiento ulterior previsto.
A mayor abundamiento, el artículo 5.1.b) del Reglamento UE 2016/679, dedicado a los principios relativos al tratamiento indica que el tratamiento ulterior de los datos personales con fines de investigación científica (reconocida por el
artículo 44.2 de nuestra Constitución como actividad de interés público), no se considerará incompatible con los fines iniciales.
En todo caso, se establece que en ningún caso, los datos de las personas a los que se refiere específicamente este apartado 6.3 que haya sido aportado a las administraciones o sanidad pública podrán ser tratados con fines lucrativos,
proscribiendo cualquier tipo de tendencia a allegar datos del sector público hacia entidades con ánimo de lucro.
Por otra parte, se introduce en el apartado 4 del artículo se concreta una necesaria definición de interés público al objeto de realizar actividades de salud pública o investigación científica, así como en el nuevo epígrafe 5 se establecen
lo parámetros y obligaciones que respecto de la salud pública tiene el conjunto de la comunidad sanitaria, estableciendo como norma que en la investigación epidemiológica se trabajará con datos anonimizados o, en su caso, seudonimizados,
estableciéndose como excepción las situaciones de riesgo o peligro grave o inminente para la salud pública, así como aquellas que pudieran establecerse en la legislación que de forma especial se desarrolle para el tratamiento de datos en el ámbito
de la salud, en coherencia esta última cuestión con otras enmiendas relativas ala necesidad de una normativa especial sobre el tratamiento de datos en el ámbito de la salud.
ENMIENDA NÚM. 4
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 7. Consentimiento de los menores de edad
De modificación.
Se propone la modificación del artículo 7 que quedaría redactado como sigue:
'Artículo 7. Consentimiento de los menores de edad.
1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de dieciséis años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de dieciséis años solo será lícito si consta el consentimiento del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.'
MOTIVACIÓN
La presente enmienda tiene su motivación en que no aparece justificada la rebaja en la edad de consentimiento del menor, más aun cuando el Reglamento de la UE establece la edad mínima para otorgar el consentimiento en dieciséis años
(artículo 8), aunque admite que la ley del estado miembro la reduzca hasta los trece años. La Exposición de motivos de la Ley se limita a justificar que se opta por establecer la edad mínima en trece años para asimilar nuestra legislación a los
países de nuestro entorno; lo que resulta paradójico dado que la regla general y principal para el propio reglamento comunitario son los dieciséis años, por mucho que autorice el establecimiento de una edad inferior. En todo caso nada impide
establecer la edad de consentimiento en una edad superior o incluso en la edad en la que se alcanza la mayoría de edad, siendo que resulta ya consensuado social y jurisprudencialmente que debe primar, por encima de todo, el interés superior del
menor, lo que debe confrontar con los interés del mercado y las empresas que se dedican al procesamiento de datos, muchas veces con fines altamente lucrativos diferentes a los que en principio de podría suponer, como está quedando de manifiesto con
el último escándalo que afecta a la empresa digital Facebook.
Debe recordarse que los Convenios Internacionales que protegen a la infancia establecen que son niños, a los efectos de la protección, que dispensan los menores de dieciocho años (Declaración Universal de los Derechos del Niño y Convenios de
la OIT), así como nuestra Constitución establece la minoría de edad en los dieciocho años (art. 12 CE) y la obligación de los poderes públicos deben velar por la protección de la infancia (art. 39 CE). No resulta aceptable que el proyecto escoja
sin justificación el menor nivel de protección que parece permitir el reglamento, obviando por completo el principio básico de interés superior del menor.
Actualmente nuestra legislación interna establece la edad para otorgar válidamente el consentimiento para el tratamiento de datos personales en los catorce años (art. 13 RD 1720/2007). Sustentamos la tesis de que este es un límite en el
que se hacen prevalecer los intereses del mercado y resulta manifiestamente insuficiente para garantizar la seguridad de los menores. El conocimiento y tratamiento de los datos personales de los ¡menores los colocan en una evidente situación de
vulnerabilidad ante intromisiones ilegítimas e incluso agresiones que pueden afectar a su integridad física y moral. Además, una regulación de este alcance se erige en un obstáculo que dificulta a los titulares de la patria potestad el debido
cumplimiento de sus responsabilidades en la protección de los menores.
Adicionalmente hay que considerar que los datos personales de los menores son también los datos personales de los otros miembros de la familia y, en consecuencia, de otros menores. Una regulación como la actual en la que el reglamento
advierte (art. 13 RD 1720/2007) que no puede recabarse del menor con catorce años información de su entorno familiar es, palmariamente, insuficiente.
ENMIENDA NÚM. 5
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 9. Categorías especiales de datos
De modificación.
Se modifica el apartado 1 del artículo 9, cuya redacción sería la siguiente:
'1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea
identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así quede autorizado legalmente.'
MOTIVACIÓN
Obedece a la deficiente técnica legislativa seguida en este Proyecto. La norma proyectada, partiendo de la idea de que el Reglamento comunitario es de aplicación directa a nuestro ordenamiento se limita a hacer una regulación parcial que
produce mucha confusión. Esta falta de claridad en la protección de principios básicos de un sistema democráticos que proscribe la discriminación pues estamos tratando de la regulación de un derecho fundamental.
Lo lógico sería llevar a cabo una regulación interna más elaborada que permitiera una relación coherente entre los dos textos, el Reglamento comunitario y la Ley Orgánica. Pero sobre todo que permitiera que la ley interna, aunque no
traslade a su texto de forma completa el Reglamento, fuera comprensible por sí sola, lo que no ocurre en este caso. El Proyecto no incorpora aspectos esenciales de la regulación (por ejemplo, las definiciones) por lo que puede confundir a quien se
acerque a su texto, provocando en nuestra opinión con ello inseguridad jurídica y desprotección.
Un ejemplo de lo anterior es este artículo. No cabe que se regulen las excepciones a la prohibición de tratamiento de datos personales sin decirle a los ciudadanos cuáles son las prohibiciones. Aunque éstas estén en el Reglamento, con esta
técnica la ley promueve las excepciones a la protección del derecho, lo que resulta ser una técnica inaudita en materia de derechos fundamentales pues la 'idea fuerza' no queda escrita en la ley interna.
ENMIENDA NÚM. 6
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 9. Categorías especiales de datos
De modificación.
Se modifica el apartado 2 del artículo 9 del Proyecto, proponiéndose la siguiente redacción:
'El tratamiento de los datos relativos a la salud, así como el tratamiento de los datos genéticos y datos biométricos dirigidos a identificar de manera unívoca a una persona física requerirá el consentimiento del interesado o de las personas
titulares de la patria potestad o de la tutela en los términos expresados en el artículo 6 de esta ley. El acceso o la comunicación a terceros de dichos datos requerirá siempre y adicionalmente que se conceda un consentimiento específico y actual.
El consentimiento no será necesario cuando el interesado no esté capacitado, física o jurídicamente, para otorgarlo y el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.'
MOTIVACIÓN
El texto del proyecto además de omitir la referencia a las prohibiciones en relación a los datos genéticos, datos biométricos y datos relativos a la salud, autoriza por la simple remisión al reglamento a que dichos datos puedan ser tratados
sin el consentimiento del interesado. La norma proyectada resulta excesivamente permisiva y facilita la comunicación de datos desde la sanidad pública a la sanidad privada y a la industria farmacéutica, por lo que se igualmente se hace necesaria la
remisión al consentimiento en los términos indicados en la propuesta de modificación del artículo 6 reseñado en la correspondiente enmienda precedente.
ENMIENDA NÚM. 7
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 9. Categorías especiales de datos
De adición.
Se adiciona un nuevo apartado 3 al artículo 9 del Proyecto, proponiéndose la siguiente redacción:
'3. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su
seguridad y confidencialidad.
En particular, la Ley deberá amparar el tratamiento de datos en el ámbito de la salud cuando sí lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del
que el afectado sea parte.
Los datos relativos a la salud de los trabajadores no podrán ser objeto de acceso ni comunicación a terceros, salvo cuando sea necesario para proteger intereses vitales o la atención inmediata del interesado o de otra persona física o cuando
sean reclamados para su gestión por la autoridad pública sanitaria o los servicios públicos de salud. El mero consentimiento del interesado no bastará para levantar esta prohibición.'
MOTIVACIÓN
En consonancia con la recomendación realizada por la principal organización representante de los trabajadores de este país, el sindicato CCOO, y respecto a los datos relativos a la salud de los trabajadores, cabe señalar que el Grupo de
Trabajo del Artículo 29 (en adelante, 'GT29') viene reiterando que, en la práctica, el trabajador no está en condiciones de prestar un consentimiento válido dadas las circunstancias. Partiendo de las características que definen el consentimiento en
el artículo 2.h) de la Directiva 95/46/CE como 'manifestación de voluntad, libre, específica e informada'; dada la dependencia del empleado y la necesidad también de que el consentimiento sea revocable, el GT29 considera que, como regla general, el
consentimiento no es una condición de legitimación válida en este contexto.
Los datos de salud se utilizan en el ámbito laboral, con demasiada frecuencia, para desproteger al trabajador por la vía del control de los procesos de incapacidad temporal presionando para la incorporación al trabajo o directamente
procediendo a la extinción de su contrato. Las Mutuas colaboradoras con la Seguridad Social, asociaciones privadas de empresarios conforme declara el TRLGSS, artículo 80, vienen reclamando el acceso a estos datos obrantes en la sanidad pública
(contingencias comunes) para una gestión interesada totalmente alejada de la finalidad para la que se tratan en los servicios públicos de salud, cual es la recuperación de la persona trabajadora. Esta comunicación debe prohibirse sin que pueda
quedar avalada por el consentimiento del trabajador dado el desequilibrio palmario e inherente a toda relación laboral entre la posición del trabajador y la del empresario.
ENMIENDA NÚM. 8
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 15. Derecho de supresión
De adición.
Se adiciona un nuevo apartado 3 al artículo 15 del Proyecto, proponiéndose la siguiente redacción:
'3. El derecho de supresión de datos de carácter personal será igualmente aplicable a los datos facilitados por los interesados a las confesiones o congregaciones de carácter religioso.'
MOTIVACIÓN
La supresión de los datos aportados por los ciudadanos a las diferentes congregaciones religiosas deben estar sujetas igualmente a la supresión de los datos aportados en su momento, en consonancia con lo establecido en el artículo 17 del
Reglamento UE, siendo una avance que este derecho quede explícitamente recogido en la ley.
ENMIENDA NÚM. 9
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 19. Tratamiento de datos de contacto y de empresarios individuales
De supresión.
Se propone la eliminación del artículo.
MOTIVACIÓN
Se permite que la empresa ceda a terceros los datos de localización 'profesional' del trabajador sin necesidad de que éste otorgue su consentimiento. Estos datos necesariamente afectarán a la localización particular o privada de la persona
trabajadora, pues sería innecesaria la regulación si se refiriera a la localización en el centro de trabajo, con las implicaciones que ello tiene respecto a la perturbación de la vida privada del trabajador y la disponibilidad más allá de la jornada
de trabajo.
Por otro lado, el proyecto se refiere a cualquier dato de contacto, teléfono, dirección, mail... Entendemos que el tratamiento de estos datos debe contar con el consentimiento del interesado, tanto y más cuando se pretende su comunicación a
terceros, por lo que el precepto debe ser suprimido.
Recordamos aquí nuevamente que en el ámbito de las relaciones laborales el GT29 viene reiterando que, en la práctica, el trabajador no está en condiciones de prestar un consentimiento válido dadas las circunstancias. Partiendo de las
características que definen el consentimiento en el artículo 2.h) de la Directiva 95/46/CE como 'manifestación de voluntad, libre, específica e informada'; dada la dependencia del empleado y la necesidad también de que el consentimiento sea
revocable, el GT29 considera que, como regla general, el consentimiento no es una condición de legitimación válida en este contexto.
ENMIENDA NÚM. 10
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 20. Sistemas de información crediticia
De modificación y adición.
Se modifica el epígrafe c) y se añade uno nuevo como g) al apartado 1 del artículo 20, a la vez que se adicionan dos nuevos apartados 4 y 5, quedando redactado el conjunto del texto del artículo de la siguiente forma:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas.
c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe, habiendo el afectado manifestado su
consentimiento.
La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la
posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
d) Que los datos se mantengan en el sistema durante un período de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito y sólo en tanto persista el incumplimiento.
e) Que los datos referidos a un deudor determinado solamente puedan ser consultados en los supuestos previstos en la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo, así como cuando quien consulte el sistema mantuviese una
relación contractual con el afectado que implique el abono de una cuantía pecuniaria o éste le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.
g) Que en los supuestos en los que el deudor afectado haya solicitado la aplicación de los derechos otorgados a los deudores hipotecarios en riesgo de exclusión, se haya tramitado su solicitud y denegado en tiempo y forma y no se haya
interpuesto reclamación al servicio de atención al cliente. En caso de haber sido otorgado los beneficios para este tipo de deudores hipotecarios en riesgo de exclusión, los datos sobre deudas deberán ser inmediatamente regularizados conforme a la
legislación establecida al efecto.
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el
artículo 26 del Reglamento (UE) 2016/679.
Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
3. La presunción a la que se refiere el apartado 1 no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado,
relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.
4. Todas las deudas anotadas en los sistemas comunes de información crediticia deberán especificar los distintos conceptos de la deuda, con el oportuno desglose, de tal forma que quede diferenciado el incumplimiento del pago de la
obligación principal del resto de conceptos adeudados en base a intereses u otros gastos y penalizaciones.
5. Cuando una entidad financiera o crediticia, o de cualquier otra índole, distinta de la que haya suministrado los datos del deudor al sistema común de información crediticia, consultase los datos de una persona deberá comunicar al
afectado la consulta efectuada, quedando en todo caso anotada la consulta en el registro del sistema común de información crediticia.'
MOTIVACIÓN
En la presente enmienda se modifican diversos aspectos del artículo 20. Por un lado, en el apartado 1 letra c) se adiciona al final del epígrafe una cláusula de cierre por la que se exige, expresamente, el consentimiento del afectado para
el tratamiento de sus datos por parte de un sistema común, lo que supone una mejora de carácter técnico, al dotarle de mayor claridad al artículo.
Por otra parte, se adiciona también en el apartado 1 un nuevo epígrafe g) por el que se establecen una serie de garantías respecto de los deudores hipotecarios en riesgo de exclusión, en concordancia con la legislación de protección de los
mismos actualmente existente.
Los nuevos apartado 4 y 5 vienen a dotar al artículo de mayor capacidad de información a los deudores sobre los datos que se han aportado al sistema común, toda vez que por un lado se obliga a las entidades a especificar el desglose de la
deuda por los conceptos adeudados así como la obligación de informar sobre las consultas de datos realizados, debiendo dejar anotada cada consulta realizada para mejor conocimiento de los afectados.
ENMIENDA NÚM. 11
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 21. Tratamientos relacionados con la realización de determinadas operaciones
De adición.
Para incorporar un párrafo segundo al apartado 1, quedando redactado el artículo como sigue:
'Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.
1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la
aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
Se excluyen de lo anterior el tratamiento y la comunicación de los datos de las personas trabajadoras. En estos casos, solo se admitirá la información sobre datos generales de la plantilla.
2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.'
MOTIVACIÓN
La redacción original de este artículo permitía o facilitaba la comunicación con carácter previo y sin limitación alguna, en los supuestos de sucesión de empresa (artículo 44 ET) los datos de los trabajadores aunque luego no se consumara
finalmente la sucesión. Esto supondría un tráfico no deseado de los mencionados datos, lo que afectaría gravemente a los derechos fundamentales de los trabajadores afectados. Por tanto, debe recogerse expresamente la exclusión indicada.
ENMIENDA NÚM. 12
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 22. Tratamientos con fines de videovigilancia
De modificación.
Se modifica el apartado 2 del artículo 22, que quedaría redactado de la siguiente forma:
'2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior, sin que en ningún caso se pueda hacer uso de las imágenes para fines diferentes de aquellos
para los que fue autorizada su instalación.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún
caso pueda suponer la captación de imágenes del interior de un domicilio privado a través de ventanas u otros elementos traslúcidos de la vivienda.'
MOTIVACIÓN
Como indica la jurisprudencia de nuestro tribunales, la captación de imágenes de un domicilio a través de ventanas u otros espacios abiertos de un domicilio puede suponer la conculcación del derecho a la intimidad del domicilio del artículo
18 CE, por lo que procede acotar con claridad que las grabaciones en la vía pública no podrán captar el interior de los domicilios a través de ventanas u otros espacios traslúcidos de las viviendas.
Así, por ejemplo, la sentencia de la Sala de lo Penal del Tribunal Supremo de fecha 20 de abril de 2016, siendo ponente el magistrado Manuel Marchena Gómez, indicaba claramente: 'La tutela constitucional del derecho proclamado en el
apartado 2 del art. 18 de la CE protege, tanto frente la irrupción inconsentida del intruso en el escenario doméstico, como respecto de la observación clandestina de lo que acontece en su interior, si para ello es preciso valerse de un artilugio
técnico de grabación o aproximación de las imágenes. El Estado no puede adentrarse sin autorización judicial en el espacio de exclusión que cada ciudadano dibuja frente a terceros. Lo proscribe el art. 18.2 de la CE . Y se vulnera esa
prohibición cuando sin autorización judicial y para sortear los obstáculos propios de la tarea de fiscalización, se recurre a un utensilio óptico que permite ampliar las imágenes y salvar la distancia entre el observante y lo observado'. Entendemos
por tanto que resulta procedente esta enmienda en tanto es necesario dejar explicitado en la ley la prohibición absoluta de que este tipo de videovigilancia pueda servir como forma de observación o grabación de lo que sucede en el interior de un
domicilio, todo ello en base al artículo 18.2 CE.
ENMIENDA NÚM. 13
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 22. Tratamientos con fines de videovigilancia
De modificación.
Se propone la modificación del apartado 5 del artículo 22, resultando el siguiente texto:
'5. La instalación de cámaras de videovigilancia o de cualquier dispositivo que permita la captación de imágenes de los trabajadores requerirá siempre y sin excepción alguna que el empresario informe previamente de manera expresa, precisa,
clara e inequívoca a los interesados y a sus representantes sobre la existencia, localización y las características particulares de dichos sistemas.
