Ruta de navegación
Publicaciones
BOCG. Congreso de los Diputados, serie A, núm. 13-2, de 18/04/2018
BOCG. Congreso de los Diputados, serie A, núm. 13-2, de 18/04/2018
ENMIENDA NÚM. 139
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 35
De modificación.
Redacción que se propone:
'Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del
Reglamento (UE) 2016/679 para la designación del delegado de protección
de datos, sea persona física o jurídica, podrá demostrarse, entre otros
medios, a través de mecanismos voluntarios de certificación.'
JUSTIFICACIÓN
El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación
de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos) no define que puedan ser las personas
jurídicas.
ENMIENDA NÚM. 140
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 4 del artículo 36
De modificación.
Redacción que se propone:
'Artículo 36. Posición del delegado de protección de datos.
[...]
4. Cuando el delegado de protección de datos aprecie la existencia de una
vulneración relevante en materia de protección de datos, lo documentará y
lo comunicará inmediatamente a los órganos de administración y dirección
del responsable o el encargado del tratamiento.'
JUSTIFICACIÓN
Más allá del deber del DPD de comunicar a los órganos de dirección las
vulneraciones relevantes, sería positivo recoger, o recordar, en este
artículo el deber de documentar (sea en un registro o de otro modo)
dichas comunicaciones.
ENMIENDA NÚM. 141
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 37
De modificación.
Redacción que se propone:
'Artículo 37. Intervención del delegado de protección de datos en caso de
reclamación ante las autoridades de protección de datos.
Cuando el responsable o el encargado del tratamiento hubieran designado un
delegado de protección de datos, el interesado puede dirigirse al
delegado de protección de datos de la entidad contra la que se reclame
con carácter previo a la presentación de reclamación ante la autoridad de
protección de datos competente, cuando se trate de reclamaciones
vinculadas al ejercicio de los derechos del interesado.
El delegado de protección de datos deberá acusar recibo de las
reclamaciones que se le presenten y resolverlas motivadamente,
comunicando la resolución a los interesados en el plazo máximo de un mes
a contar desde la recepción de la reclamación. Transcurrido dicho plazo
sin haber recibido respuesta, o en el caso de desestimación de la
reclamación, el afectado podrá dirigirse a la autoridad de protección de
datos competente.'
JUSTIFICACIÓN
Este artículo prevé un sistema de reclamación previa ante el DPD.
La utilización de la expresión 'será posible' en el art. 37.1 parece
indicar que la utilización de esta vía será meramente potestativa. Sin
embargo, a la vista de lo que establece el apartado segundo de este mismo
artículo, parece que quiere dársele un carácter 'pseudoobligatorio',
puesto que en el caso de no plantearse la reclamación ante el DPD, la
autoridad de control puede remitirle la reclamación.
La referencia a 'reclamaciones' puede entenderse referida (en la
terminología empleada por el RGPD) tanto a casos de denuncias de
infracciones como a casos de tutela de derechos. En el caso reclamaciones
de tutela de derechos e incluso de infracciones vinculadas a la no
atención de dichas reclamaciones, dicho mecanismo de reclamación previa,
permitiría evitar tener que acudir a la autoridad de protección de datos
(si a través del DPD ya se satisface la reclamación) e incluso permitiría
poder apreciar que no se dan las circunstancias necesarias para
considerar que se ha producido una infracción por obstrucción del
ejercicio de los derechos.
Ahora bien, para otro tipo de reclamaciones vinculadas a infracciones,
acudir al DPD demorará la posibilidad de acudir a la autoridad de
protección de datos y puede impedir la adopción por dicha autoridad de
las medidas provisionales necesarias en supuestos que requieran una
actuación inmediata. Por otro lado, ello puede facilitar la desaparición
de evidencias probatorias antes de que la autoridad tenga conocimiento de
dicha infracción.
Por ello, debería preverse la reclamación ante el DPD, incluso con
carácter obligatorio, solamente cuando se trate de reclamaciones
vinculadas al ejercicio de derechos.
Por otro lado el plazo establecido para la resolución de dichas
reclamaciones (dos meses) parece excesivo dado el conocimiento previo que
debe tener el DPD del tratamiento llevado a cabo y la necesidad de no
dilatar innecesariamente la posibilidad de intervención de la autoridad
de control.