La captación de imágenes deberá responder exclusivamente a la finalidad de preservar la seguridad de las personas y bienes así como de las instalaciones, debiendo estar siempre sujeta la instalación de estos elementos de grabación a los
criterios de proporcionalidad y necesidad, y sin que en ningún caso se pueda hacer uso de las imágenes para fines diferentes de aquellos para los que fue autorizada su instalación.
En ningún caso se admitirá la captación de imágenes para el control directo ni indiscriminado de los trabajadores. En ningún caso se admitirá la instalación de sistemas audiovisuales de control en los lugares de descanso o esparcimiento,
tales como vestuarios, aseos, comedores y análogos.
El empresario deberá informar de forma expresa y precisa a los trabajadores y a sus representantes sobre los derechos de información, acceso, control de tratamiento, rectificación y cancelación de los datos.
El consentimiento otorgado por los trabajadores o por sus representantes no bastará en ningún caso para alterar lo establecido en el presente apartado.
Queda prohibida la captación de grabaciones de audio de las conversaciones de los trabajadores.'
MOTIVACIÓN
El texto del Proyecto supone una grave regresión en relación a la protección de los derechos de los trabajadores en relación con la actual regulación y se aparta manifiestamente de la doctrina sentada por el Tribunal Europeo de Derechos
Humano en la sentencia de 9 de enero de 2018, asunto: López Ribalta y otros contra España.
De nuevo en consonancia con la recomendación realizada por la principal organización representante de los trabajadores de este país, el sindicato CCOO, cabe recordar la gran importancia de esta sentencia del TEDH, que nos dice en algunos de
sus parágrafos lo que sigue:
'La Corte observa que la videovigilancia encubierta de un empleado en su lugar de trabajo debe considerarse, como tal, una intrusión considerable en su vida privada. Implica una documentación grabada y reproducible de la conducta de una
persona en su lugar de trabajo, que él o ella, que está obligado por el contrata de trabajo para realizar el trabajo en ese lugar, no puede evadir (ver Köpke, citado anteriormente). Por lo tanto, el Tribunal está convencido de que la ''vida
privada'' de los demandantes en el sentido del artículo 8 § 1 estaba relacionado con estas medidas.'
En esta materia el TEDH otorga relevancia determinante a la regulación del derecho a la vida privada que haya configurado la propia legislación nacional. No estamos ante un derecho cuyo contenido sea unívoco para el conjunto del ámbito del
CEDH, sino que el Tribunal admite modulaciones según la concreción del mismo que haya hecho el legislador nacional, en la consideración de que tales contenidos, si han sido establecidos, se integran como una especie de contenido adicional a la vida
privada.
En este pronunciamiento, se corrige en buena medida el criterio establecido por el propio Tribunal que había legitimado dicha práctica (caso Köpke), donde la empresa había utilizado cámaras para grabar al trabajador, ante la sospecha de
ilícitos cometidos en su puesto de trabajo.
Nos dice también el TEDH en la sentencia de 9 de enero de 2018, asunto López Ribalta y otros contra España, lo siguiente:
'La Corte no puede compartir la opinión de los tribunales nacionales sobre la proporcionalidad de las medidas adoptadas por el empleador con el objetivo legítimo de proteger el interés del empleador en la protección de sus derechos de
propiedad. El Tribunal observa que la videovigilancia llevada a cabo por el empleador, que tuvo lugar durante un período prolongado, no cumplió con los requisitos estipulados en la Sección 5 de la Ley de Protección de Datos Personales y, en
particular, con la obligación de explicitar previamente informe de manera precisa e inequívoca a los interesados sobre la existencia y las características particulares de un sistema que recopila datos personales. El Tribunal observa que los
derechos del empleador podrían haberse salvaguardado, al menos en cierta medida, por otros medios, en particular informando previamente a los solicitantes, incluso de forma general, sobre la instalación de un sistema de videovigilancia y
proporcionándoles la información prescrita en la Ley de Protección de Datos Personales.'
De este modo, la argumentación utilizada por los órganos judiciales del Orden Social, en el sentido de considerar que el incumplimiento de la Ley Orgánica de Protección de Datos no afectaba a la legitimidad de la práctica empresarial, y no
incidía en los derechos fundamentales de los trabajadores, pues la consideraban idónea, adecuada y proporcional para preservar el interés de la empresa, no es aceptable.
En realidad, el juicio de ponderación sólo puede ser legítimo si la empresa ha cumplido todas las exigencias legales para la instalación de las cámaras, informando a los trabajadores y a sus representantes de forma clara, directa, expresa,
de los espacios de trabajo en los que se efectuará la grabación. Sobre esta base es sobre la que hay que hacer el juicio de ponderación para saber si, aún así, estamos ante un sacrificio del derecho fundamental a la intimidad por no responder al
canon de control de las medidos que limitan los derechos fundamentales, como es el juicio de proporcionalidad de la medida en el sentido de necesaria, idónea y proporcional, por no ser adecuada y no ser posible otras menos gravosas.
Entre las conclusiones que cabe colegir de la doctrina recogida en dicha Sentencia del TEDH están las siguientes:
1. El derecho a la vida privada está determinado por la expectativa legítima de privacidad que pueda tener una persona, que se configura por las garantías y derechos que se le hayan atribuido por la legislación o práctica nacional.
2. En el caso de España, la normativa que protege el tratamiento de los datos personales y las facultades que otorga a sus titulares es de plena aplicación al ámbito de las relaciones laborales, y los trabajadores están plenamente
legitimados, y sus representantes, para ejercitar las facultades de información, acceso, control del tratamiento, rectificación y cancelación.
3. Se constata un incumplimiento del deber establecido en la Ley Orgánica de Protección de Datos, de informar y de los derechos de acceso a los datos personales, efectuados por la empresa, al instalar las cámaras secretas y tratar y
visionar su contenido, aunque hubiera informado de otras cámaras de vigilancia que controlaban otros espacios del centro de trabajo.
4. Corrige al TC en cuanto a la forma de considerarse verificado el conocimiento de las grabaciones de la imagen. Cabe exigir un conocimiento concreto y concluyente del espacio objeto de grabación, y la exclusión en todo caso de la
grabación clandestina.
5. Las sospechas de irregularidades graves en el desempeño de la actividad laboral, incluyendo los puestos que implican el manejo de fondos, no legitiman una excepción del deber de informar del hecho de la grabación que afecta al puesto
objeto de sospecha, y cumplir las exigencias de la LOPD.
6. Desaparece la unilateralidad empresarial en la adopción de medidas de afectación a la intimidad de los trabajadores, y se impone la regla general de que siempre ha de cumplirse con el deber de información.
7. La empresa siempre dispone de un medio de defensa de sus intereses, como es el anuncio de la grabación de las imágenes, que ofrece ya una protección sobre su patrimonio por la función disuasoria. Por ello, no puede decirse que la
grabación clandestina supere el test de proporcionalidad para legitimar su implantación.
8. Con ello se debe poner fin a una configuración de los derechos fundamentales en la relación laboral que ha venido utilizando, en cierta medida, el propio Tribunal Constitucional y muchas decisiones del Orden Social, en el sentido de que
los derechos fundamentales, y en particular la intimidad y la vida privada en la relación laboral, se sacrifican ante la existencia de un interés empresarial contrapuesto, que incide en ese ámbito de privacidad, cuando se considera la medida idónea,
necesaria y proporcionada.
9. Según la doctrina del TEDH, cuando existe una legítima expectativa de privacidad, generada, en este caso, por una ley orgánica que de forma incondicionada obliga al deber de informar de la instalación de cámaras, y que esa información
sea concluyente y precisa, no existe margen alguno para considerar razonable, adecuada o proporcionada la decisión empresarial de violar dicha normativa.
10. Quedan fuera de este litigio los efectos de las pruebas obtenidas en el proceso laboral. El TEDH no declara que en el caso se hubiera lesionado el principio a un proceso justo, por las garantías que se aplicaron en el proceso laboral.
No obstante, la legislación procesal atribuye carácter ilícito a las pruebas obtenidas en violación de los derechos fundamentales, lo que puede ser determinante en los procesos disciplinarios y por despido.
Por otra parte, el Grupo del artículo 29 de la UE en su Dictamen 4/2004 afirma que, por regla general, no debe estar permitida la video vigilancia para el control directo de los trabajadores. Recordamos aquí nuevamente que en el ámbito de
las relaciones laborales el GT29 viene reiterando que, en la práctica, el trabajador no está en condiciones de prestar un consentimiento válido dadas las circunstancias de desequilibrio en la que se desarrolla el contrato de trabajo. Partiendo de
las características que definen el consentimiento en el artículo 2.h) de la Directiva 95/46/CE como 'manifestación de voluntad, libre, específica e informada', dada la dependencia del empleado y la necesidad también de que el consentimiento sea
revocable, el GT29 considera que, como regla general, el consentimiento no es una condición de legitimación válida en este contexto.
Por todo ello se propone el siguiente texto, siendo más garantista con los derechos de los trabajadores a la vez que se sujeta la instalación de este tipo de grabaciones a los criterios de proporcionalidad y necesidad.
ENMIENDA NÚM. 14
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 22. Tratamientos con fines de videovigilancia
De adición.
Se adiciona al apartado 7 del artículo 22 un párrafo segundo, quedando redactado el texto de la siguiente forma:
'7. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control
en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección
o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación
específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
Siempre que se haga uso de cámaras y videocámaras o de videovigilancia por parte las Fuerzas y Cuerpos de Seguridad y por los órganos competentes a los que se refiere el presente apartado se realizará bajo los criterios de proporcionalidad y
necesidad, sin que en ningún supuesto su utilización
pueda suponer la captación de imágenes del interior de un domicilio privado a través de ventanas u otros elementos traslúcidos de la vivienda.'
MOTIVACIÓN
En coherencia con la enmienda precedente, añadiendo además que para el caso de utilización de cámaras y videocámaras o de videovigilancia por parte las Fuerzas y Cuerpos de Seguridad y por los órganos competentes a los que se refiere el
presente apartado se realizará bajo los criterios de proporcionalidad y necesidad.
ENMIENDA NÚM. 15
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 24
De supresión.
Se suprime el artículo 24 sobre sistema de denuncias internas.
MOTIVACIÓN
No resulta justificado la creación de un sistema de información y denuncias anónimas en el sector privado de aplicación a las relaciones laborales.
Este sistema no se admite en el Proyecto para el ámbito de las relaciones del empleo público porque es ilegítimo y contrario a derechos fundamentales de los trabajadores (entre otros los que protegen su dignidad, su derecho la defensa, su
derecho a la intimidad y a la privacidad, el derecho a la protección de datos...), por tanto, tampoco debe admitirse en el empleo privado.
La aplicación de dichos sistemas al ámbito de las relaciones laborales incumple el artículo 88 del Reglamento que exige garantizar la transparencia mientras que en el Proyecto de Ley quedan amparadas las denuncias anónimas desprotegiendo los
derechos y libertades de los trabajadores en el sector privado, sin ninguna garantía para preservar su dignidad e intereses legítimos, imponiendo un desequilibrio entre denunciante (a quien se protege) y denunciado (trabajador previsiblemente sujeto
a decisiones que afecten a sus derechos como trabajador).
Estos sistemas inquisitoriales, en los que se transgrede la dignidad de los trabajadores y se les coloca en la situación de súbditos sospechosos, son éticamente inaceptables en una sociedad democrática.
ENMIENDA NÚM. 16
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 34. Designación de un delegado de protección de datos
De modificación.
Se modifica el epígrafe n) del apartado 1 del artículo 34, que quedaría redactado de la siguiente forma:
'n) Los operadores que desarrollen la actividad de juego a través de cualquier medio, incluidos especialmente los canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo
dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego. Quedarán exentos de esta obligación los vendedores ambulantes autorizados de cupones o lotería, así como los establecimientos unipersonales de situados de venta en la vía
pública de lotería, o apuestas o similar.'
MOTIVACIÓN
No parece justificado que la actividad del juego a través de medios que no sean electrónicos deba quedar excluido de esta obligación, como así viene recogido en el epígrafe n) del artículo 34.1 del Proyecto del Ley. Aunque en otro apartado
se incluyen los responsables de ficheros de la Ley 10/2010 y en ella están incluidas estas actividades, resulta más razonable abarcar toda la actividad del juego con las excepciones que se establecen in fine de la propuesta de artículo modificado.
ENMIENDA NÚM. 17
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 35. Cualificación del delegado de protección de datos
De modificación y adición.
Se propone la modificación del artículo. Se configura un apartado 1 con el texto original al que se adiciona un párrafo segundo, a la vez que se crea un apartado 2, siendo el texto resultante el siguiente que se propone:
'Artículo 35. Cualificación del delegado de protección de datos.
1. El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de
mecanismos voluntarios de certificación.
En el caso de que el delegado de protección de datos sea una persona jurídica, esta deberá estar en condiciones de demostrar que la misma dispone de delegados de protección de datos físicos necesarios en número y cualificación para cumplir
con sus funciones.
2. No serán compatibles las funciones de delegado de protección de datos con otras tareas dentro de la organización que puedan generar conflicto de intereses. El responsable o encargado de tratamiento deberá realizar un análisis previo de
incompatibilidad de funciones, cualificación e idoneidad en la designación del delegado de protección de datos.
Los responsables o encargados deberán realizar y conservar un análisis justificativo de la necesidad o no de designar un delegado de protección de datos, salvo que sea manifiesta la falta de necesidad de la justificación. Este análisis
deberá repetirse en caso de que varíen las circunstancias del responsable o encargado de tratamiento de datos.'
MOTIVACIÓN
En lo que concierne al nuevo adicionado en el texto que ahora conforma el apartado 1 del artículo, la nueva redacción pretende evitar un vicio de mercado existente en el campo de la privacidad y que consiste en alentar empresas que
despliegan una gran labor comercial, mediante cadenas de franquicias incluso, ofreciendo servicios del Delegado de protección de Datos (en adelante, DPD) sin contar después más que con un profesional que cumpliera con la preparación y experiencia
necesarias.
En cuanto al nuevo apartado 2, el texto que se propone parte de la idea de que el mismo concepto de DPD implica una serie de incompatibilidades que se deben desarrollar, por lo que parece oportuno dar un soporte normativo en la misma ley
para que dicho desarrollo esté ya contemplado en la misma. No es
coherente que el propietario o gerente de la organización, por ejemplo, desempeñe las funciones de DPD, ya que comprometería gravemente su independencia.
Como ya se sugiere por parte del GT29, sería muy importante que se realizara por escrito un análisis de la necesidad de disponer de DPD. Con ello se da una mayor garantía jurídica toda vez que se cataloga como falta grave no disponer de DPD
en actividades en las que es necesaria esta figura.
ENMIENDA NÚM. 18
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 36. Posición del delegado de protección de datos
De modificación.
Se propone la modificación de los apartados 1 y 2 del artículo 36, quedando redactado el texto del artículo de la siguiente forma:
'Artículo 36. Posición del delegado de protección de datos.
1. El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos, las autoridades autonómicas de protección de datos, las demás administraciones
públicas o judiciales y los demás delegados de protección de datos de otras entidades en el caso de necesaria colaboración.
2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus
funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio.
En caso de que el delegado de protección de datos sea persona externa a la organización, se procurará que sus funciones se fijen en periodos de varios ejercicios con el fin de dotar de la mayor independencia a sus funciones.
3. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier
deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la presente ley.
4. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del
tratamiento.'
MOTIVACIÓN
En lo concerniente a la modificación del apartado 1 del artículo, parece razonable que el Delegado de protección de Datos (DPD), en su condición de garante de la ley, pueda ser interpelado además de por cualquier entidad administrativa
pública en su ámbito competencial, como es el caso de los entes de las diferentes Comunidades Autónomas, por la autoridad judicial. Así resulta necesario que los DPD cobren conciencia de la capacidad de ser requeridos por parte de la autoridad
judicial, por lo que parece apropiada su inclusión en el elenco de autoridades que pueden dirigirse a ellos. También parece prudente recoger en la ley la posibilidad de que esa interlocución pueda realizarse con los delegados de otras entidades.
Respecto a la modificación del apartado 2 del artículo, parece desprenderse del proyecto de ley que tan solo se protege la independencia del DPD cuando se trata de un empleado interno de la organización, lo que podría fomentar la
externalización del servicio que no está igualmente protegido, por lo que resulta razonable la propuesta de modificación que se hace en aras de salvaguardar la independencia de los DPD externos.
ENMIENDA NÚM. 19
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 48. El Presidente de la Agencia Española de Protección de Datos
De modificación.
Se modifican los apartados 2 y 3 del artículo 48, quedando redactado el texto de ambos apartados de la siguiente forma:
'2. El Presidente de la Agencia será nombrado por el Congreso de los Diputados por 3/5 de la Cámara, a propuesta de los Grupos Parlamentarios, entre profesionales de reconocida competencia con conocimientos y experiencia acreditados para el
desempeño de sus funciones.
3. El mandato del Presidente de la Agencia tiene una duración de cinco años y puede ser renovado para otro periodo de igual duración.
El Presidente solo cesará, antes de la expiración de su mandato, a petición propia o por separación acordada por 2/3 del Congreso de los Diputados a petición del Gobierno, previa instrucción de expediente, por incumplimiento grave de sus
obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.'
MOTIVACIÓN
En consonancia con lo indicado en el apartado 1 del mismo artículo, en el que se plasma el principio de independencia y objetividad del Presidente de la Agencia, se razona que no parece lo más apropiado que, como indica el apartado 2 del
proyecto de ley, sea el Gobierno quien elija, a propuesta del Ministerio de Justicia, al Presidente de la Agencia, por lo que se propone que sea el Congreso de los Diputados la institución que lo elija por acuerdo de 3/5 de la cámara.
En igual sentido, se modifica el apartado 3 de tal forma que el Gobierno no podrá cesar al Presidente, salvo que cuente con la conformidad de 2/3 del Congreso de los Diputados.
ENMIENDA NÚM. 20
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 67. Actuaciones previas de investigación
De adición.
Se propone la adición de un segundo párrafo al apartado 1 del artículo 67, quedando redactado el texto siguiente:
'1. Antes de la iniciación del procedimiento la Agencia Española de Protección de Datos podrá incoar actuaciones previas de investigación a fin de determinar si concurren circunstancias que lo justifiquen.