Para el supuesto que no se suprima el apartado 2, sería preciso establecer
que la interposición de la reclamación ante el Delegado de Protección de
datos o la remisión de la reclamación por la autoridad de control al
delegado de protección de datos interrumpe el plazo de prescripción de
las infracciones. Si se trata de procedimientos iniciados a instancia del
interesado, la remisión de la reclamación por la Autoridad de protección
de datos al delegado debería suspender el plazo para la resolución del
procedimiento.
ENMIENDA NÚM. 142
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo apartado 2 bis al artículo 38
De adición.
Redacción que se propone:
'Artículo 38. Códigos de conducta.
1. Los códigos de conducta regulados por la sección 5.ª del capítulo IV
del Reglamento (UE) 2016/679 serán vinculantes para quienes se adhieran a
los mismos.
2. Dichos códigos podrán promoverse, además de por las asociaciones y
organismos a los que se refiere el artículo 40.2 del Reglamento (UE)
2016/679, por empresas o grupos de empresas así como por los responsables
o encargados a los que se refiere el artículo 77.1 de esta ley orgánica.
Asimismo, podrán ser promovidos por los organismos o entidades que asuman
las funciones de supervisión y resolución extrajudicial de conflictos a
los que se refiere el artículo 41 del Reglamento (UE) 2016/679.
Los responsables o encargados del tratamiento que se adhieran al código de
conducta se obligan a someter al organismo o entidad de supervisión las
reclamaciones que les fueran formuladas por los afectados en relación con
los tratamientos de datos incluidos en su ámbito de aplicación en caso de
considerar que no procede atender a lo solicitado en la reclamación, sin
perjuicio de lo dispuesto en el artículo 37 de esta ley orgánica. Además,
sin menoscabo de las competencias atribuidas por el Reglamento (UE)
2016/679 a las autoridades de protección de datos, podrán voluntariamente
y antes de llevar a cabo el tratamiento, someter al citado organismo o
entidad de supervisión la verificación de la conformidad del mismo con
las materias sujetas al código de conducta.
En caso de que el organismo o entidad de supervisión rechace o desestime
la reclamación, o si el responsable o encargado del tratamiento no somete
la reclamación a su decisión, el afectado podrá formularla ante la
Agencia Española de Protección de Datos o, en su caso, las autoridades
autonómicas de protección de datos. La autoridad de protección de datos
competente verificará que los organismos o entidades que promuevan los
códigos de conducta reúnen los requisitos establecidos en el artículo
41.2 del Reglamento (UE) 2016/679.
2 bis. (Nuevo) El planteamiento de una reclamación ante el organismo de
supervisión del código de conducta, no impedirá poder presentar una
reclamación ante la autoridad de protección de datos competente, sin
perjuicio que en el momento de determinar la sanción aplicable la
autoridad de control pueda tener en cuenta las sanciones exigidas por el
organismo de supervisión.
[...]'
JUSTIFICACIÓN
Por conexión con la enmienda al artículo 38.2.
ENMIENDA NÚM. 143
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 5 del artículo 38
De modificación.
Redacción que se propone:
'Artículo 38. Códigos de conducta.
[...]
5. La Agencia Española de Protección de Datos y las autoridades
autonómicas de protección de datos mantendrán un registro de los códigos
de conducta aprobados por las mismas y los aprobados conforme al artículo
63 del Reglamento (UE) 2016/679, con indicación de los entes que lo han
promovido o los adheridos posteriormente. El registro será accesible a
través de medios electrónicos.
[...]'
JUSTIFICACIÓN
Este apartado, tal como ya preveía el Anteproyecto de Ley Orgánica, prevé
que la AEPD y las autoridades autonómicas de control mantengan un
registro de los códigos de conducta aprobados. Sin embargo, en el
Proyecto de Ley se ha incorporado la necesidad que dicho registro sea
conjunto. No parece que exista justificación a dicho carácter conjunto,
puesto que cada autoridad de control debe llevar exclusivamente un
registro de los códigos de conducta promovidos en su ámbito de actuación.
Por ello se propone suprimir la palabra 'conjunto'.
Por otro lado, sería útil para las personas afectadas que el registro
incorporara también la información sobre los entes adheridos al código de
conducta.
ENMIENDA NÚM. 144
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 39
De modificación.
Redacción que se propone:
'Artículo 39. Acreditación de instituciones de certificación.
1. La acreditación de los organismos de certificación a los que se refiere
el artículo 43.1 del Reglamento (UE) 2016/679 será llevada a cabo por la
Entidad Nacional de Acreditación (ENAC) o por una autoridad de control en
materia de protección de datos.
Las autoridades de control en materia de protección de datos pueden actuar
como organismos de certificación.
2. Las concesiones, denegaciones o revocaciones de las acreditaciones, así
como su motivación, deberán ser comunicadas a la Agencia Española de
Protección de Datos y a las autoridades de protección de datos de las
comunidades autónomas.
3. Los criterios de acreditación serán aprobados conjuntamente por la
Agencia Española de Protección de Datos y las autoridades autonómicas de
control existentes.'
JUSTIFICACIÓN
Este artículo plantea diferentes cuestiones que requerirían una regulación
más completa:
a) En primer lugar, el artículo no debería referirse a 'instituciones de
certificación', sino a 'organismos de certificación', que es la expresión
utilizada por el artículo 43 RGPD.
b) En segundo lugar, prescinde de la posibilidad, permitida por el
artículo 43.1.a) del RGPD, de que san las propias autoridades de
protección de datos las que acrediten las entidades de certificación.
Sin perjuicio de la posibilidad de atribuir tal función a la Entidad
Nacional de Acreditación (ENAC) no parece que deba excluirse la
posibilidad que las autoridades de control puedan llevarla a cabo.
c) En tercer lugar, debería preverse la posibilidad contemplada en el
artículo 42.5 del RGPD de que las autoridades de control puedan actuar
como organismos de certificación.
d) En cuarto lugar, la atribución de la acreditación a un único organismo
plantea la cuestión de a quién corresponde establecer tanto los criterios
de acreditación (artículo 43.3 RGPD). Aunque el artículo 43.3 del RGPD se
refiere a la autoridad de control competente, parecería que debería
recogerse que los criterios deberían establecerse de manera conjunta
entre todas las autoridades de protección de datos, puesto que las
entidades acreditadas van a poder actuar en el ámbito competencial de
todas ellas.
ENMIENDA NÚM. 145
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo artículo 39 bis
De adición.
Redacción que se propone:
'Artículo 39 bis. Certificación.
1. La aprobación de los criterios de certificación a los que se refiere el
artículo 42.5 del Reglamento (UE) 2016/679, podrá ser llevada a cabo
conjuntamente por la Agencia Española de Protección de Datos y las
autoridades autonómicas de control existentes o solo por alguna de ellas
cuando el organismo de certificación forme parte de su ámbito de
actuación.
2. Las certificaciones podrán ser retiradas por el organismo de
certificación o por la autoridad de control competente por razón del
sujeto certificado, cuando se incumplan o se hayan dejado de cumplir los
requisitos para la certificación.'
JUSTIFICACIÓN
La atribución de la acreditación a un único organismo plantea la cuestión
de a quién corresponde establecer los criterios de certificación (42.5).
Parecería que debería recogerse que los criterios deben establecerse de
manera conjunta entre todas las autoridades de protección de datos, sin
cerrar la posibilidad que, en defecto de acuerdo conjunto, una autoridad
de control pueda establecer sus propios criterios para las entidades de
su ámbito de actuación.
Por otro lado, debería aclararse que la autoridad competente a la que se
refiere 42.7 RGPD es la autoridad competente por razón del sujeto
certificado y no del certificante.
ENMIENDA NÚM. 146
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al primer párrafo del artículo 40
De modificación.
Redacción que se propone:
'Artículo 40. Régimen de las transferencias internacionales de datos.
Las transferencias internacionales de datos se regirán por lo dispuesto en
el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de
desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia
Española de Protección de Datos o de las autoridades autonómicas de
control.
En todo caso se aplicarán a los tratamientos en que consista la propia
transferencia las disposiciones contenidas en dichas normas, en
particular las que regulan los principios de protección de datos.'
JUSTIFICACIÓN
La referencia a la Agencia Española de Protección de Datos debería hacerse
también a las autoridades de control autonómicas.