La Agencia Española de Protección de Datos deberá actuar, en todo caso, cuando se trate de procedimientos que incluyan el tráfico masivo de datos de carácter personal. Esta actuación deberá comprender una auditoría del procedimiento con
objeto de garantizar los derechos de las personas previstos en la presente Ley.'
MOTIVACIÓN
Se pretende reforzar las garantías de que la Agencia Española de Protección de Datos podrá velar eficazmente por el ejercicio de los derechos de las personas ante el creciente tráfico de nuestros datos desde empresas hasta otras empresas y
hasta el sector público.
Por poner un ejemplo reciente, el Registro de Nombres de Pasajeros (PNR) parece ser que está listo para comenzar a funcionar oficialmente en España y en otros países tanto pertenecientes a la Unión Europea como no pertenecientes. Para
hacernos una idea aproximada de la cuantificación que puede suponer dicha herramienta para el incremento del tráfico de nuestros datos, pensemos que alrededor de tres millones de datos de pasajeros navegarán diariamente desde empresas del sector
aéreo hasta las bases policiales del CITCO (Centro de Inteligencia contra el Terrorismo y el Crimen Organizado) donde se ubicará la UNIP (Unidad Nacional de Información de Pasajeros). Allí se transferirán los datos personales de los viajeros
enviados por las compañías aéreas.
Además, la nueva Directiva europea deja abierta la posibilidad de que el cruce de datos de los registros de pasajeros no afecte solo a las compañías aéreas, sino que puedan proceder de navieras o de compañías ferroviarias y hasta de
autobuses.
Ante este 'tsunami' que estamos soportando, caben dos opciones: 'Tirar la toalla' a modo de rendición y ya no hacer nada para frenarlo, o bien, seguir intentando controlarlo.
Entendemos que esta nueva LOPD debe convertirse también en una herramienta eficaz para este control, apoyándose, entre otras, en la STC 292/2000.
En efecto, pata el Tribunal Constitucional (TC) el propósito de la protección de datos es la garantía del pleno dominio del individuo sobre su identidad personal. Ni se trata de proteger su intimidad, para lo cual ya existe el artículo 18.1
CE que garantiza el derecho a tenerla (STC 134/1999), ni el honor, cuyo amparo debe buscarse también en el artículo 18.1 CE. La función del derecho a la protección de datos de carácter personal, parafraseando lo dicho por la STC 292/2000, es la de
garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para su dignidad y derechos, así como para oponerse a cualquier reconstrucción, conocida o no, de
su identidad, comportamiento o ideología y opinión a partir de sus datos de carácter personal por quien los posea.
El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos, e impone a los poderes públicos la prohibición de que se conviertan en fuentes de información sin las debidas garantías; y también el
deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información (SSTC 144/1999 y 292/2000). El derecho a la protección de datos consiste, pues, en un poder sobre el uso del dato revelado, poniendo a
disposición del afectado la facultad de controlar ese LISO y el destino del dato que revela a un tercero con el fin de atajar el uso fraudulento o el tráfico ilegal de sus datos personales, e incluso cualquier evaluación de su persona que se haga a
partir de ellos si la obtención, almacenamiento y tratamiento de esos datos se ha hecho sin su conocimiento y consentimiento (STC 292/2000, art. 13 de la LOPD vigente).
En línea con lo anterior y reforzando los razonamientos expresados, traemos a colación unas reflexiones al respecto de Ignacio Villaverde Menéndez, Profesor Titular de Derecho Constitucional en la Universidad de Oviedo. Dice al respecto de
la STC 292/2000: 'El TC ha sido claro, el derecho a la protección de datos es un derecho esencialmente de prestación cuyo objeto son los datos que permiten identificar a una persona, y su propósito es que esa persona sepa, consienta y pueda
disponer en todo momento sobre la publicidad de sus datos y el alcance que ella tenga. Por así decirlo, la privacidad protege el dato antes de ser conocido y la protección de datos lo hace una vez que se revela a un tercero. La primera asegura el
dato frente a la curiosidad ajena dotando a la persona del poder jurídico de disponer sobre su accesibilidad a terceros; la segunda le otorga el poder de controlar su uso por ese tercero una vez el dato le ha sido revelado. Además, no es un
derecho fundamental de configuración legal, porque su contenido ya está definido en el artículo 18.4 CE y se aplica directamente sin necesidad de que medie norma legal alguna que lo concrete'.
ENMIENDA NÚM. 21
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 70. Sujetos responsables
De modificación.
Se modifica el apartado 2 del artículo 70 de la presente ley, que queda redactado como sigue:
'2. No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este título, salvo la existencia de negligencia grave o dolo en el desempeño de sus funciones.
Todos los delegados de protección de datos quedarán sometidos a la regulación que se establezca a través de las entidades de Certificación previstas en el artículo 39 de esta ley y del artículo 43.1 del Reglamento (UE) 2016/679.'
MOTIVACIÓN
Con el papel otorgado a los Delegados de Protección de Datos (DPD), como garantes de la ley, se debe también exigir responsabilidad a los mismos. Con la aprobación del esquema de certificación, se establece una serie de responsabilidades a
los DPD acreditados según el esquema de la Agencia Española de Protección de Datos. Pero a la vez se hace convivir, en el mismo plano, esta figura de DPD certificado con un DPD que no lo esté. Por ello, resulta necesario que la supervisión y
responsabilidad se establezca a todos los DPD independientemente de la certificación que posean.
ENMIENDA NÚM. 22
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 72. Infracciones muy graves responsables
De adición.
Se adiciona al apartado 1 del artículo 72 de la presente ley un nuevo epígrafe, denominado p), entre el elenco de sanciones muy graves, nuevo epígrafe que tendrá la siguiente redacción:
'p) La desanonimización de datos previamente anonimizados para permitir la reidentificación de las personas.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 23
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
Al artículo 77. Régimen aplicable a determinadas categorías de trabajadores o encargados de tratamiento
De adición.
Se adicionan nuevos epígrafes con identificación j) y h) al apartado 1 del artículo 77, siendo la redacción de los epígrafes que se adicionan la siguiente:
'j) Los Sindicatos, las secciones sindicales y los delegados sindicales.
h) Los delegados de personal, los miembros de los Comités de Empresa y los miembros de las Juntas de personal.'
MOTIVACIÓN
Los sindicatos de trabajadores son organizaciones de especial relevancia constitucional reconocida en el artículo 7 de la Constitución española, siendo instrumentos de su acción sindical en la empresa, las secciones sindicales y los
delegados sindicales (art. 10 Ley Orgánica de Libertad Sindical), los delegados de personal, comités de empresa y juntas de personal (T II del ET y art. 39 y ss del Estatuto Básico del Empleo Público).
Por su relevancia constitucional reconocida en el título preliminar de la Constitución, tanto los sindicatos como sus secciones sindicales y delegados sindicales, los delegados de personal y los Comités de Empresa y Juntas de personal
deberían estar incluidos en el artículo 77.
ENMIENDA NÚM. 24
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
A la disposición adicional octava
De modificación.
Se modifica la disposición adicional octava, que queda redactada como sigue:
'Disposición adicional octava. Incorporación de deudas a sistemas de información crediticia.
No se incorporarán a los sistemas de información crediticia a los que se refiere el artículo 20.1 de esta Ley Orgánica deudas en que la cuantía del principal sea inferior a trescientos euros.
El Gobierno, mediante real decreto, podrá modificar esta cuantía a una cantidad superior.'
MOTIVACIÓN
Dada la trascendencia que este tipo de pequeñas deudas suele tener en la vida de las personas, ya que pueden imposibilitar el acceso a servicios básicos, y siendo diversas las razones que pueden llevar a que aparezcan en este tipo de
registros deudas vinculadas con una persona aun cuando pudieran tener su origen en terceras personas, se considera adecuado incrementar la cuantía mínima para la inclusión en estos registros en la cantidad de 300 euros. Por otra parte, se modifica
la capacidad del Gobierno de variar esta cuantía solo a una cantidad superior.
ENMIENDA NÚM. 25
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
A la disposición adicional undécima
De modificación.
Se modifica la disposición adicional undécima, que pasará a tener la siguiente redacción:
'Disposición adicional undécima. Dotación presupuestaria.
La designación por los órganos y entidades que conforman el sector público estatal de un delegado de protección de datos, el establecimiento de los registros de actividades de tratamiento a los que se refiere el artículo 31 de esta Ley
Orgánica, la creación de la figura del Delegado de Protección de Datos de los artículos 34 y siguientes, así como la habilitación a la que se refiere el artículo 51.2 de esta Ley Orgánica, así como la difusión, información y puesta en práctica de la
presente ley, deberá contar con la adecuada habilitación presupuestaría.'
MOTIVACIÓN
Dado el cambio que supondrá la entrada en vigor de la presente ley, resulta necesario contemplar la conveniente habilitación presupuestaria para dar respuesta satisfactoria a los retos que supone desarrollar lo preceptuado en los artículos
31, 34, y 51.2
ENMIENDA NÚM. 26
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
De adición.
Se añade una disposición adicional decimoctava, que tendrá la siguiente redacción:
'Disposición adicional decimoctava.
El Gobierno, en el plazo de dos años desde la entrada en vigor de esta Ley Orgánica, remitirá a las Cortes un proyecto de ley en el que establecerá condiciones adicionales y, en su caso, limitaciones al tratamiento de datos relativos a la
salud, genéticos o biométricos.'
MOTIVACIÓN
Como ya se viene a indicar en los propios artículos 8 y 9.2 del proyecto de ley, parece necesario el desarrollo de una legislación específica para el tratamiento de este tipo de datos, por lo que se presenta como razonable que se disponga la
obligación de remitir un proyecto de ley específico en el plazo de dos años.
ENMIENDA NÚM. 27
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
De adición.
Se añade una disposición adicional decimonovena, que tendrá la siguiente redacción:
'Disposición adicional decimonovena.
El Gobierno, en el plazo de dos años desde la entrada en vigor de esta Ley Orgánica, remitirá a las Cortes un proyecto de ley de privacidad del menor en el que establecerá condiciones, limitaciones e información de los menores de 16 años en
espacios digitales y de cualquier otro ámbito en los que estos menores se desenvuelvan y puedan incorporar datos sobre su identidad y desarrollo personal.'
JUSTIFICACIÓN
Debe tenerse en consideración especial el uso que se pudiera dar de los datos que un menor pudiera dejar en aquellos ámbitos de la vida en los que se están desarrollando, con un detenimiento especial en los accesos o sitios web o redes
sociales, lo que hace necesaria una regulación especial.
La futura ley deberá estar dirigida a sitios web que están dirigidos a niños menores de 16 años o de aquellos de los que se tenga conocimiento de que estos menores están visitando. Como mínimo, se debiera requerir que estos sitios web
publiquen las políticas de privacidad en el sitio, las cuales detallen si la información personal está siendo recopilada, cómo la información está siendo utilizada y las prácticas de divulgación del operador del sitio. El objetivo de la ley debe
situar regular igualmente que estos sitios también deben obtener el consentimiento de sus progenitores de forma verificable para recopilar esta información de los niños menores de 16 años, así como la obligación del proveedor de, a petición de sus
progenitores o tutores, proporcionar una descripción del tipo de información que se colecta y discontinuar la recolección futura de datos del niño en particular.
Como antecedente legal, cabe señalar la Ley de Protección de la Privacidad de Menores de los Estados Unidos (COPPA, por sus siglas en inglés) de 1998 que se estableció como un medio para proteger la privacidad de los niños, aun cuando la
regulación norteamericana, como en general para todo lo concerniente a la protección de datos, es laxa e insuficientemente protectora.
ENMIENDA NÚM. 28
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
De adición.
Se añade una disposición vigésima, que tendrá la siguiente redacción:
'Disposición adicional vigésima.
Los convenios colectivos podrán establecer normas más específicas para establecer protecciones adicionales y garantías de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral y
con la transparencia en dicho tratamiento, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el
cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas
dedicadas a una actividad económica conjunta, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, sistemas de supervisión en el lugar de trabajo, protección de los bienes de empleados o clientes, así como a efectos del
ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.'
MOTIVACIÓN
El artículo 88 del Reglamento comunitario obliga a los Estados miembros a establecer una regulación específica en relación con el tratamiento de datos en el ámbito laboral, lo que no resulta atendido por el presente Proyecto de Ley. Aunque
la negociación colectiva está legitimada constitucionalmente para abordar esta regulación específica, la inclusión de la disposición obedece a la oportunidad de hacer un llamamiento para que se establezcan protecciones y garantías adicionales a
través de la misma.
ENMIENDA NÚM. 29
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
De adición.
Se añade una disposición vigésima primera, que tendrá la siguiente redacción:
'Disposición adicional vigésima primera.
Las autoridades competentes deberán garantizar el acceso a los Archivos Públicos y Eclesiásticos en relación a personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas
a las que se realicen las peticiones de acceso.
Las solicitudes en relación a personas desaparecidas deberán estar debidamente motivadas, sin que por parte de los Archivos Públicos o Eclesiásticos pueda existir más oposición a dicha demanda que las causas recogidas en la ley ni alegar
silencio administrativo.'
MOTIVACIÓN
La exigencia de apertura de los Archivos Públicos y Eclesiásticos, con relación a Personas Desaparecidas, sin plazo de prescripción por tratarse de Delitos Permanentes e Imprescriptibles, según la tipificación internacional del Grupo de
Trabajo de NN.UU. elevada a la Asamblea General, ha sido una constante, tanto por parte de este Organismo Internacional como por la Comisión de Peticiones del Parlamento Europeo. Esta comisión, haciéndose eco de la demanda razonada de las
víctimas, cursó por vía oficial requerimiento de 'facilitar sin excusas los accesos que se requieran para documentar la tutela judicial efectiva, prevista en la Constitución y en el Protocolo de la Víctima, tanto por parte de los Archivos Públicos
españoles como los asignados a la Iglesia Católica'. Dicho requerimiento se formalizó por vía diplomática desde el Parlamento Europeo con fecha 17 de septiembre de 2016, con entrega al embajador ante la UE, señor Dasti, como a la Nunciatura
Apostólica con sede en España, vía Vaticano. Es por todo lo indicado anteriormente que la enmienda que se propone esté plenamente justificada.
ENMIENDA NÚM. 30
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
De adición.
Se añade una disposición transitoria séptima, que tendrá la siguiente redacción:
'Disposición transitoria decimonovena.
Hasta la entrada en vigor de las leyes que de forma específica regulen y desarrollen el tratamiento de datos en supuestos de investigación científica y salud pública y la protección de los menores de 16 años, se estará a lo dispuesto en el
Reglamento UE 2016/679 y en la presente ley.'
MOTIVACIÓN
Mejora técnica en coherencia con enmiendas precedentes.
ENMIENDA NÚM. 31
FIRMANTE:
Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea
A la disposición final quinta. Entrada en vigor
De modificación.
'Disposición final quinta. Entrada en vigor.
La presente Ley Orgánica entrará en vigor al día siguiente de su publicación en el ''BOE''.'
MOTIVACIÓN
Mejora técnica, no es viable la entrada en vigor el 25 de mayo del presente año.
A la Mesa de la Comisión de Justicia
El Grupo Parlamentario Vasco (EAJ-PNV), al amparo de lo establecido en el artículo 110 y siguientes del Reglamento de la Cámara, presenta las siguientes enmiendas al articulado al Proyecto de Ley Orgánica de Protección de Datos de Carácter
Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Aitor Esteban Bravo, Portavoz del Grupo Parlamentario Vasco.
ENMIENDA NÚM. 32
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 1. Objeto de la Ley
De modificación.
Debe modificarse el apartado 2, del artículo 1, en el siguiente sentido:
'2. El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley
orgánica y en la legislación autonómica que resulte de aplicación.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 33
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 3. Datos de las personas fallecidas
De adición.
Debe incorporarse un nuevo apartado 4, al artículo 3, con el siguiente tenor:
'4. Lo establecido en este artículo en relación con los datos de personas fallecidas en las Comunidades Autónomas con derecho civil, foral o especial, propio se regirá por lo establecido por éstas dentro de su ámbito de aplicación.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 34
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 6. Tratamiento de datos basado en el consentimiento del afectado
De modificación.
Debe modificarse el artículo 6, en el siguiente sentido:
'1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada
e inequívoca por la que éste acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de
ellas.
3. En el ámbito de la investigación científica, y en particular la biomédica, el consentimiento podrá dar cobertura a otras finalidades que en este ámbito no son posibles de determinar o especificar en el momento de otorgarlo.
En este sentido, el tratamiento de datos personales con fines distintos de aquellos para los que han sido recogidos inicialmente solo deberá permitirse cuando sean compatibles con los fines de su recogida inicial. Las operaciones de
tratamiento ulterior con fines de investigación científica, y en concreto la biomédica, se consideran operaciones de tratamiento lícitas compatibles, con las garantías adecuadas para salvaguardar los derechos de los pacientes tal y como se disponga
en la normativa de investigación científica en el ámbito de la biomedicina.
4. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.'
JUSTIFICACIÓN
Los considerandos 33, 157 y 159 del RGDP contemplan la posibilidad de otorgar, en el ámbito de la investigación científica (en la que se incluye la investigación biomédica), un consentimiento amplio, así como compatibilizar posibles usos
posteriores con el tratamiento inicial para el que se consintió.
Además la Agencia Española de Protección de Datos en su Plan Estratégico 2015-2019, incluye entre sus retos, el que la innovación y la protección de datos discurran de forma paralela, siendo éste un buen momento a través de este nuevo marco
normativo sobre protección de datos, para dar respuesta a este nuevo paradigma.
Por otro lado, la propuesta de un nuevo apartado 3 al presente artículo, relativo a la compatibilidad del fin inicial para el que fue recogido el consentimiento con el fin ulterior, responde a lo previsto en el considerando 50 del RGPD que
señala que: 'El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial... Las operaciones de tratamiento
ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles'.
Prueba de ello es que el artículo 6.4 a) del RGPD establece que, cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado, el responsable del
tratamiento tendrá en cuenta, entre otras cosas, cualquier relación entre los fines para los cuales se recogieron los datos personales y los fines de tratamiento ulterior previsto.
A mayor abundamiento, el artículo 5.1.b) del RGDP, dedicado a los principios relativos al tratamiento indica que el tratamiento ulterior de los datos personales con fines de investigación científica (reconocida por el artículo 44.2 de
nuestra Constitución como actividad de interés público), no se considerará incompatible con los fines iniciales. Por ello, algunos países como Alemania ya han aprobado una legislación que permite la reutilización de datos en Investigación Biomédica
sin necesidad de obtener un nuevo consentimiento del interesado, basado en el referido artículo 5.1.b) del RGDP.
Una creciente preferencia por el consentimiento expreso y específico y el principio de minimización de datos, sin tomar en consideración el valor que generan los usos posteriores de los mismos, podría ralentizar la innovación, restando
competitividad al país. El valor de la información reside tanto en su uso primario como en los usos secundarios que se pueden hacer de esa información que cuenta con las garantías adecuadas, tal y como dispone el artículo 6.4 e) del RGPD.
Se incorpora, asimismo, consecuencia de lo explicitado anteriormente que la reutilización de datos en el ámbito de la investigación biomédica se atendrá a lo dispuesto en la normativa específica sobre investigación científica en el ámbito de
la biomedicina, una invocación a la Ley 14/2007, de 3 de julio, sobre investigación biomédica.
ENMIENDA NÚM. 35
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 11. Transparencia e información al afectado, del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
De modificación.
Se propone la modificación del apartado 1, del artículo 11 que quedará redactado como sigue:
'1. Cuando los datos de carácter personal sean obtenido del afectado, así como en aquellos otros supuestos establecidos por la Ley o cuando la autorice la Agencia Española de protección de datos o, en su caso, las autoridades autonómicas de
protección de datos, el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e
indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.'
JUSTIFICACIÓN
Este precepto parece establecer limitaciones a la información por capas al reservarla a una serie de supuestos: cuando los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de un servicio de la
sociedad de la información, así como en otros supuestos expresamente establecidos por ley o cuando así lo autorice la AEPD.
No se entiende la razón de esta regulación que impide informar por capas cuando los datos sean obtenidos del afectado fuera de los supuestos citados, por ejemplo, a través de impresos (suscripciones, solicitudes etc.), y sin embargo, lo
permite siempre que los datos no se obtengan del propio afectado. Tampoco se entiende la intervención exclusiva de la AEPD para autorizar este sistema de información, ni en qué supuestos opera.
ENMIENDA NÚM. 36
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 12. Disposiciones generales sobre el ejercicio de los derechos
De modificación.
Se modifica el apartado 3 del artículo 12 que quedará redactado de la siguiente manera:
'3. El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.'
JUSTIFICACIÓN
Se trata de aclarar que el encargado no resuelve.
ENMIENDA NÚM. 37
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 22. Tratamientos con fines de videovigilancia
De modificación.
Proponemos la modificación del apartado 2 del artículo 22 quedando redactado de la siguiente manera:
'2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.'
JUSTIFICACIÓN
Por resultar redundante, tal y como señala el informe del CGPJ.
ENMIENDA NÚM. 38
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 22. Tratamientos con fines de videovigilancia
De modificación.
Se modifica el apartado 6, del artículo 22, quedando redactado de la siguiente manera:
'6. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio, salvo que se trate
del control de actividades profesionales desarrolladas en el mismo, que se regirán por lo dispuesto en el apartado 5 anterior.
Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.'
JUSTIFICACIÓN
En el apartado 6 que excluye de su ámbito el tratamiento de imágenes en el propio domicilio debe aclararse que se excluye únicamente cuando los datos se inscriban en el marco de la vida priva-da o familiar de los particulares según
jurisprudencia del TJUE (ver CGPJ pág. 28 y 29). Por tanto el uso de cámaras para control laboral de los empleados domésticos o de una actividad profesional desarrollada en el propio domicilio se regulará por lo dispuesto en el apartado 5 de este
mismo artículo.
ENMIENDA NÚM. 39
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 23. Sistemas de exclusión publicitaria
De modificación.
Proponemos la modificación del artículo 23 con la siguiente redacción:
'Artículo 23. Sistemas de exclusión publicitaria.
1. (igual).
2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la Autoridad de control competente su creación, su carácter... (resto igual).
La Autoridad de control competente hará pública una relación de los sistemas de esta naturaleza que el fueran comunicados (resto igual).
3. Cuando un afectado [...], pudiendo remitirse a la información publicada por la Autoridad de control competente.
4. Quienes [...] A estos efectos, [...] Será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la Autoridad de control competente.'
JUSTIFICACIÓN
Entendemos necesario sustituir la referencia a la Agencia Española de Protección de datos por la de la autoridad de control competente.
ENMIENDA NÚM. 40
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 26. Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas
De modificación.
Se modifica el artículo 26, quedando redactado de la siguiente manera:
'Artículo 26. Tratamiento de datos con fines de investigación científica y con fines de archivo en interés público por parte de las Administraciones Públicas.
Será lícito el tratamiento de datos con fines de investigación científica y con fines de archivo en interés público por parte de las Administraciones Públicas que se someterá a lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley
orgánica con las especialidades que se derivan de lo previsto, por un lado, en la Ley 14/2007, de 3 de julio, de investigación biomédica y su normas de desarrollo, así como en la Ley 14/2001, de 1 de junio, de la Ciencia, la Tecnología y la
Innovación y por otro, en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la
Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, así como la legislación autonómica que resulte de aplicación.'
JUSTIFICACIÓN
En coherencia con el artículo 89 del Reglamento (UE) 2016/679.
ENMIENDA NÚM. 42
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 28. Obligaciones generales del responsable y el encargado del tratamiento
De modificación.
Se modifica el apartado 2, del artículo 28, quedando redactado de la siguiente manera:
'2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los riesgos que podrían producirse en los siguientes supuestos:
a) (igual).
b) (igual).
c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta Ley Orgánica o de los datos relacionados
con la comisión de infracciones administrativas.'
JUSTIFICACIÓN
Por un lado en cuanto a la mención que se hace al principio del apartado 2 del art. 28 a los 'mayores' riesgos, proponemos la eliminación del adjetivo ya que el mismo no se conecta ni con la evaluación objetiva no con el análisis de
impacto, ni se catalogan, como hace el RGPD como de 'alto riesgo' o 'riesgo' sino como 'mayores riesgos'. Por tanto se da una gran incertidumbre en relación con un terna fundamental como es el análisis de riesgos y sus consecuencias y efectos para
el responsable y el encargado.
Es relevante recordar que el art. 35.4 RGPD se refiere a que las autoridades de control, y por consiguiente no las Cortes mediante una Ley, están habilitadas a concretar la lista de '...los tipos de operaciones de tratamientos que requieran
una evaluación de impacto'.
Por otro lado, y en cuanto a la letra c) existe un error al hacer la referencia a los artículos de esta Ley que deben ser no el 10 y 11 sino el 9 y 10.
ENMIENDA NÚM. 43
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 33. Encargado del tratamiento
De modificación.
Se modifica el artículo 33, quedando redactado de la siguiente manera:
'Artículo 33. Encargado del tratamiento.
1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el
Reglamento (UE) 2016/679, en la presente ley orgánica, en sus normas de desarrollo así como en la legislación autonómica que resulte de aplicación.
2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico
con el contenido fijado en el artículo 28.3 del Reglamento.
3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos de carácter personal deben ser destruidos o devueltos al responsable o entregados, en su caso, a un nuevo encargado.
No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.
4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que
integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE)
2016/679.'
JUSTIFICACIÓN
El apartado 1 se trata de una mejora técnica.
El apartado 3, se suprime el último inciso de su párrafo primero ya que tal previsión no viene recogida en el artículo 28.2 del Reglamento (UE) 2016/679.
ENMIENDA NÚM. 44
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 34. Designación de un delegado de protección de datos
De modificación.
Se añade un nuevo apartado 1 bis, al artículo 34, con la siguiente redacción:
'1 bis. Las Comunidades Autónomas y los Territorios Históricos podrán establecer en su normativa otros supuestos de designación de un delegado de protección de datos distintos a los contemplados en el apartado 1 de este artículo.'
JUSTIFICACIÓN
Contemplar la regulación autonómica o foral siguiendo el marco que ofrece la normativa europea tal y como manifiesta el dictamen del Consejo de Estado.
ENMIENDA NÚM. 45
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 37. Intervención del delegado de protección de datos en caso de reclamación ante las Autoridades de protección de datos
De modificación.
El apartado 2, del artículo 37, quedará redactado de la siguiente manera:
'2. El procedimiento ante la Agencia Española de Protección de datos será el establecido en el Titulo VIII de esta Ley y en sus normas de desarrollo. Asimismo, las Comunidades Autónomas regularán el procedimiento correspondiente ante sus
autoridades autonómicas de protección de datos.'
JUSTIFICACIÓN
Se modifica el apartado 37.2 de tal forma que todo lo relativo al procedimiento se lleve al Título VIII del proyecto, referido exclusivamente a la Agencia española (donde ya se trata este tema en su art. 65) y dejar libertad a las
Comunidades Autónomas para regular sus procedimientos.
ENMIENDA NÚM. 46
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 39. Acreditación de instituciones de certificación
De modificación.
Proponemos la modificación del artículo 39 que queda redactado como sigue:
'Artículo 39. Acreditación de Instituciones de certificación.
Sin perjuicio de las funciones y poderes de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679 la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del
citado Reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC) (resto igual).'
JUSTIFICACIÓN
Adecuación a lo previsto por el art. 43 del Reglamento europeo que hace mención expresa a las funciones de las autoridades de control descritas en los artículos 57 y 58 del mismo en cuya letra q) les atribuye 'efectuar la acreditación de
organismos de certificación con arreglo al art. 43, funciones referenciadas por su parte en el art. 57 del propio Proyecto de Ley como competencias de las autoridades de control autonómicas'.
ENMIENDA NÚM. 47
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 40. Régimen de las transferencias internacionales de datos
De modificación.
El artículo 40 quedará redactado de la siguiente manera:
'Artículo 40. Régimen de las transferencias internacionales de datos.
Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente Ley Orgánica y sus normas de desarrollo aprobadas por el Gobierno.
En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos.
Las circulares que dicten la Agencia Española de Protección de datos o, en su caso, las autoridades autonómicas de control, podrán fiar los criterios y guías de actuación en las cuestiones y materias que requieran de un complemento técnico.'
JUSTIFICACIÓN
El informe del Consejo de Estado circunscribe la labor de las circulares de la AEPD a la fijación de criterios y guías de actuación en cuestiones y materias que requieran de aclaración, en ningún caso se puede tratar de disposiciones
generales. Por su parte, el Reglamento en ningún caso otorga a las autoridades de protección de datos la potestad de dictar normas de desarrollo (art. 57 y art. 58 del Reglamento).
ENMIENDA NÚM. 48
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos
De modificación.
Se propone la modificación del artículo 41 con la siguiente redacción:
'Artículo 41. Supuestos de adopción por la Agencia Española de Protección de Datos.
1. Las autoridades de control podrán adoptar, conforme a lo dispuesto en el artículo 46.2 d) del Reglamento (resto igual).
2. Las autoridades de control podrán aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
(Resto igual).'
JUSTIFICACIÓN
El art. 46.2 letra c) del Reglamento europeo hace referencia a las garantías adecuadas para las transferencias de datos que sin requerir autorización de ninguna autoridad de control podrán ser aportadas por cláusulas tipo de protección de
datos adoptadas por la Comisión. Es la letra d) la que permite que sean
aportadas por las cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión. Por su parte el art. 57 del mismo Reglamento residencia en cada autoridad de control 'adoptar las cláusulas
contractuales tipo a que se refieren el artículo...46, apartado 2 letra d)' función que se reconoce a las autoridades autonómicas en virtud de la remisión a aquel artículo del Reglamento por parte del art. 57 del Proyecto de Ley.
En cuanto al apartado 2 del art. 41 proyecto las normas corporativas vinculantes son aprobadas por la autoridad de control competente, tal y como dice el art. 47 del Reglamento que en su art. 58. 3 j) especifica que cada autoridad de
control dispondrá de todos los poderes de autorización para 'j) aprobar normas corporativas vinculante de conformidad con los dispuesto en el artículo 47', artículo 58 al que remite el art. 57 del proyecto como competencia de las autoridades
autonómicas de control.
ENMIENDA NÚM. 49
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 44. Disposiciones generales
De modificación.
Se modifica el apartado 2, del artículo 44, quedando redactado de la siguiente manera:
'2. La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. Las autoridades autonómicas de protección de datos podrán
realizar propuestas ante la Agencia Española de Protección de datos en su condición de representante común, conforme al principio de cooperación.'
JUSTIFICACIÓN
Sin prejuicio de que la Agencia Española sea la representante común en el Comité europeo de protección de datos, las autoridades autonómicas deberían tener al menos capacidad de propuesta al representante común, al objeto de aplicar de forma
coherente el Reglamento.
ENMIENDA NÚM. 50
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 55. Potestades de regulación. Circulares de la Agencia Española de Protección de datos
De modificación.
El artículo 55 quedará redactado de la siguiente manera:
'1. El Presidente de la Agencia Española de Protección de Datos, podrá fijar los criterios y guías de actuación en las cuestiones y materias que requieran de un complemento técnico en la aplicación de lo dispuesto en el Reglamento (UE)
2016/679 y la presente Ley Orgánica, que se denominarán 'Circulares de la Agencia Española de Protección de Datos'.
2. Su elaboración se sujetará al procedimiento establecido en el Estatuto de la Agencia, que deberá prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados.
3. Las circulares se publicarán en el 'Boletín Oficial del Estado'.'
JUSTIFICACIÓN
El informe del Consejo de Estado donde circunscribe la labor de las circulares de la AEPD a la fijación de criterios y guías de actuación en cuestiones y materias que requieran de aclaración, en ningún caso se puede tratar de disposiciones
generales. Por su parte, el Reglamento en ningún caso otorga a las autoridades de protección de datos la función de dictar normas de desarrollo (art. 57 y art. 58 del Reglamento).
ENMIENDA NÚM. 51
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 56. Acción exterior
De modificación.
Se modifica el artículo 56, quedando redactado de la siguiente manera:
'1. Corresponde a la Agencia Española de Protección de Datos la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos.
Asimismo a las Comunidades Autónomas, a través de las autoridades autonómicas de protección de datos, les compete ejercitar las funciones como sujetos de la acción exterior en el marco de sus competencias de conformidad con lo dispuesto en
la Ley 2/2014, de 25 de marzo, de la Acción y del Servicio Exterior del Estado, así como celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional y acuerdos no normativos con los órganos análogos de
otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia en el marco de la Ley 25/2014, de 27 de noviembre, de Tratados y otros Acuerdos Internacionales.
2. (igual).
3. Corresponde además a la Agencia:
a) (igual).
b) (igual).
c) Colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo
suscribir acuerdos internacionales administrativos y no normativos en la materia, sin perjuicio de lo dispuesto en el apartado 1 de este artículo.'
JUSTIFICACIÓN
La Ley 2/2014, de acción exterior, reconoce a las Comunidades Autónomas como sujetos de acción exterior, tanto en el ámbito de la Unión Europea como en el de la Acción Exterior en sentido propio. En este sentido, las Comunidades Autónomas
pueden realizar actividades en el exterior en el marco de las competencias, pudiendo, asimismo, celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional cuando así lo prevea el propio tratado, les
atribuya potestad para ello y verse sobre materias de su competencia.
También podrán celebrar acuerdos no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia, tal y como se ratifica en la Ley
25/2014, de 27 de noviembre, de Tratados y otros Acuerdos Internacionales.
ENMIENDA NÚM. 52
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 57. Autoridades autonómicas de protección de datos
De modificación.
Se modifica el artículo 57 quedando redactado de la siguiente manera:
'1. Las autoridades autonómicas de protección de datos de carácter personal podrán ejercer las funciones establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, cuando se refieran a:
a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas, en su ámbito territorial o quienes presten servicios a través de
cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.
2. Asimismo, las autoridades autonómicas de protección de datos de carácter personal, podrán fijar, en el marco de sus competencias, los criterios y guías de actuación en las cuestiones y materias que requieran de un complemento técnico en
la aplicación de lo dispuesto en el Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
Se trata de otorgar a las autoridades autonómicas las mismas potestades de dictar circulares que ostenta la Agencia Española de Protección de Datos.
ENMIENDA NÚM. 53
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679, y la presente Ley Orgánica
De supresión.
Se propone la supresión del artículo 59, del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
JUSTIFICACIÓN
En primer lugar, la previsión contenida en este precepto no viene contemplada en el Reglamento europeo por lo que no constituye un complemento al mismo debiendo entenderse que, en este artículo, el legislador se ha extralimitado en su papel
respecto del Reglamento europeo.
En segundo término, el precepto instaura un control sobre las CC.AA. que no respeta la compatibilidad entre la autonomía reconocida a las Comunidades Autónomas y los controles que el legislador pueda atribuir al Estado sobre la actividad de
aquéllas. La autonomía exige que las actuaciones de la Administración
autonómica no sean controladas por la Administración del Estado, no pudiendo impugnarse la validez o eficacia de dichas actuaciones sino a través de los mecanismos constitucionalmente previstos. Por ello el poder de vigilancia no puede
colocar a las Comunidades Autónomas en una situación de dependencia jerárquica respecto de la Administración del Estado.
De acuerdo con la doctrina constitucional, 'el sistema de controles del Estado sobre las Comunidades Autónomas viene determinado en primer lugar por la Constitución, que ha dispuesto el control de constitucionalidad de las disposiciones
normativas con fuerza de ley [art. 153 a) CE]; el control de la Administración autonómica por la jurisdicción contencioso-administrativa [153 c) CE]; el control extraordinario, previsto por el artículo 155 CE, cuando una Comunidad Autónoma
incumpliere las obligaciones que la Constitución u otras leyes le impusieren o actuare de forma que atente gravemente al interés general de España; el control del artículo 161.2 CE, que permite al Gobierno impugnar, ante el Tribunal Constitucional,
las disposiciones y resoluciones adoptadas por los órganos de las Comunidades Autónomas así como el eventual control del Gobierno, previo dictamen del Consejo de Estado, cuando la Comunidad ejerce funciones delegadas [art. 153 b)], en relación con
el 150.2 CE [STC 6/1982, de 22 de febrero (FJ 7)]' Y se añade, 'respecto a los controles es posible diferenciar entre los controles judiciales y los controles administrativos y dentro de estos últimos es posible diferenciar entre aquellos que se
producen ex ante de la adopción del acto o disposición por parte de la Comunidad Autónoma y aquellos controles ex post que se producirían una vez adoptada la decisión Sobre los controles administrativos ex post este Tribunal ha tenido ocasión de
afirmar que 'la autonomía exige en principio que las actuaciones de la Administración autonómica no sean controladas por la Administración del Estado, no pudiendo impugnarse la validez o eficacia de dichas actuaciones sino a través de los mecanismos
constitucionalmente previstos. Por ello el poder de vigilancia no puede colocar a las Comunidades Autónomas en una situación de dependencia jerárquica respecto de la Administración del Estado, pues, como ha tenido ocasión de señalar este Tribunal,
tal situación no resulta compatible con el principio de autonomía y con la esfera competencial que de éste deriva' (por todas STC 79/2017 FJ 17).