En los ámbitos competenciales que los Estatutos de Autonomía atribuyen a
las autoridades autonómicas de control, todas las funciones que
corresponden a las autoridades de protección de datos tendrán que ser
ejercidas por dichas autoridades autonómicas. El artículo 41 LOPD
reservaba a la Agencia Española de Protección de Datos las funciones en
materia de transferencias internacionales, pero el artículo 57 del RGPD
establece claramente que 'cada autoridad de control' tendrá en su
territorio 'todas' las funciones que el mismo artículo enumera. O sea,
que una vez establecida una autoridad de control para un determinado
ámbito, le corresponden todas las funciones respecto ese ámbito.
ENMIENDA NÚM. 147
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 41
De modificación.
Redacción que se propone:
'Artículo 41. Supuestos de adopción por la Agencia Española de Protección
de Datos.
1. La Agencia Española de Protección de Datos y las autoridades
autonómicas de control, podrán adoptar, conforme a lo dispuesto en el
artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales
tipo para la realización de transferencias internacionales de datos, que
se someterán previamente al dictamen del Comité Europeo de Protección de
Datos previsto en el artículo 64 del citado reglamento.
2. La Agencia Española de Protección de Datos y las autoridades
autonómicas de control podrán aprobar normas corporativas vinculantes de
acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
El procedimiento se iniciará a instancia de una entidad situada en España
y tendrá una duración máxima de un año. Quedará suspendido como
consecuencia de la remisión del expediente al Comité Europeo de
Protección de Datos para que emita el dictamen al que se refiere el
artículo 64.1.f) del Reglamento (UE) 2016/679, y se reiniciará tras su
notificación a la autoridad de control competente.'
JUSTIFICACIÓN
Los mismos motivos expresados respecto el artículo 40.
ENMIENDA NÚM. 148
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 43
De supresión.
Redacción que se propone:
'Artículo 43. Supuestos sometidos a información previa a la autoridad de
protección de datos competente.
Los responsables del tratamiento deberán informar a la Agencia Española de
Protección de Datos o, en su caso, a las autoridades autonómicas de
protección de datos, de cualquier transferencia internacional de datos
que pretendan llevar a cabo sobre la base de su necesidad para fines
relacionados con intereses legítimos imperiosos perseguidos por aquellos
y la concurrencia del resto de los requisitos previstos en el último
párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo,
informarán a los afectados de la transferencia y de los intereses
legítimos imperiosos perseguidos.
Esta información deberá facilitarse con carácter previo a la realización
de la transferencia.
Lo dispuesto en este artículo no será de aplicación a las actividades
llevadas a cabo por las autoridades públicas en el ejercicio de sus
poderes públicos, de acuerdo con el artículo 49.3 del Reglamento (UE)
2016/679.'
JUSTIFICACIÓN
Este artículo resulta innecesario ya que reproduce las previsiones del
último párrafo del artículo 49, y del apartado tercero del mismo
artículo, ambos del Reglamento General de Protección de Datos.
ENMIENDA NÚM. 149
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 47
De modificación.
Redacción que se propone:
'Artículo 47. Funciones y potestades de la Agencia Española de Protección
de Datos.
Corresponde a la Agencia Española de Protección de Datos, en su ámbito de
actuación, supervisar la aplicación de esta ley orgánica y del Reglamento
(UE) 2016/679 y, en particular, ejercer las funciones establecidas en el
artículo 57 y las potestades previstas en el artículo 58 del mismo
reglamento, en la presente ley orgánica y en sus disposiciones de
desarrollo.
Asimismo, corresponde a la Agencia Española de Protección de Datos el
desempeño de las funciones y potestades que le atribuyan otras leyes o
normas de Derecho de la Unión Europea.'
JUSTIFICACIÓN
El apartado 1 establece que corresponde a la Agencia Española de
Protección de Datos 'supervisar' la aplicación de lo dispuesto en esta
ley orgánica y en el Reglamento (UE) 2016/679. Puesto que en España
existen otras autoridades de control de ámbito autonómico, debería
añadirse que dicha función le corresponde respecto a las entidades
incluidas en su ámbito de actuación.
ENMIENDA NÚM. 150
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 2 del artículo 56
De modificación.
Redacción que se propone:
'Artículo 56. Acción exterior.
[...]
2. La Agencia es el organismo competente para la protección de las
personas físicas en lo relativo al tratamiento de datos de carácter
personal derivado de la aplicación de cualquier Convenio Internacional en
el que sea parte el Reino de España que atribuya a una autoridad nacional
de control esa competencia y la representante común de las autoridades de
Protección de Datos en el Comité Europeo de Protección de Datos, conforme
a lo dispuesto en el artículo 68.4 del Reglamento (UE) 2016/679 [...].
La Agencia Española de Protección de Datos facilitará al resto de
autoridades de control que se constituyan en España, información sobre
las decisiones adoptadas en el Comité Europeo de Protección de Datos y
facilitará su participación en la formación del posicionamiento común en
los asuntos que deban adoptarse por dicho Comité.
[...].'
JUSTIFICACIÓN
El apartado 2 de este artículo reitera lo ya establecido en el artículo
44.2 del proyecto, en el sentido que la Agencia Española de Protección de
Datos será el representante común de las autoridades de protección de
datos en el Comité Europeo de Protección de Datos. Añade, además, que
actuará como representante común de las autoridades de protección de
datos 'en los demás grupos en materia de protección de datos constituidos
al amparo del derecho de la Unión Europea.'
Los artículos 51.3 y 68.4 del RGPD solo establecen la necesidad de
designar un representante común para la participación en el Comité
Europeo de Protección de Datos. No parece por ello que la
LOPD deba impedir la posibilidad que las autoridades autonómicas de
control puedan participar directamente en otros grupos de trabajo que se
puedan crear en materia de protección de datos al amparo del derecho de
la Unión.
Por otro lado se tendrían que regular las obligaciones que corresponden a
la Agencia Española como representante ante el CEPD. Más allá de las
previsiones del artículo 59 en relación con la posibilidad que las
autoridades de protección de datos puedan solicitarse información, la
concreción de dicho deber de colaboración debería recogerse en el mismo
artículo 57, detalladamente y sin necesidad que sean las autoridades
autonómicas las que soliciten en cada caso la información. Ello debería
traducirse en el reconocimiento expreso de:
a) La obligación de mantener informadas al resto de las autoridades de
protección de datos sobre la agenda de dicho organismo, las iniciativas
previstas, los asuntos analizados en dicho órgano y las resoluciones,
informes, dictámenes u otros posicionamientos adoptados.
b) Facilitar la participación del resto de autoridades en la fijación del
posicionamiento que como representante común deba adoptar en el seno de
dicho órgano.
ENMIENDA NÚM. 151
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 3 del artículo 56
De modificación.
Redacción que se propone:
'Artículo 56. Acción exterior.
[...]
3. Corresponde igualmente a la Agencia participar, como autoridad
española, en las organizaciones internacionales competentes en materia de
protección de datos, en los comités o grupos de trabajo, de estudio v de
colaboración de organizaciones internacionales que traten materias que
afecten al derecho fundamental a la protección de datos personales y en
otros foros o grupos de trabajo internacionales, en el marco de la acción
exterior del Estado.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 152
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Apartado 4 (nuevo) del artículo 56
De adición.
Redacción que se propone:
'Artículo 56. Acción exterior.
[...]
4. La Agencia Española de Protección de Datos también puede:
a) Participar en reuniones v foros internacionales de ámbito distinto al
de la Unión Europea establecidos de común acuerdo por las autoridades de
control independientes en materia de protección de datos.
b) Colaborar con autoridades, instituciones, organismos y Administraciones
de otros Estados a fin de impulsar, promover y desarrollar el derecho
fundamental a la protección de datos, en particular en el ámbito
iberoamericano, pudiendo suscribir acuerdos internacionales
administrativos y no normativos en la materia.'
JUSTIFICACIÓN
El apartado 2 de este artículo reitera lo ya establecido en el artículo
44.2 del proyecto, en el sentido que la Agencia Española de Protección de
Datos será el representante común de las autoridades de protección de
datos en el Comité Europeo de Protección de Datos. Añade, además, que
actuará como representante común de las autoridades de protección de
datos 'en los demás grupos en materia de protección de datos constituidos
al amparo del derecho de la Unión Europea'.