ENMIENDA NÚM. 54
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 61 apartado 1. Intervención en caso de tratamientos trasfronterizos
De modificación.
Se propone la modificación del apartado 1, del artículo 61 que queda como sigue:
'Artículo 61. Intervención en caso de tratamientos transfronterizos.
1. La autoridad de control de establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento ostentará la condición de autoridad de control principal para el tratamiento transfronterizo realizado par
parte de dicho responsable o encargado en el procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
El art. 56 del Reglamento es clara al atribuir la condición de autoridad de control principal a aquella autoridad que sea competente en relación con el control del establecimiento principal o del único establecimiento del responsable o
encargado del tratamiento sin que tenga en consideración alguna a estos efectos que la entidad en cuestión desarrolle o no significativamente tratamiento en otros lugares de cara a trasladar la condición de autoridad de control principal.
Con nuestra enmienda se adecua el proyecto al Reglamento europeo.
ENMIENDA NÚM. 55
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 66. Determinación del alcance territorial
De modificación.
Se propone la modificación del artículo 66 con la siguiente redacción:
'Artículo 66. Determinación del alcance territorial.
Con carácter previo a la iniciación del procedimiento [...] o remitirá, en su caso, la reclamación formulada a la Autoridad de control principal que considere competente que la tramitará de conformidad con la normativa que tenga establecida
a esos efectos'.
JUSTIFICACIÓN
Es conveniente incorporar al proyecto una remisión a la legislación autonómica que regule el procedimiento correspondiente para las reclamaciones por posible vulneración de la normativa de protección de datos en las que sea competente una
autoridad autonómica de control.
ENMIENDA NÚM. 56
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 72. Infracciones consideradas muy graves
De modificación.
Se propone modificar la letra f), del apartado 1, del artículo 72 con la siguiente redacción:
'f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de esta ley orgánica.'
JUSTIFICACIÓN
Mejora técnica y en coherencia con lo dispuesto en la disposición adicional sexta.
ENMIENDA NÚM. 57
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 73. Infracciones consideradas graves
De modificación.
Se propone modificar la letra d) del artículo 73, con la siguiente redacción:
'd) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto, así como por no integrar las garantías
necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
Mejora técnica y adaptación al art. 25 del Reglamento que en su apartado 1 trata del diseño y en el apartado 2 del tratamiento por defecto, por lo que el artículo del proyecto al regular los dos (diseño y por defecto) ha de referirse al
art. 25 en su conjunto y no solo a su apartado 1.
ENMIENDA NÚM. 58
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 76. Sanciones y medidas coercitivas
De modificación.
Se propone modificar el apartado 4, del art. 76, con la siguiente redacción:
'4. Será objeto de publicación en el 'Boletín Oficial del Estado' la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección
de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos se estará a su normativa de aplicación.'
JUSTIFICACIÓN
La publicidad de las sanciones en los boletines correspondientes a la autoridad competente para la sanción en el caso de que sea autonómica remitirá a lo que disponga su normativa de aplicación.
ENMIENDA NÚM. 59
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Al artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento
De modificación.
Se propone la modificación del segundo párrafo, apartado 2, del artículo 77, con la siguiente manera:
'2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 73 a 75 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará
resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso, así como a los denunciantes si los
hubiere.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 60
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición adicional sexta. Registros de apoyo a la Administración de Justicia
De modificación.
Se propone la modificación de la disposición adicional sexta, con la siguiente redacción:
'Disposición transitoria sexta. Registros de apoyo a la Administración de Justicia.
En tanto no se apruebe la normativa a la que se refiere el artículo 10 de la presente Ley, los datos referidos a condenas e infracciones penales o medidas de seguridad conexas podrán tratarse conforme con lo establecido en el Real Decreto
95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia.'
JUSTIFICACIÓN
El art. 10 requiere que el tratamiento de datos de naturaleza penal tenga su apartado en una norma de derecho de la Unión, en esta ley orgánica o en otras normas de rango legal. Por ello la remisión a una norma de rango reglamentario, como
es el Real Decreto 95/2009, solo puede ser una solución de carácter transitorio en tanto se apruebe la norma con rango legal a la que se hace referencia en el art. 10 de esta ley orgánica.
ENMIENDA NÚM. 61
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición adicional décima. Potestad de verificación de las Administraciones Públicas
De modificación.
Se propone la modificación de la disposición adicional décima, con la siguiente redacción:
'Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud, previo consentimiento expreso del interesado,
podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.'
JUSTIFICACIÓN
Aunque con este precepto se trata de ejecutar la jurisprudencia del Tribunal Supremo que había anulado por falta de rango un precepto idéntico que se contenía en el todavía vigente reglamento de desarrollo de la LOPD, entendemos que esta ley
debe cohonestar este precepto con el art. 6 de la propia ley orgánica en el que se requiere el consentimiento expreso del interesado como norma general.
ENMIENDA NÚM. 62
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición final segunda. Título competencial
De modificación.
Se propone modificar el apartado 2, de la disposición final segunda, con la siguiente redacción:
'2. El Título VIII, la disposición adicional cuarta y la disposición transitoria primera sólo serán de aplicación a la Administración General del Estado y a sus organismos públicos'.
JUSTIFICACIÓN
La disposición transitoria primera en la que se refiere en exclusiva a la Agencia Española de Protección de Datos y no la disposición transitoria tercera.
ENMIENDA NÚM. 63
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición final segunda. Título competencial
De modificación.
Se propone modificar el apartado 3, de la disposición final segunda, quedando redactada de la siguiente manera:
'3. La disposición adicional quinta y las disposiciones finales tercera, cuarta y cuarta bis, se dictan al amparo de la competencia que el artículo 149.1.69 de la Constitución atribuye al Estado en materia de legislación procesal.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 64
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición final segunda. Título competencial
De adición.
Se propone añadir un apartado 4, a la disposición final segunda, con la siguiente redacción:
'4. La disposición adicional tercera y la disposición final cuarta quater, se dictan al amparo del artículo 149.1.18 de la Constitución.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 65
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
A la disposición final segunda. Título competencial
De modificación.
Se propone añadir un apartado 5 a la disposición final segunda, con la siguiente redacción:
'5. El artículo 3 y la disposición adicional séptima se dictan al amparo del artículo 149.1.8 de la Constitución que atribuyen al estado la competencia en materia de legislación civil, sin perjuicio de la conservación, modificación y
desarrollo por las comunidades Autónomas de los derechos civiles, forales o especiales, allí donde existan.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 66
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Nueva disposición final cuarta bis. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial
De adición.
La Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial, queda modificada como sigue:
'Uno. Se añade un apartado tercero, al artículo 58, con la siguiente redacción:
'Artículo 58.
Tercero. De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley orgánica XXXXX, de protección de datos de carácter personal, cuando tal solicitud sea formulada por el Consejo General del
Poder Judicial.'
Dos. Se añade una letra f), al artículo 66, con la siguiente redacción:
'Artículo 66.
f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica XXXXX, de protección de datos de carácter personal, cuando tal solicitud sea formulada por la Agencia Española de
protección de datos.'
Tres. Se añade la letra k), al apartado 1, del artículo 74, con la siguiente redacción:
'Artículo 74.
k) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica XXXXX, de protección de datos de carácter personal, cuando tal solicitud sea formulada por la autoridad de protección de
datos de la Comunidad Autónoma respectiva.''
JUSTIFICACIÓN
En coherencia con el nuevo cometido de los tribunales el orden contencioso-administrativo en relación con el procedimiento para obtener la autorización judicial a que se refieren la disposición adicional quinta y disposición final cuarta del
proyecto de ley.
ENMIENDA NÚM. 67
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Nueva disposición final cuarta ter. Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información política y buen Gobierno
De adición.
Se añade un nuevo artículo 6 bis, a la Ley 19/2013, de 9 de diciembre, de trasparencia, acceso a la información pública y buen gobierno, con la siguiente redacción:
'Artículo 6 bis. Registro de actividades de tratamiento.
Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica XXXX, de protección de datos de carácter personal, publicarán información sobre el Registro de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.'
JUSTIFICACIÓN
A la vista del 31.2 del Proyecto de Ley Orgánica, debe introducirse en la Ley de Transparencia en lo relativo a publicidad activa, la obligación de dar información sobre el Registro de actividades tal y como dispone aquel artículo, así como
el art. 30 del Reglamento (VE) 2016/679.
ENMIENDA NÚM. 68
FIRMANTE:
Grupo Parlamentario Vasco (EAJ-PNV)
Nueva disposición final cuarta quater. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
De adición.
Se propone la modificación del apartado dos, del artículo 28, de la Ley 39/2015, de procedimiento administrativo común de las Administraciones Públicas, con la siguiente redacción:
'2. Los interesados no estarán obligados a aportar documentos que hayan sido elaborados por cualquier Administración, con independencia de que la presentación de los citados documentos tenga carácter preceptivo o facultativo en el
procedimiento de que se trate, siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos, en los términos del artículo 6, de la Ley Orgánica XXXX, de protección de datos de carácter personal.
Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.
Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, éstos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará
al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.'
JUSTIFICACIÓN
Se modifica el art. 28.2 de la Ley 39/2015 que regula el consentimiento tácito para adecuarlo al art. 6 del proyecto que no lo admite.
A la Mesa de la Comisión de Justicia
El Grupo Parlamentario Ciudadanos, al amparo de lo establecido en el artículo 130 y concordantes del Reglamento de la Cámara, presenta las siguientes enmiendas al Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal,
presentado por el Gobierno.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Miguel Ángel Gutiérrez Vivas, Portavoz del Grupo Parlamentario Ciudadanos.
ENMIENDA NÚM. 69
FIRMANTE:
Grupo Parlamentario Ciudadanos
A los términos 'afectado', 'afectados' o 'afectadas'
De modificación.
Texto que se propone:
Todos los términos 'afectado', 'afectados' o 'afectadas' que aparecen en el Proyecto de Ley pasan a ser 'titular' o 'titulares', respectivamente.
Texto que se modifica:
'Afectado', 'afectados' o 'afectadas'.
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 70
FIRMANTE:
Grupo Parlamentario Ciudadanos
A los términos 'datos' y 'datos personales'
De modificación.
Texto que se propone:
'Todos los términos 'datos' o 'datos personales' que aparecen en el Proyecto de Ley pasan a ser 'datos de carácter personal''.
Texto que se modifica:
'Datos' o 'datos personales'.
JUSTIFICACIÓN
La norma tiene por objeto la protección de los 'datos de carácter personal' y no los 'datos personales', en desarrollo de un derecho fundamental reconocido por la Constitución (artículo 18), de un derecho fundamental de las personas físicas,
pero luego utiliza ambos conceptos como sinónimos en su articulado. En tanto que el Proyecto de Ley se refiere indistintamente a uno y otro, consideramos más apropiado unificar la terminología.
ENMIENDA NÚM. 71
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 3
De modificación.
Texto que se propone:
'Artículo 3. Datos de las personas fallecidas.
1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar la rectificación o supresión de sus
datos personales. No obstante lo anterior, el derecho de acceso a los datos personales solo podrá realizarse cuando la persona fallecida lo hubiese autorizado expresamente.
2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este
y, en su caso su rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para el registro de estos mandatos e instrucciones, que se regirán, en cuanto a su validez y eficacia, por lo dispuesto en el Código Civil.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona
física o jurídica interesada. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de
apoyo, si así constara expresamente aceptada esta facultad en la aceptación del cargo.'
Texto que se modifica:
'Artículo 3. Datos de las personas fallecidas.
1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de
aquella y, en su caso, su rectificación o supresión.
Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este
y, en su caso su rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona
física o jurídica interesada. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de
apoyo.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 72
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 4
De modificación.
Texto que se propone:
'Artículo 4. Inexactitud de los datos.
A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no serán imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, los
datos personales que sean inexactos con respecto a los fines para los que se tratan:
a) La inexactitud de los datos obtenidos directamente del afectado.
b) La inexactitud de los datos que el responsable obtuviese del mediador o intermediario que los recoja de los afectados para su transmisión al responsable, se presumirán exactos. El mediador o intermediario asumirá las responsabilidades
que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.
c) La inexactitud de los datos que un responsable someta a tratamiento cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE)
2016/679 y el artículo 17 de esta ley orgánica.
d) La inexactitud de los datos que un responsable haya obtenido de fuentes accesibles al público y, en particular, los obtenidos de registros públicos.'
Texto que se modifica:
'Artículo 4. Inexactitud de los datos.
A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no serán imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, los
datos personales que sean inexactos con respecto a los fines para los que se tratan:
a) La inexactitud de los datos obtenidos directamente del afectado.
b) La inexactitud de los datos que el responsable obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un
intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable, se presumirán exactos. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de
comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.
c) La inexactitud de los datos que un responsable someta a tratamiento cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE)
2016/679 y el artículo 17 de esta ley orgánica.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 73
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 6
De modificación.
Texto que se modifica:
'2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.'
Texto que se modifica:
'2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de
ellas.'
JUSTIFICACIÓN
El RGPD, en su Considerando 32, parece ser más flexible al establecer que, en estos supuestos, 'el consentimiento debe darse para todos ellos', en lugar de tener que realizar un ejercicio particularizado y específico finalidad a finalidad.
ENMIENDA NÚM. 74
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 8
De modificación.
Texto que se propone:
'2. El tratamiento de datos de carácter personal solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el
artículo 6.1.e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por la ley. A estos efectos, se considerará como misión realizada en interés público la investigación científica y, en particular, la biomédica, en los
términos previstos en las leyes.'
Texto que se modifica:
'2. El tratamiento de datos de carácter personal solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el
artículo 6.1.e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por la ley.'
JUSTIFICACIÓN
La investigación científica y, en particular, la biomédica tienen un indubitado interés para la comunidad que precisa del reconocimiento debido por parte de la presente ley orgánica.
ENMIENDA NÚM. 75
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 9
De modificación.
Texto que se propone:
'2. Los tratamientos de datos contemplados en las letras g) y h) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su
seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del
que el afectado sea parte. Podrán ser objeto de tratamiento los datos de carácter personal referidos a la salud únicamente cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico de salud, la prestación de asistencia
sanitaria o tratamientos de salud, y siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. Cuando dicho tratamiento
no requiera esencialmente la identidad de las personas y sea necesario para la gestión de los servicios sanitarios deberá efectuarse la previa disociación de la información.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando sea necesario para salvaguardar el interés vital del afectado, o de otra persona, en el supuesto de que esté física o jurídicamente incapacitado
para dar su consentimiento y no sea posible recabar el consentimiento de sus representantes legales sin perjuicio, en todo caso, de su posterior e inmediata puesta en conocimiento del Ministerio Fiscal o la Autoridad Judicial.'
Texto que se modifica:
'2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su
seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del
que el afectado sea parte.'
JUSTIFICACIÓN
El artículo 9 de la LOPD que desarrolla los datos de salud, debe ser más claro y específico, limitando las posibles injerencias de terceros ajenos que no necesitan conocerlos para cumplir con sus funciones laborales, bien en el ámbito
sanitario o fuera de él. En la gestión de los servicios sanitarios debe distinguirse la labor administrativa de la labor que necesariamente realiza el personal sanitario y, por ello, descartar como necesario para una correcta realización de estas
gestiones administrativas el conocer los datos de salud del paciente.
ENMIENDA NÚM. 76
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 11
De modificación.
Texto que se propone:
'2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción
de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.'
Texto que se modifica:
'2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción
de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
Mejora técnica, a fin de adecuar la redacción de la norma nacional al contenido del artículo 22 del RGPD.
ENMIENDA NÚM. 77
FIRMANTE:
Grupo Parlamentario Ciudadanos
Nuevo apartado 6 al artículo 12
De adición.
Texto que se propone:
'6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de edad, y con el conocimiento de estos, los derechos de acceso, rectificación, cancelación, oposición o cualesquiera
otros que pudieran corresponderles en el contexto de la presente Ley.'
JUSTIFICACIÓN
El Proyecto hace referencias específicas a la protección de los datos de carácter personal del menor, pero sin embargo, no se establece ningún tipo de disposición especial para el ejercicio de los derechos con respecto a los mismos.
ENMIENDA NÚM. 78
FIRMANTE:
Grupo Parlamentario Ciudadanos
Nuevo apartado 4 al artículo 13
De adición.
Texto que se propone:
'4. Cuando el afectado elija un medio distinto al que se le ofrece asumirá los costes desproporcionados que su elección comporte, siendo solo exigible al responsable de tratamiento que permita la satisfacción del derecho de acceso sin
dilaciones indebidas.'
JUSTIFICACIÓN
Consideramos más acertada, proporcional y equitativa la redacción que sobre esta materia se incluía en el Anteproyecto. Proponemos añadir un nuevo apartado, ya que la elección de un medio por el interesado, distinto al que se ofrece, podría
acarrear una serie de costes para el responsable de tratamiento, costes que este no tiene la obligación de soportar si previamente ha cumplido las reglas de acceso previstas en los apartados 1 y 2.
ENMIENDA NÚM. 79
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 19
De modificación.
Texto que se propone:
'Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que
se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con
los mismos como personas físicas.'
Texto que se modifica:
'Artículo 19. Tratamiento de datos de contacto y de empresarios individuales.
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que
se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas
físicas.'
JUSTIFICACIÓN
La presente enmienda tiene por objeto incluir en esta previsión a un importante colectivo que podría no encontrar encaje en la redacción original del Proyecto: el de los profesionales liberales que ejercen su actividad por cuenta propia.
ENMIENDA NÚM. 80
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 20
De modificación.
Texto que se propone:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas
vinculante entre las partes.
c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquellos en los que participe.