Los artículos 51.3 y 68.4 del RGPD solo establecen la necesidad de
designar un representante común para la participación en el Comité
Europeo de Protección de Datos. No parece por ello que la LOPD deba
impedir la posibilidad que las autoridades autonómicas de control puedan
participar directamente en otros grupos de trabajo que se puedan crear en
materia de protección de datos al amparo del derecho de la Unión.
Por otro lado se tendrían que regular las obligaciones que corresponden a
la Agencia Española como representante ante el CEPD. Más allá de las
previsiones del artículo 59 en relación con la posibilidad que las
autoridades de protección de datos puedan solicitarse información, la
concreción de dicho deber de colaboración debería recogerse en el mismo
artículo 57, detalladamente y sin necesidad que sean las autoridades
autonómicas las que soliciten en cada caso la información. Ello debería
traducirse en el reconocimiento expreso de:
a) La obligación de mantener informadas al resto de las autoridades de
protección de datos sobre la agenda de dicho organismo, las iniciativas
previstas, los asuntos analizados en dicho órgano y las resoluciones,
informes, dictámenes u otros posicionamientos adoptados.
b) Facilitar la participación del resto de autoridades en la fijación del
posicionamiento que como representante común deba adoptar en el seno de
dicho órgano.
ENMIENDA NÚM. 153
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 57
De modificación.
Redacción que se propone:
'Artículo 57. Autoridades autonómicas de protección de datos.
Corresponde a las autoridades de control autonómicas, en su ámbito de
actuación, ejercer las funciones establecidas en el artículo 57 y las
potestades previstas en el artículo 58 del Reglamento (UE) 2016/679, en
la presente ley orgánica, en otras leves, en sus disposiciones de
desarrollo y en las demás normas de Derecho europeo, cuando se refieran
a:
a) Tratamientos de los que sean responsables las entidades integrantes del
sector público de la correspondiente Comunidad Autónoma o de las
Entidades Locales incluidas en su ámbito territorial o quienes presten
servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el
ejercicio de las funciones públicas en materias que sean competencia de
la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en
los respectivos Estatutos de Autonomía.'
JUSTIFICACIÓN
Para recoger la exclusividad del ejercicio de las funciones dentro del
respectivo ámbito de actuación, y por paralelismo con lo establecido en
el artículo 47 del proyecto de ley orgánica, se propone modificar la
redacción del primer párrafo.
ENMIENDA NÚM. 154
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 58
De modificación.
Redacción que se propone:
'Artículo 58. Cooperación institucional.
Las autoridades de protección de datos cooperarán entre ellas y con las
autoridades de otros Estados de la Unión Europea o de terceros países
para la efectiva aplicación del Reglamento (UE) 2016/679 y la presente
ley orgánica. Dicha cooperación puede llevarse a cabo a través de una
convocatoria que realice regularmente el presidente de la Agencia
Española de Protección de Datos o por otras iniciativas.'
JUSTIFICACIÓN
No parece que la cooperación institucional entre autoridades deba estar
sometida exclusivamente a la iniciativa de la Agencia Española de
Protección de Datos. La cooperación entre las autoridades, sean todas las
autoridades que existan a nivel estatal o algunas de ellas, debería poder
producirse también de manera regular o en ocasiones puntuales a
iniciativa de cualquiera de ellas.
En realidad, cuando el RGPD se refiere a la cooperación lo hace en el
marco de la cooperación entre la autoridad de control principal y las
autoridades interesadas. Ciertamente, la cooperación puede extenderse más
allá de los procedimientos transfronterizos pero no parece que deba ser
únicamente a través de convocatorias de la AEPD realizadas regularmente.
ENMIENDA NÚM. 155
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 59.1
De modificación.
Redacción que se propone:
'Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679 y la
presente ley orgánica.
Cuando el Presidente de la Agencia Española de Protección de Datos
considere que un tratamiento llevado a cabo en materias que fueran
competencia de las autoridades autonómicas de protección de datos vulnera
el Reglamento (UE) 2016/679 podrá instarlas a que adopten las medidas
necesarias para su cesación.
En caso de que lo Autoridad autonómica de protección de datos no adopte
las medidas en el plazo de un mes, el Presidente de la Agencia podrá
requerir a la Administración correspondiente para que adopte las medidas
correctoras en el plazo que se señale.