La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales
datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados
los datos durante ese plazo.
d) Que los datos relativos al incumplimiento de las obligaciones dinerarias se mantengan en el sistema durante un período de diez años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito y solo en tanto persista
el incumplimiento.
e) Que los datos referidos a un deudor determinado solamente puedan ser consultados en los supuestos previstos en la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo y en la Ley reguladora de los contratos de crédito
inmobiliario, así como cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago
aplazado o facturación periódica.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o este no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el
artículo 26 del Reglamento (UE) 2016/679. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
3. La presunción a la que se refiere el apartado 1 no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado,
relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.
4. Salvo prueba en contrario, se presumirá licita el tratamiento de datos personales relativos al cumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando tengan por finalidad
evaluar la capacidad de pago del cliente en cumplimiento de la obligación legal de evaluar la solvencia de los potenciales prestatarios.
En tal caso, los datos relativos al cumplimiento de las obligaciones dinerarias se podrán mantener en el sistema durante un periodo de cinco años, a contar desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
5. Los datos relativos al cumplimiento de las obligaciones dinerarias abarcarán los siguientes datos: nombre, apellidos, número del documento nacional de identidad y fecha de nacimiento, expresada por día, mes y año. Se hará constar el
tipo de préstamo o línea de crédito; la fecha de celebración y finalización del contrato; el importe total a reembolsar; y el número de plazos pactados para el cumplimiento y las fechas de vencimiento de los mismos. En ningún caso se aportarán
datos relativos a la naturaleza de los gastos efectuados por el deudor con el préstamo o línea de crédito obtenida.
Los datos relativos al cumplimiento de las obligaciones dinerarias podrán ser consultados por los sujetos y en los supuestos previstos en el apartado 1.e) del presente artículo.
Quienes accedan a la información deberán comunicar por escrito, con carácter previo, a las personas que van a ser consultadas de su derecho a acceder a los datos que constan en los sistemas de información crediticia.'
Texto que se modifica:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas.
c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquellos en los que participe.
La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la
posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
d) Que los datos se mantengan en el sistema durante un período de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito y solo en tanto persista el incumplimiento.
e) Que los datos referidos a un deudor determinado solamente puedan ser consultados en los supuestos previstos en la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo, así como cuando quien consulte el sistema mantuviese una
relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o este no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el
artículo 26 del Reglamento (UE) 2016/679. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
3. La presunción a la que se refiere el apartado 1 no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado,
relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 81
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 22
De modificación.
Texto que se propone:
'Artículo 22. Tratamientos con fines de videovigilancia.
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus
instalaciones.
2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.
3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones, o la comisión
de infracciones en el ámbito laboral.
4. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del
tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.
5. Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores, siempre
que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar a los trabajadores acerca de esta medida.
En el supuesto de que las imágenes hayan captado la comisión flagrante de un acto delictivo, la ausencia de la información a la que se refiere el apartado anterior no privará de valor probatorio a las imágenes, siempre que el tratamiento de
dichos datos sea necesario y proporcionado respecto a los fines pretendidos y todo ello sin perjuicio de las responsabilidades que pudieran derivarse de dicha ausencia. Se considerará que el tratamiento de datos es necesario y proporcionado cuando,
entre otros criterios, existan sospechas previas suficientemente fundadas, afecte a trabajadores concretos sobre los que se funden tales sospechas, sea limitada en el tiempo y no existan medios menos gravosos para lograr los fines pretendidos.
6. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.
Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
7. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en
los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación
específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
8. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada, y sus disposiciones de desarrollo.'
Texto que se modifica:
'Artículo 22. Tratamientos con fines de videovigilancia.
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus
instalaciones.
2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte.
3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservadas para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
No será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.
4. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del
tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado Reglamento.
5. Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores, siempre
que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar a los trabajadores acerca de esta medida.
En el supuesto de que las imágenes hayan captado la comisión flagrante de un acto delictivo, la ausencia de la información a la que se refiere el apartado anterior no privará de valor probatorio a las imágenes, sin perjuicio de las
responsabilidades que pudieran derivarse de dicha ausencia.
6. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.
Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
7. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en
los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación
específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
8. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada, y sus disposiciones de desarrollo.'
JUSTIFICACIÓN
Mejora técnica, a los efectos de adecuar la redacción a los recientes pronunciamientos del Tribunal Europeo de Derechos Humanos en los casos 'Köpke v. Alemania', de 5 de octubre de 2010, y 'López Ribalda y otros v. España', de 9 de enero de
2018.
ENMIENDA NÚM. 82
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 32
De supresión.
Texto que se suprime:
'Artículo 32. Bloqueo de los datos.
1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.
2. Los datos bloqueados quedarán a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles
responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los
supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así
como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.'
JUSTIFICACIÓN
El RGPD no prevé esta obligación general (de todo tipo de datos) de 'bloqueo de datos' a los efectos de posibles o hipotéticos requerimientos por parte de las administraciones públicas. El RGPD ya recoge en el artículo 18 el derecho a la
limitación de tratamiento -que tiene un efecto similar al bloqueo que recoge el artículo 32- para aquellos casos en los que se quiera asegurar los derechos de los interesados ante posibles reclamaciones, sin perjuicio de poder conservar los datos.
ENMIENDA NÚM. 83
FIRMANTE:
Grupo Parlamentario Ciudadanos
A la letra d) del apartado 1 del artículo 34
De supresión.
Texto que se suprime:
'd) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.'
JUSTIFICACIÓN
El Proyecto de Ley es contrario al principio de neutralidad tecnológica. El artículo 37 del RGPD exige el nombramiento de DPD en tratamientos que impliquen 'una observación habitual y sistemática de interesados a gran escala', con total
independencia de que sean o no prestadores de servicios de la sociedad de la información. Teniendo en cuenta que el canal por el que se recaba la información no debe ser el criterio para nombrar DPD, proponemos la eliminación de este apartado.
ENMIENDA NÚM. 84
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 35
De modificación.
Texto que se propone:
'Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse por una acreditada formación en el
ámbito de la protección de datos de carácter personal.'
Texto que se modifica:
'Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de
mecanismos voluntarios de certificación.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 85
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 36
De modificación.
Texto que se propone:
'2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus
funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará su independencia Delegado de Protección de Datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses y rendir únicamente cuentas
ante el más alto nivel jerárquico del responsable o encargado del tratamiento, pudiendo inspeccionar los procedimientos relacionados con el objeto de la presente Ley y emitir recomendaciones en el ámbito de sus competencias.'
Texto que se modifica:
'2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus
funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 86
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 41
De modificación.
Texto que se propone:
'2. La Agencia Española de Protección de Datos podrá aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679. El procedimiento se iniciará a instancia de una entidad situada en
España y tendrá una duración máxima de tres meses. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen al que se refiere el artículo 64.1.f) del Reglamento (UE)
2016/679, y continuará tras su notificación a la Agencia Española de Protección de Datos.'
Texto que se modifica:
'2. La Agencia Española de Protección de Datos podrá aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679. El procedimiento se iniciará a instancia de una entidad situada en
España y tendrá una duración máxima de un año. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen al que se refiere el artículo 64.1.f) del Reglamento (UE)
2016/679, y se reiniciará tras su notificación a la Agencia Española de Protección de Datos.'
JUSTIFICACIÓN
Un plazo tan prolongado (1 año) no responde a ninguna razón técnica y supone un importante perjuicio para las empresas. Asimismo, se propone sustituir el verbo 'reiniciar' por 'continuar' para aclarar que, una vez el expediente sea devuelto
a la AEPD, los plazos se seguirán computando desde el momento en que quedaron suspendidos (sin volver al inicio).
ENMIENDA NÚM. 87
FIRMANTE:
Grupo Parlamentario Ciudadanos
A la letra b), del apartado 1, del artículo 42
De modificación.
Texto que se propone:
'b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a
acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de tres meses.'
Texto que se modifica:
'b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras
autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de un año.'
JUSTIFICACIÓN
Para las empresas es de vital importancia la celeridad de los procedimientos de autorización. En ningún caso es aceptable un plazo de espera de un año para la concesión de una autorización previa para la transferencia internacional de
datos.
ENMIENDA NÚM. 88
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 48
De modificación.
Texto que se propone:
'Artículo 48. El Presidente de la Agencia Española de Protección de Datos.
1. El Presidente de la Agencia Española de Protección de Datos la dirige, ostenta su representación y dicta sus resoluciones, circulares e directrices.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en su desempeño. Le será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado.
2. El Presidente de la Agencia será nombrado por mayoría de, al menos, tres quintos del Pleno del Congreso de los Diputados, entre profesionales de reconocida competencia con más de quince años de ejercicio efectivo para el desempeño de sus
funciones.
3. El mandato del Presidente de la Agencia tiene una duración de cinco años y puede ser renovado para otro período de igual duración.
4. Antes de la expiración de su mandato, el Presidente solo cesará por las siguientes causas:
a) A petición propia.
b) Por incurrir en algunas de las incompatibilidades o prohibiciones establecidas en esta Ley.
c) En caso de incapacidad o enfermedad que lo inhabilite para el cargo.
d) Por incumplimiento grave o retirado de sus obligaciones.
La existencia de las causas de cese mencionadas en los apartados a), b) y c) serán apreciadas por el Gobierno, previa instrucción del expediente correspondiente. La existencia de las causas de cese mencionadas en el apartado d) será
apreciada por el Pleno del Congreso
de los Diputados, previa comparecencia del Presidente de la Agencia Española de Protección de Datos en la Comisión correspondiente, por una mayoría de, al menos, tres quintos de los miembros de la Cámara, a propuesta de, al menos, la mitad
de los miembros de la misma.
5. Los actos y disposiciones dictados por el Presidente de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional.'
Texto que se modifica:
'Artículo 48. El Presidente de la Agencia Española de Protección de Datos.
1. El Presidente de la Agencia Española de Protección de Datos la dirige, ostenta su representación y dicta sus resoluciones, circulares e directrices.
Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en su desempeño. Le será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado.
2. El Presidente de la Agencia será nombrado por el Gobierno, a propuesta del Ministro de Justicia, mediante real decreto entre profesionales de reconocida competencia con conocimientos y experiencia acreditados para el desempeño de sus
funciones. Con carácter previo a su nombramiento, el Gobierno pondrá en conocimiento del Congreso de los Diputados el nombre del candidato a fin de que se emita el dictamen acerca de su idoneidad.
3. El mandato del Presidente de la Agencia tiene una duración de cinco años y puede ser renovado para otro período de igual duración.
El Presidente solo cesará, antes de la expiración de su mandato, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el
ejercicio de su función, incompatibilidad o condena por delito doloso.
4. Los actos y disposiciones dictados por el Presidente de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional.'
JUSTIFICACIÓN
El considerando 117 del Reglamento dispone que la 'plena independencia constituye un elemento esencial de la protección de las personas físicas' y, por tanto, es fundamental respetar el espíritu de aquel.
ENMIENDA NÚM. 89
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 49
De modificación.
Texto que se propone:
'Artículo 49. Consejo Consultivo de la Agencia.
1. El Presidente de la Agencia Española de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
a) Dos profesores universitarios de reconocido prestigio que pertenezcan a universidades distintas y que posean un mínimo de quince años de trayectoria profesional en el estudio del Derecho de Protección de Datos de Carácter Personal.
b) Dos juristas expertos de acreditada competencia en la práctica del Derecho de Protección de Datos de Carácter Personal que posean un mínimo de quince años de trayectoria profesional en dicho campo.
c) Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia.
d) Un representante de los usuarios y consumidores con experiencia en la materia, propuesto por el Consejo de Consumidores y Usuarios.
e) Un representante de las entidades responsables y encargadas de los tratamientos con experiencia en la materia, propuesto por las Organizaciones Empresariales.
f) Un representante designado por el Consejo General del Poder Judicial.
2. Los miembros del Consejo Consultivo serán nombrados por orden del Ministro de Justicia, publicada en el 'Boletín Oficial del Estado'.
3. El Consejo Consultivo se reunirá cuando así lo disponga el Presidente de la Agencia y, en todo caso, una vez al trimestre.
4. Las reuniones celebradas por el Consejo Consultivo se plasmarán en un acta, que recogerá el orden del día, los asuntos tratados y las opiniones técnicas de cada uno de los miembros del Consejo Consultivo.
5. Las decisiones tomadas por el Consejo Consultivo no tendrán en ningún caso carácter vinculante.
6. En todo lo no previsto por esta Ley, el El régimen, competencias y funcionamiento del Consejo Consultivo serán los establecidos en el Estatuto Orgánico de la Agencia Española de Protección de Datos.'
Texto que se modifica:
'Artículo 49. Consejo Consultivo de la Agencia.
1. El Presidente de la Agencia Española de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:
a) Un Diputado, propuesto por el Congreso de los Diputados.
b) Un Senador, propuesto por el Senado.
c) Un representante designado por el Consejo General del Poder Judicial.
d) Un representante de la Administración General del Estado, propuesto por el Ministro de Justicia.
e) Un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma.
f) Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.
g) Un representante de los usuarios y consumidores, propuesto por el Consejo de Consumidores y Usuarios.
h) Un representante de las entidades responsables y encargadas de los tratamientos, propuesto por las organizaciones empresariales.
i) Un representante de los profesionales de la protección de datos, propuesto por el Ministro de Justicia.
j) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el capítulo IV del título V, propuesto por el Ministro de Justicia.
k) Un experto en la materia, propuesto por el Consejo de Universidades.
2. Los miembros del Consejo Consultivo serán nombrados por orden del Ministro de Justicia, publicada en el 'Boletín Oficial del Estado'.
3. El Consejo Consultivo se reunirá cuando así lo disponga el Presidente de la Agencia y, en todo caso, una vez al año.
4. El régimen, competencias y funcionamiento del Consejo Consultivo serán los establecidos en el Estatuto Orgánico de la Agencia Española de Protección de Datos.'
JUSTIFICACIÓN
En consonancia con la enmienda anterior, el considerando 117 del Reglamento dispone que la 'plena independencia constituye un elemento esencial de la protección de las personas físicas' y, por tanto, es fundamental respetar el espíritu de
aquél.
ENMIENDA NÚM. 90
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 2 del artículo 65
De modificación.
Texto que se propone:
'2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento o sean abusivas.'
Texto que se modifica:
'2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no se aporten
elementos que permitan investigar la existencia de una vulneración de los derechos reconocidos.'
JUSTIFICACIÓN
La última frase de este apartado 2 del artículo 65 ('o no se aporten elementos que permitan investigar la existencia de una vulneración de los derechos reconocidos') resulta excesivamente gravosa para el ciudadano, y contraria a la Ley
39/2015.
Con carácter general, para que una reclamación (o denuncia) sea admitida a trámite debe bastar con que se exprese adecuadamente la identidad del denunciante, el relato de los hechos que se ponen en conocimiento de la Administración, la fecha
de su comisión y, cuando sea posible, la identificación de los presuntos responsables (artículo 62.2 de la Ley 39/2015). Corresponde a la Administración llevar a cabo 'los actos de instrucción necesarios para la determinación, conocimiento y
comprobación de los hechos en virtud de los cuales deba pronunciarse la resolución' (artículo 75.1).
No existe motivo para que en esta materia concreta (protección de datos) se establezca un régimen más restrictivo de los derechos de los ciudadanos.
ENMIENDA NÚM. 91
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al apartado 1 del artículo 69
De modificación.
Texto que se propone:
'1. Los plazos máximos de tramitación de los procedimientos y notificación de las resoluciones que los terminen se establecerán mediante real decreto, que no podrá fijar un plazo superior a seis meses.'
Texto que se modifica:
'1. Los plazos máximos de tramitación de los procedimientos y notificación de las resoluciones que los terminen se establecerán mediante real decreto, que no podrá fijar un plazo superior a nueve meses.'
JUSTIFICACIÓN
Agilización de la labor de la Agencia Española de Protección de Datos con el objeto último de no perjudicar a las partes del procedimiento.
ENMIENDA NÚM. 92
FIRMANTE:
Grupo Parlamentario Ciudadanos
Al artículo 76
De modificación.
Texto que se propone:
'Artículo 76. Sanciones y medidas correctivas.
1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.
4. Será objeto de publicación en el 'Boletín Oficial del Estado' la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de
Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.'
Texto que se modifica:
'Artículo 76. Sanciones y medidas correctivas.
1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.
4. Será objeto de publicación en el 'Boletín Oficial del Estado' la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de
Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.'
JUSTIFICACIÓN
Por medio de esta enmienda, pretendemos la promoción efectiva de la utilización por parte de las empresas y consumidores de mecanismos alternativos de resolución de conflictos, como son la mediación o el arbitraje.
ENMIENDA NÚM. 93
FIRMANTE:
Grupo Parlamentario Ciudadanos
A la disposición adicional séptima
De modificación.
Texto que se propone:
'Disposición adicional séptima. Acceso a contenidos de personas fallecidas.
El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información a favor de personas que hayan fallecido se regirá por las reglas previstas en el artículo 3 de esta ley orgánica, a saber:
a) Los herederos de la persona fallecida podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de impartirles las instrucciones que estimen oportunas sobre su rectificación o supresión.
Los herederos no podrán acceder a los contenidos del causante, salvo cuando la persona fallecida lo hubiese autorizado expresamente.
b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar
cumplimiento a tales instrucciones.
c) En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona
física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de los citados mandatos e instrucciones y, en su caso, el registro de los mismos, que podrá coincidir con el previsto en el artículo 3 de
esta ley orgánica.'
Texto que se modifica:
'Disposición adicional séptima. Acceso a contenidos de personas fallecidas.
El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información a favor de personas que hayan fallecido se regirá por las reglas previstas en el artículo 3 de esta ley orgánica, a saber:
a) Los herederos de la persona fallecida podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización,
destino o supresión. Como excepción, los herederos no podrán acceder a los contenidos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar
cumplimiento a tales instrucciones.
c) En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona
física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de los citados mandatos e instrucciones y, en su caso, el registro de los mismos, que podrá coincidir con el previsto en el artículo 3 de
esta ley orgánica.'
JUSTIFICACIÓN
Mejora técnica, en relación con la enmienda número 3.
ENMIENDA NÚM. 94
FIRMANTE:
Grupo Parlamentario Ciudadanos
Nueva disposición adicional decimoctava
De adición.
Texto que se añade:
'Disposición adicional decimoctava. Condiciones adicionales para el tratamiento de categorías especiales de datos.
El Gobierno, en el plazo de dos años desde la entrada en vigor de esta ley orgánica, remitirá a las Cortes un proyecto de ley en el que establecerá condiciones adicionales y, en su caso, limitaciones al tratamiento de datos genéticos,
biométricos o relativos a la salud.'
JUSTIFICACIÓN
Mejora técnica, en consonancia con la enmienda número 6.
ENMIENDA NÚM. 95
FIRMANTE:
Grupo Parlamentario Ciudadanos
A la disposición transitoria sexta
De supresión.
Texto que se suprime:
'Disposición transitoria sexta. Consentimientos otorgados con anterioridad a la aplicación del Reglamento (UE) 2016/679.
Cuando el tratamiento se base en un consentimiento otorgado con anterioridad a la aplicación del Reglamento (UE) 2016/679, no será necesario recabar nuevamente dicho consentimiento si la forma en que se otorgó se ajusta a las condiciones del
Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
Esta disposición transitoria es del todo innecesaria y, lo que es peor, puede llamar a la confusión, debido a que el Considerando 171 del RGPD ya prevé este régimen transitorio que no necesitaba aclaración alguna.
A la Mesa de la Comisión de Justicia
Don Carles Campuzano i Canadés, en su calidad de Diputado del Partit Demòcrata Europeu Català, integrado en el Grupo Parlamentario Mixto y de acuerdo con lo establecido en el artículo 124 y siguientes, del Reglamento de la Cámara, presenta
las siguientes enmiendas al Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Carles Campuzano i Canadés, Portavoz del Grupo Parlamentario Mixto.
ENMIENDA NÚM. 96
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 1
De modificación.
Redacción que se propone:
'Artículo 1. Objeto de la ley.
1. La presente Ley Orgánica tiene por objeto incorporar en el ordenamiento jurídico español al Reglamento (UE) 2016/679, del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de estos.
[...]'
JUSTIFICACIÓN
Los Reglamentos comunitarios se incorporan directamente en el ordenamiento jurídico de los Estados miembros.
ENMIENDA NÚM. 97
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 1
De modificación.
Redacción que se propone:
'Artículo 1. Objeto de la ley.
[...]
2. El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y, en todo aquello
que no esté regulado por este o se haya previsto su regulación por el Estado miembro de conformidad con la presente Ley Orgánica.'
JUSTIFICACIÓN
En la redacción se pone en el mismo nivel competencial el Reglamento de la UE y la Ley Orgánica cuando la normativa comunitaria tiene un rengo preferente.
ENMIENDA NÚM. 98
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 3 del artículo 2
De modificación.
Redacción que se propone:
'Artículo 2. Ámbito de aplicación.
3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación
específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros:
a) Los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general.
b) Los tratamientos realizados en el ámbito de instituciones penitenciarias.
c) Los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.'
JUSTIFICACIÓN
No es razonable establecer un texto que establezca ejemplos de los supuestos sometidos a su regulación ('se encuentran en esta situación, entre otros'), porque se puede inducir a confusión e inseguridad jurídica.
ENMIENDA NÚM. 99
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 3
De modificación.
Redacción que se propone:
'Artículo 3. Datos de las personas fallecidas.
1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de
aquella y, en su caso, su rectificación o supresión.
Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este
y, en su caso su rectificación o supresión.
Los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones se determinará según la ley aplicable en cada caso de conformidad con el reparto competencial.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona
física o jurídica interesada.
En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo.'
JUSTIFICACIÓN
El párrafo segundo del apartado 2 de este artículo se remite a un real decreto para regular los requisitos y condiciones para acreditar la validez y vigencia de los mandatos y el registro de los mismos. Se debe tener en cuenta, sin embargo,
que la regulación de estas figuras y en concreto la regulación del registro puede ser abordada desde la perspectiva del Derecho Civil, como ya ha hecho por ejemplo Cataluña con la Ley 10/2017, del 27 de junio, de las voluntades digitales y de
modificación de los libros segundo y cuarto del Código Civil de Cataluña.
ENMIENDA NÚM. 100
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 4.
De supresión.
Redacción que se propone:
'Artículo 4. Inexactitud de los datos.
A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no serán imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, los
datos personales que sean inexactos con respecto a los fines para los que se tratan:
a) La inexactitud de los datos obtenidos directamente del afectado.
b) La inexactitud de los datos que el responsable obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un
intermediario o para su transmisión al responsable, se presumirán exactos. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los
facilitados por el afectado.
c) La inexactitud de los datos que un responsable someta a tratamiento cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE)
2016/679 y el artículo 17 de esta ley orgánica.'
JUSTIFICACIÓN
Este artículo traspasa los límites de lo que se entendería 'adaptar' el ordenamiento jurídico español al Reglamento General de Protección de Datos [Reglamento (UE) 2016/679, del Parlamento Europeo y el Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos]. Hay que recordar que es, según el artículo 1 del propio proyecto de Ley, el objeto propio de esta
Ley.
Exime de responsabilidad al responsable del tratamiento lo cual contraviene directamente el artículo 5.2 del Reglamento comunitario. En el anteproyecto se traslada la responsabilidad del tratamiento del tratamiento de los datos al afectado
y se invierte la carga de la prueba que también pasa del responsable al afectado. Por lo que el anteproyecto infringiría directamente el artículo 5 del Reglamento UE 2016/679.
ENMIENDA NÚM. 101
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 8
De modificación.
Redacción que se propone:
'Artículo 8. Tratamiento de datos amparado por la ley.
1. EI tratamiento de datos de carácter personal solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo
prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento
de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
[...]'
JUSTIFICACIÓN
La referencia a 'una ley' contenida en este artículo debería sustituirse por 'una norma con rango de ley' (tal como hace por ejemplo el artículo 10.1 del Proyecto), para clarificar que la habilitación también puede estar recogida en un
decreto legislativo o en un decreto-ley.
ENMIENDA NÚM. 102
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 8
De modificación.
Redacción que se propone:
'Artículo 8. Tratamiento de datos amparado por la ley.
[...]
2. El tratamiento de datos de carácter personal solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el
artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.'
JUSTIFICACIÓN
La referencia a 'una ley' contenida en este artículo debería sustituirse por 'una norma con rango de ley' (tal como hace por ejemplo el artículo 10.1 del Proyecto), para clarificar que la habilitación también puede estar recogida en un
decreto legislativo o en un decreto-ley.
ENMIENDA NÚM. 103
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 9
De modificación.
Redacción que se propone:
'Artículo 9. Categorías especiales de datos.
[...]
2. Los tratamientos de datos contemplados en las letras b), g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos
adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro
del que el afectado sea parte.'
JUSTIFICACIÓN
La previsión contenida en este apartado debería hacerse extensiva también al primero de los supuestos previstos en el artículo 9.2.b) del RGPD en lo referente a los casos en los que lo autorice 'el derecho' de los estados miembros. Por otro
lado, la referencia a 'una ley' debería sustituirse por 'una norma con rango de ley', para clarificar que la habilitación también puede estar recogida en un decreto legislativo o en un decreto-ley.
ENMIENDA NÚM. 104
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al segundo párrafo del apartado 2 del artículo 9
De supresión.
Redacción que se propone:
'Artículo 9. Categorías especiales de datos.
[...]
'2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su
seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del
que el afectado sea parte.'
JUSTIFICACIÓN
Estos tratamientos que se indican ya han sido excluidos en el artículo 9.2 del Reglamento General de Protección de Datos. Por tanto, resulta redundante indicarlo y, además, puede inducir a confusión.
ENMIENDA NÚM. 105
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 10
De modificación.
Redacción que se propone:
'Artículo 10. Tratamiento de datos de naturaleza penal.
[...]
2. El registro completo de los datos referidos a condenas e infracciones penales o medidas de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá realizarse conforme con lo establecido en el Real Decreto
95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia.'
JUSTIFICACIÓN
No parece claro el supuesto al que se refiere este apartado. Si se refiere a los registros regulados por el Real Decreto 95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de
Justicia (al cual se refiere también la disposición adicional sexta, en este caso de manera expresa), sería preferible utilizar las denominaciones empleadas en esta norma para designar los diferentes registros.
Sin embargo, no parece que deba ser una ley reguladora de la protección de datos la que delimite las competencias que corresponden al Ministerio de Justicia, porque sus competencias serán las que se deriven de la CE.
En cualquier caso, la redacción actual del precepto parece no tener en cuenta las competencias de las administraciones autonómicas respectivas en cuanto a la gestión de sistemas de información de la administración de justicia, como se
desprende, por ejemplo, de las letras c) y d) del artículo 104 del EAC.
ENMIENDA NÚM. 106
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo apartado 3 al artículo 10
De adición.
Redacción que se propone:
'Artículo 10. Tratamiento de datos de naturaleza penal.
[...]
3. (nuevo) Los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas también se podrá llevar a cabo cuando se trate de ficheros de abogados y procuradores
que tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.'
JUSTIFICACIÓN
Aclarar la cobertura a los tratamientos llevados a cabo por abogados y procuradores necesarios para la representación y defensa de sus clientes, cuando la información se la hayan facilitado sus clientes.
ENMIENDA NÚM. 107
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 11
De modificación.
Redacción que se propone:
'Artículo 11. Transparencia e información al afectado.
[...]
1. Cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, así como en aquellos otros supuestos
expresamente establecidos por la ley o cuando así lo autorice o establezca la autoridad de protección de datos competente, el responsable del tratamiento podrá dará cumplimiento al deber de información establecido en el artículo 13 del Reglamento
(UE) 2016/679 facilitando al afectado la información básica a la que se refiere el
apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción
de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos de carácter personal no hubieran sido obtenidos del afectado, el responsable podrá dará cumplimiento al deber de información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que
permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de la que procedieran los datos.'
JUSTIFICACIÓN
El actual redactado del artículo del Proyecto de Ley es menos garantista que el Reglamento en el deber de información, contraviniéndose en este punto el Reglamento del a UE. Por otro lado la referencia a la Agencia Española de Protección de
Datos, debería hacerse a 'la autoridad de protección de datos competente'.
ENMIENDA NÚM. 108
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 11, apartado 2, letra c)
De modificación.
Redacción que se propone:
'Artículo 11. Transparencia e información al afectado.
[...]
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
La referencia al 'modo en que el interesado podrá ejercitar los derechos...' debería sustituirse por una referencia a 'la posibilidad de ejercer los derechos...'. El modo en que se pueden ejercer los derechos puede ser una información
extensa (dirección del responsable, DPD u oficinas de atención al ciudadano, breve descripción de cada uno de los derechos, información que se debe acompañar, canales de comunicación o incluso enlaces a formularios). Por ello, parece que la primera
capa de información se
debería limitar a una referencia a la posibilidad de ejercer los derechos con un enlace o remisión al resto de información.
ENMIENDA NÚM. 109
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 12, apartado 4
De modificación.
Redacción que se propone:
'Artículo 12. Disposiciones generales sobre ejercicio de los derechos.
[...]
4. La prueba del cumplimiento del deber de atender a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable.'
JUSTIFICACIÓN
La previsión del deber de responder a la solicitud plantea un problema de fehaciencia si el afectado niega la recepción. Se plantea 'atender' la solicitud, porque es más adecuado establecer la obligación de demostrar la existencia de
solicitud si el afectado niega la recepción de la comunicación.
ENMIENDA NÚM. 110
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 12, apartado 4 bis
De adición.
Redacción que se propone:
'Artículo 12. Disposiciones generales sobre ejercicio de los derechos.
[...]
4 bis (nuevo). En los supuestos de no atención o denegación del ejercicio de los derechos y, en su caso, de la reclamación presentada ante el delegado de protección de datos, las personas afectadas pueden interponer una reclamación ante la
autoridad de protección de datos competente. Dicha reclamación dará lugar a un procedimiento de tutela de derechos.
La reclamación puede dar lugar también a un procedimiento sancionador por infracción de lo establecido en el Reglamento (UE) 2016/679 o en esta Ley orgánica, ya sea como consecuencia de una denuncia contenida en la reclamación o por propia
iniciativa de la autoridad de control.
Frente a la resolución dictada por la autoridad de control competente las personas afectadas pueden interponer recurso contencioso-administrativo.'
JUSTIFICACIÓN
Aclarar la posibilidad de interponer una reclamación ante supuestos de no atención o denegación del ejercicio de derechos puesto que la terminología empleada por el RGPD puede generar algunas dudas. El artículo 12.4 RGPD, si se pone en
relación con el artículo 57.1.f) RGPD (dedicado a las funciones) podría parecer, en una interpretación errónea, que se está refiriendo solamente a denuncias (se refiere a reclamaciones que dan lugar a una investigación) y solo se prevé la
intervención de la autoridad como garante del ejercicio de derechos en al artículo 58.2.c) dedicado a los poderes. Por ello parecería positivo aclarar que las reclamaciones también pueden presentarse ante supuestos de no atención o desestimación
del ejercicio de derechos, aunque no se denuncie la infracción del RGPD.
Por otro lado, el artículo 12.4 RGPD hace referencia no solo a la posibilidad de presentar una reclamación sino también a la posibilidad de ejercer acciones judiciales. Debería aclararse si se trata de una posibilidad alternativa o si la
vía judicial puede entrar en juego exclusivamente en el caso de no atenderse la reclamación ante la autoridad de control.
Igualmente podría ser aclarador referirse a que una reclamación por la no atención de derechos puede dar lugar también a la incoación de un procedimiento sancionador.
ENMIENDA NÚM. 111
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 12, apartado 6 (nuevo)
De adición.
Redacción que se propone:
'Artículo 12. Disposiciones generales sobre ejercicio de los derechos.
[...]
6. (nuevo) Cuando el responsable trate una gran cantidad de información relativa al afectado o la atención del derecho pueda revestir una gran complejidad, y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una
parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.'
JUSTIFICACIÓN
La previsión del segundo párrafo del artículo 13.1 del Proyecto no parece que deba limitarse al derecho de acceso sino que debería ser aplicable con carácter general a todos los derechos. Por ello debe trasladarse al artículo 12.
En cualquier caso, en cuanto a la redacción de este apartado, deberían introducirse algunas modificaciones. Debe valorarse positivamente la previsión contenida en este artículo para facilitar la labor del responsable del tratamiento que
debe atender el derecho de acceso en supuestos en los que trate gran cantidad de información relativa al afectado. Sin embargo, la posibilidad de solicitar que se especifique los datos o actividades de tratamiento, debería extenderse también a
otros supuestos en los que pueda resultar complejo localizar la información (sistemas de información complejos o distribuidos, sistemas de videovigilancia etc.) aunque no se trate gran cantidad de información relativa al afectado.
Hay que tener en cuenta en este sentido que el artículo 11.2 RGPD establece que el responsable no está obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir con
el RGPD, y que el apartado 2 de este artículo establece que cuando el responsable no esté en condiciones de identificar al interesado no serán de aplicación los artículos 15 a
20. Abrir una vía para la colaboración del ciudadano para facilitar su identificación, en la línea del último inciso del artículo 11.2 RGPD (referido a supuestos en que aun no siendo identificable inicialmente, el interesado facilite
información adicional que permita la identificación) y el artículo 12.6 RGPD, permitiría dar una respuesta más satisfactoria al ejercicio de los derechos sin que ello suponga una carga excesiva para el responsable. La redacción del artículo 13.1
reduce esta posibilidad a los supuestos de 'gran cantidad de información'.
ENMIENDA NÚM. 112
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 13, apartado 1, párrafo segundo
De supresión.
Redacción que se propone:
'Artículo 13. Derecho de acceso.
1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una cantidad de información relativa al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la
información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A
tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para
ello.'
JUSTIFICACIÓN
Por conexión con la enmienda anterior.
ENMIENDA NÚM. 113
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 13, apartado 2
De modificación.
Redacción que se propone:
'Artículo 13. Derecho de acceso.
[...]
2. Se considerará otorgado el derecho de acceso del interesado en caso de que el responsable del tratamiento pusiera a su disposición, de forma permanente, un mecanismo para facilitar el acceso remoto y directo a sus datos a través de un
sistema seguro, siempre que dicho mecanismo garantice el acceso a la totalidad de los datos del afectado que estuviesen siendo objeto de tratamiento.
En este supuesto, el responsable del tratamiento podrá denegar la solicitud de ejercicio del derecho del interesado, limitándose a indicar al mismo el modo en que podrá acceder remotamente a su información. Ello sin perjuicio de que el
interesado pueda solicitar también información sobre el resto de los aspectos recogidos en el apartado 1 del artículo 15 del Reglamento (UE) 2016/679 no incluidos en el acceso remoto.
[...]'
JUSTIFICACIÓN
Sin perjuicio que el acceso directo on line puede ser un sistema efectivo para conocer los datos que se están tratando, ello no debería privar al interesado de solicitar información sobre el resto de los extremos que el artículo 15 RGPD
incluye en el derecho de información.
ENMIENDA NÚM. 114
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 19, apartado 1
De modificación.
'Artículo 19. Tratamiento de datos de contacto y de empresarios individuales.
1. Salvo prueba en contrario se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas por la empresa en la que presten servicios, siempre que se
cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones vinculadas a la actividad de la empresa en la que el afectado preste sus servicios.
[...]'
JUSTIFICACIÓN
Debería tenerse en cuenta que la empresa donde presten servicios no tiene que ser necesariamente una persona jurídica. El empresario puede ser una persona física o un ente sin personalidad (p. ej, una comunidad de bienes) sin que por ello
deba ser diferente el tratamiento de los datos personales de los trabajadores a su servicio.
Por otro lado, en la letra b) debería hacerse mención a que la finalidad debe ser únicamente el mantenimiento de relaciones vinculadas a la actividad de la empresa en la que el afectado preste sus servicios.
ENMIENDA NÚM. 115
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 13, apartado 2
De modificación.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
[...]
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas,
que se encuentre pendiente de resolución.
c) Que el acreedor haya obtenido autorización del afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquellos en los que participe.
La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la
posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
[...]'
JUSTIFICACIÓN
A la expresión 'no hubiesen sido objeto de reclamación' debería añadirse 'que se encuentre pendiente de resolución'. Además, se establece que el acreedor informará en el momento de contratar pero se necesita el consentimiento del afectado.
ENMIENDA NÚM. 116
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 20, apartado 1, letra d)
De modificación.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
[...]
d) Que (os datos se mantengan en el sistema durante un período máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito y solo en tanto persista el incumplimiento.
[...]'
JUSTIFICACIÓN
El período de cinco años debería ser un período máximo, puesto que de no ser así puede parecer que el artículo conmina a conservar los datos durante cinco años en cualquier caso.
ENMIENDA NÚM. 117
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 20, apartado 1, letra e)
De supresión.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
[...]
e) Que los datos referidos a un deudor determinado solamente puedan ser consultados en los supuestos previstos en la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo, así como cuando quien consulte el sistema mantuviese una
relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica.
[...]'
JUSTIFICACIÓN
Se propone la supresión de esta previsión porque no existe referencia alguna al respecto en el Reglamento General de Protección de Datos.
Las entidades crediticias pueden mantener los criterios de riesgo que consideren oportunos sin tener por qué desvelarlos. Es una cuestión propia de la libre competencia en el mercado.
ENMIENDA NÚM. 118
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 20, apartado 1 bis
De adición.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
1 bis (nuevo). La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará
sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.'
JUSTIFICACIÓN
Por conexión con la enmienda anterior.
ENMIENDA NÚM. 119
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 20, apartado 2
De modificación.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
[...]
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el
artículo 26 del Reglamento (UE) 2016/679.
Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.'
JUSTIFICACIÓN
Se propone la supresión del párrafo puesto que no tiene sentido establecer esta previsión. Se limita a las entidades que puedan cumplir con los principios de préstamo responsable.
ENMIENDA NÚM. 120
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 20, apartado 4
De adición.
Redacción que se propone:
'Artículo 20. Sistemas de información crediticia.
[...]
4 (nuevo). No se incorporarán a los sistemas de información crediticia a los que se refiere el artículo 20.1 de esta Ley Orgánica deudas en que la cuantía del principal sea inferior a cincuenta euros.
El Gobierno, mediante real decreto, podrá modificar esta cuantía.'
JUSTIFICACIÓN
Este apartado se encuentra actualmente en la disposición adicional octava, pero por su naturaleza parece que debe formar parte del texto articulado.
ENMIENDA NÚM. 121
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 22, apartado 1
De modificación.
Redacción que se propone:
'Artículo 22. Tratamientos con fines de videovigilancia.
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes en sus
instalaciones.
[...]'
JUSTIFICACIÓN
La finalidad de preservar la 'seguridad de personas y bienes' no debería contemplarse como un supuesto distinto al del control de sus instalaciones, puesto que debe ser exclusivamente en sus instalaciones donde se lleve a cabo dicho control.
Por ello debería suprimirse la expresión 'así como de...'.
ENMIENDA NÚM. 122
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 5 del artículo 22
De modificación.
Redacción que se propone:
'Artículo 22. Tratamientos con fines de videovigilancia.
[...]
5. Los empleadores podrán tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores previstas en el artículo 20.3 del Estatuto de los Trabajadores, siempre
que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar, con carácter previo a los trabajadores y, en su caso, a sus representantes, acerca de esta medida.
[...]'
JUSTIFICACIÓN
Este artículo ha incorporado la previsión que las imágenes captadas por sistemas de videovigilancia con la finalidad de preservar la integridad de las personas, bienes e instalaciones puedan ser utilizadas con la finalidad de control laboral
informando a los trabajadores acerca de esta medida. Debería precisarse que la información debe ser previa y debería incluir también la información a los representantes de los trabajadores.
ENMIENDA NÚM. 123
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A los apartados 6 y 8 del artículo 22
De modificación.
Redacción que se propone:
'Artículo 22. Tratamientos con fines de videovigilancia.
[...]
6. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.
Esta exclusión no-abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
7. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en
los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación
específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
8. En lo regulado en el presente artículo v en caso de colisión con lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada, resulta de aplicación preferente lo previsto en el Reglamento de la UE.
[...]'
JUSTIFICACIÓN
Se hace una remisión implícita a la legislación de seguridad privada que podría no respetar la primacía del Derecho de la Unión Europea y la eficacia y aplicabilidad directa del Reglamento General de Protección de Datos.
ENMIENDA NÚM. 124
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 23
De modificación.
Redacción que se propone:
'Artículo 23. Sistemas de exclusión publicitaria.
1. Será lícito el tratamiento de datos de carácter personal que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.
A tal efecto, podrán crearse sistemas de información, generales o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante
los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas.
2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la Agencia Española de Protección de Datos o a la autoridad autonómica de control competente su creación, su carácter general o sectorial, así como el
modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.
La autoridad de control que reciba dicha información deberá hacerla pública en su sede electrónica y comunicarla al resto de autoridades de control para su publicación.
3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a
la información publicada por la autoridad de control competente en materia de protección de datos.
4. Quienes pretendan realizar comunicaciones comerciales, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión publicitaria incluidos en la relación publicada por la autoridad de control
competente en materia de protección de datos.'
JUSTIFICACIÓN
No puede descartarse que una entidad incluida en el ámbito de actuación de una autoridad autonómica de control, pueda establecer un sistema de exclusión publicitaria. Igualmente, cuando una entidad del ámbito de actuación de una autoridad
autonómica de control quiera realizar comunicaciones comerciales, debería poder consultar cuales son los sistemas de exclusión publicitaria existentes en la autoridad de control a la cual esté sometida, ya sea la AEPD ya sea una autoridad autonómica
de control.
Por ello, en el apartado 2, la referencia a la Agencia Española de Protección de Datos debería completarse con una referencia a las autoridades autonómicas de control.
En este mismo sentido, en los apartados 3 y 4 las referencias a la 'Agencia Española de Protección de datos' debería hacerse a 'las autoridades de control en materia de protección de datos'.
ENMIENDA NÚM. 125
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 23
De modificación.
Redacción que se propone:
'Artículo 23. Sistemas de exclusión publicitaria.
[...]
4. Quienes pretendan realizar comunicaciones comerciales, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión publicitaria incluidos en la relación publicada por la Agencia Española de
Protección de Datos. Además será necesario que el responsable del tratamiento recabe el consentimiento expreso del afectado.'
JUSTIFICACIÓN
No es condición sine qua non figurar en una lista para no recibir publicidad. Es suficiente que el responsable del tratamiento no tenga el consentimiento expreso del afectado.
ENMIENDA NÚM. 126
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 24
De modificación.
Redacción que se propone:
'Artículo 24. Sistemas de información de denuncias internas en el sector privado.
1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de
terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de
información en el momento de establecer la correspondiente relación jurídica.'
JUSTIFICACIÓN
Debería especificarse de manera clara el momento y la forma en la que debería informarse a los terceros que contraten con la empresa que establezca dicho sistema.
ENMIENDA NÚM. 127
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo párrafo al apartado 1 del artículo 24
De adición.
Redacción que se propone:
'Artículo 24. Sistemas de información de denuncias internas en el sector privado.
1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de
terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de
información.
Estos sistemas igualmente deberán informar con claridad sobre qué datos identifícativos recoge el sistema, así como, de las personas que pueden tener acceso a ellos para gestionar la denuncia. En los supuestos en los que se admita el
anonimato, se deberán describir las garantías técnicas que impiden cualquier tipo de identificación.'
JUSTIFICACIÓN
La inclusión de esta enmienda tiene como objetivo asegurar que quien hace una denuncia conoce claramente el alcance de la confidencialidad de la misma. Igualmente, conviene reforzar la idea del anonimato desde un punto de vista técnico, no
como un mero compromiso.
ENMIENDA NÚM. 128
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 3 del artículo 25
De supresión.
Redacción que se propone:
'Artículo 25. Tratamiento de datos en el ámbito de la función estadística pública.
[...]
3. Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artículos 15
a 22 del Reglamento (UE) 2016/679 exclusivamente cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación estatal o autonómica.'
JUSTIFICACIÓN
La redacción del apartado 3 de este artículo resulta de difícil comprensión, puesto que no todos los tratamientos llevados a cabo por los organismos públicos competentes en materia de función estadística estarán afectados por el secreto
estadístico (ficheros de personal, proveedores, publicaciones, etc.). En dichos casos debe ser posible denegar las solicitudes de ejercicio derechos, aunque dicha información no esté amparada por el secreto estadístico. Sin embargo la mención a
que podrán denegar las solicitudes de ejercicios de derechos 'exclusivamente' cuando los datos estén amparados por el secreto estadístico, impediría dicha denegación cuando se trate de datos no sometidos al secreto estadístico. Por ello se propone
suprimir la palabra 'exclusivamente'.
ENMIENDA NÚM. 129
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 27
De modificación.
Redacción que se propone:
'Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas.
[...]
2. Fuera de los supuestos señalados en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando estén autorizados por una norma con rango de ley, en la que se regularán,
en su caso, garantías adicionales para los derechos y libertades de los afectados. También serán posibles cuando se trate de ficheros de abogados y procuradores que tengan por objeto recoger la información facilitada por sus clientes para el
ejercicio de sus funciones.'
JUSTIFICACIÓN
En la recogida de información sobre infracciones y sanciones administrativas debe introducirse una excepción para los tratamientos llevados a cabo por abogados y procuradores necesarios para la representación y defensa de sus clientes.
ENMIENDA NÚM. 130
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 28
De modificación.
Redacción que se propone:
'Artículo 28. Obligaciones generales del responsable y encargado del tratamiento.
[...]
2. A los efectos de valorar la existencia de riesgos para los derechos y libertades de las personas afectadas, debe tenerse en cuenta, entre otras circunstancias, las siguientes:
a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no
autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos
relacionados con la comisión de infracciones administrativas.
d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su
rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
f) Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.
g) Cuando los datos de carácter personal fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
h) La probabilidad de que el riesgo se materialice.'
JUSTIFICACIÓN
Este apartado alude a la necesidad de ponderar los riesgos y adoptar las medidas oportunas. El artículo está referido en su conjunto a todas las medidas previstas en el RGPD y a continuación se enumeran las circunstancias que deben tenerse
en cuenta.
No parece que su inclusión en el texto resulte aclaradora puesto que cada una de las medidas previstas en el RGPD tiene previstas en el mismo RGPD y en la legislación estatal, o en su caso en las decisiones de las autoridades de control, los
elementos a tener en cuenta en cada una de ellas. Así, por ejemplo, las condiciones para determinar la exigibilidad del registro de actividades de tratamiento no coinciden con las condiciones para la exigibilidad de la evaluación de impacto o de la
implantación del delegado de protección de datos. La redacción actual plantearía por ejemplo la duda de si a los requisitos establecidos por el RGPD para determinar la necesidad de disponer de una evaluación de impacto, debe añadírsele también los
otros elementos enumerados en el artículo 28.2 del Proyecto.
Por otro lado, entre las circunstancias a tener en cuenta, debería añadirse también la probabilidad (alta, moderada o baja), de que el riesgo se concrete u otras circunstancias puestas de relieve en las directrices contenidas en el documento
WP248 del Grupo de Trabajo del artículo 29.
ENMIENDA NÚM. 131
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 29
De modificación.
Redacción que se propone:
'Artículo 29. Supuestos de corresponsabilidad en el tratamiento.
La determinación, en el acuerdo al que se refiere el apartado 1 del artículo 26 del Reglamento (UE) 679/2016, de las responsabilidades respectivas de los corresponsables se realizará atendiendo a las actividades que efectivamente desarrolle
cada uno de los corresponsables del tratamiento.'
JUSTIFICACIÓN
La propuesta parece prescindir del acuerdo al que se refiere el artículo 26.1 RGPD para el establecimiento de las responsabilidades respectivas de los corresponsables.
ENMIENDA NÚM. 132
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 30
De modificación.
Redacción que se propone:
'Artículo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea.
1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unión Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se refiera a afectados que
residan en España, el responsable del tratamiento o en su caso el encargado del tratamiento deberán comunicar la designación de un representante a la autoridad de control en materia de protección de datos competente.
En los supuestos a los que se refiere el párrafo anterior, la autoridad de control en materia de protección de datos competente podrá imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas
establecidas en el Reglamento (UE) 2016/679.
[...]'
JUSTIFICACIÓN
Teniendo en cuenta que las funciones del representante son atender las consultas de las autoridades de control y de los interesados sobre todos los asuntos relativos al tratamiento, sería conveniente que la Ley previera la necesidad de
comunicar la designación del representante a las autoridades de control, y que estas debieran llevar un registro de los representantes que sea consultable por el público.
Por otro lado, el punto de conexión establecido por el artículo 3.2 RGPD no es que los interesados 'se hallen en España' sino que 'residan'. Por ello, a diferencia de lo que prevé el apartado 1 del artículo 30 del proyecto, debería
sustituirse 'se hallen' por 'residan'.
Ello debería tener reflejo también en el régimen sancionador.
ENMIENDA NÚM. 133
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 30
De modificación.
Redacción que se propone:
'Artículo 30. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea.
[...]
2. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del Reglamento (UE) 2016/679, los responsables y encargados responderán solidariamente con sus respectivos representantes de los daños y
perjuicios causados.'
JUSTIFICACIÓN
La redacción actual del precepto puede llevar a entender que responsables del tratamiento y encargados responden solidariamente. Por ello, se propone una redacción que aclare que la responsabilidad solidaria se prevé respecto cada una de
ellos con su representante.
ENMIENDA NÚM. 134
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 31
De modificación.
Redacción que se propone:
'Artículo 31. Registro de las actividades de tratamiento.
1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la
excepción prevista en su apartado 5.
El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado Reglamento.
Cuando el responsable o el encargado del tratamiento hubieran designado un Delegado de Protección de Datos y este no lleve el registro, se le deberá comunicar cualquier adición, modificación o exclusión en el contenido del Registro.'
JUSTIFICACIÓN
El tercer párrafo de este apartado recoge la obligación de comunicar al DPD cualquier adición, modificación o exclusión en el contenido del registro de actividades. La previsión resulta acorde con la función de supervisión que corresponde
al DPD. Sin embargo, la redacción parece partir de la base que el DPD no puede llevar el registro, cuando a nuestro entender parecería razonable que sea precisamente el DPD quien lo lleve, en línea con lo que ya establecía el artículo 18.2 de la
Directiva 95/46/CE.
ENMIENDA NÚM. 135
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 31
De modificación.
Redacción que se propone:
'Artículo 31. Registro de las actividades de tratamiento.
[...]
2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público su registro de actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE)
2016/679 y su base legal.'
JUSTIFICACIÓN
Este apartado, aplicable a las entidades públicas a las que se refiere el artículo 77 de la misma ley orgánica, establece que llevarán un inventario de sus actividades de tratamiento.
Parece que con el término 'inventario', se está refiriendo al registro establecido en el artículo 30 RGPD (en realidad se prevé que su contenido será la información prevista en artículo 30 del RGPD para el registro, a la cual solo se añade
'su base legal'). Sería preferible referirse al mismo como 'registro' para no generar nuevas dudas.
Por ello se propone modificar dicho apartado para indicar solamente los requisitos adicionales incorporados por el proyecto para el registro de las actividades del tratamiento de las administraciones públicas o entidades del sector público
(accesibilidad por medios electrónicos e inclusión de la base legal del tratamiento), pero manteniendo la denominación de registro de actividades de tratamiento.
ENMIENDA NÚM. 136
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 32
De modificación.
Redacción que se propone:
'Artículo 32. Bloqueo de los datos.
[...]
Los datos bloqueados quedarán a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles
responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas, incluida la atención de las solicitudes de acceso a la información pública, de acuerdo con la legislación de transparencia.
[...]'
JUSTIFICACIÓN
Puesto que la información bloqueada seguiría teniendo la condición de 'información pública' a los efectos de la legislación de transparencia y acceso a la información pública, parecería conveniente aclarar en la ley orgánica si es posible
ejercer el derecho de acceso a la información pública respecto a información que está bloqueada. Puede interpretarse que atender las solicitudes de acceso a la información forma parte de las 'responsabilidades' del ente que la conserva, puesto que
incluso puede ser sancionado por no facilitarla. Por ello sería positivo aclararlo en la Ley.
ENMIENDA NÚM. 137
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 33
De modificación.
Redacción que se propone:
'Artículo 33. Encargado del tratamiento.
1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el
Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.
A los efectos establecidos en el artículo el artículo 28.3 del Reglamento (UE) 2016/679, cuando el encargo del tratamiento se formalice en un acto jurídico, este deberá tener carácter vinculante para el responsable y el encargado.
2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico
con el contenido fijado en el artículo 28.3
del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.
Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.
3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos de carácter personal deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.
4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las entidades que
integran la Administración Local o a los organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que puede incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE)
2016/679 o ser completada mediante un acto jurídico posterior.'
JUSTIFICACIÓN
En este artículo se debería regular los requisitos que debe reunir el 'acto jurídico' del responsable para dar lugar a un encargo. Como mínimo debería ser vinculante y que se pueda acreditar que se ha puesto en conocimiento del encargado.
El apartado 5 parece indicar que se podrá realizar mediante disposición general que atribuya competencias, pero no queda claro si puede realizarse también por otro tipo de actos (por ejemplo un encargo, una delegación, una encomienda de
gestión a un organismo dependiente de dicha administración, etc.) o si la posibilidad de realizar el encargo por un acto jurídico es aplicable también al sector privado.
En cualquier caso, dado el carácter abierto con el que el artículo 28.3 del RGPD se refiere a esta cuestión ('un contrato u otro acto jurídico') no parece que deba restringirse los posibles instrumentos en los cuales puede materializarse
dicho encargo.
Por otro lado, la norma que atribuye las competencias normalmente no tendrá el contenido del artículo 28.3 RGPD, por lo cual sería positivo que en el apartado 5 se previera también la posibilidad que dicho contenido se estableciera en un
'acto' posterior.
ENMIENDA NÚM. 138
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 1 del artículo 34
De modificación.
Redacción que se propone:
'Artículo 34. Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la legislación de educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran
escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de-ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de
octubre, del Sector de Hidrocarburos:
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el
artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen
actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y
obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por la legislación de seguridad privada.'
JUSTIFICACIÓN
Para evitar las dudas interpretativas que pueda generar la modificación o sustitución de las numerosas leyes a las que hace referencia este artículo, sería preferible que la remisión se hiciera a la materia, sin mencionar específicamente
dichas leyes.