Si la autoridad autonómica no atendiere el requerimiento, la Agencia podrá
ejercer las acciones que procedan ante la jurisdicción
contencioso-administrativa.'
JUSTIFICACIÓN
Este artículo prevé un mecanismo que permitiría a la Agencia Española de
Protección de Datos, cuando considere que una administración autonómica
contraviene la LOPD o el RGPD, instar a la autoridad autonómica de
control a adoptar medidas para impedir dicha contravención. Además, si la
autoridad autonómica de control no adoptase dichas medidas, la Agencia
Española de Protección de Datos podría requerir directamente a la
administración autonómica correspondiente para que adopte las medidas
correctoras que la AEPD considere oportunas, y si dicha administración
incumpliera el requerimiento, acudir a la vía contenciosa.
No parece que del RGPD ni del Estatuto de Autonomía se desprenda ningún
sometimiento de la autoridad de control autonómica al control de la AEPD.
Las autoridades de control, como administraciones independientes, están
sometidas exclusivamente al control por parte de los tribunales.
No puede compartirse que dicho mecanismo sea necesario para evitar las
sanciones que puedan recaer al Reino de España por incumplimiento del
derecho comunitario.
El artículo parte de un esquema según el cual la AEPD ejercería el papel
de garante del derecho comunitario. En realidad, las interpretaciones o
aplicaciones del derecho comunitario que haga la AEPD, como las que
lleven a cabo las autoridades autonómicas de control, pueden provocar
igualmente la responsabilidad del estado español. En materia de
protección de datos, como en cualquier otra materia. Por ello, los
conflictos entre administraciones deben residenciarse en la jurisdicción
contencioso administrativa (art. 44 LJCA).
En el caso que efectivamente se produzca un incumplimiento que conlleve
sanciones para el Estado español, el Estado (no la AEPD) podrá exigir vía
acción de regreso la indemnización correspondiente a la autoridad de
control que lo haya provocado, sea cual sea.
Un mecanismo que permita a la Agencia Española de Protección de Datos
dirigirse a entidades que están fuera de su ámbito de actuación supondría
una clara infracción del régimen de distribución de competencias que se
deriva del EAC.
Ciertamente, una previsión similar se encontraba recogida en el artículo
42 de la LOPD. Pero debe tenerse en cuenta que cuando se aprobó la LOPD
ningún estatuto de autonomía reconocía competencias en materia de
protección de datos a las comunidades autónomas. La situación ha
cambiado. El EAC reconoce un ámbito de actuación exclusivo a la Autoridad
Catalana de Protección de Datos (art. 156). Y tanto el EAC como el RGPD
reconocen el carácter independiente de las autoridades de protección de
datos. De
todas ellas. Ello sin perjuicio de la posibilidad de establecer un
mecanismo de coordinación para garantizar la aplicación del mecanismo de
coherencia.
La aplicación del mecanismo previsto en este artículo situaría en una
difícil tesitura a las entidades sometidas al control de las autoridades
autonómicas afectadas. Por un lado la entidad de control competente
podría avalar su actuación y, a la vez, podría ser objeto de un
requerimiento de otra autoridad de control (la AEPD), en principio sin
competencias en ese ámbito. Con ello se situaría a dichas entidades en la
difícil e incomprensible tesitura de tener que incumplir necesariamente
uno de los dos criterios.
Por todo ello, y en línea con el artículo 44 de la LJCA, parece que lo que
debería prever este artículo es que cuando la AEPD considere que un
determinado tratamiento del ámbito de actuación de una autoridad
autonómica de control incumple el RGPD o la LOPD puede requerir a dicha
autoridad de control, y en caso de que no se atienda el requerimiento,
acudir a la vía contenciosa.
ENMIENDA NÚM. 156
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al artículo 61
De modificación.
Redacción que se propone:
'Artículo 61. Intervención en caso de tratamientos transfronterizos.
1. Las autoridades autonómicas de protección de datos ostentarán la
condición de autoridad de control principal en el procedimiento
establecido por el artículo 60 del Reglamento (UE) 2016/679 cuando el
establecimiento principal se encuentre en territorio español y se trate
de un tratamiento incluido en su ámbito de actuación.
2. Corresponderá en estos casos a las autoridades autonómicas intervenir
en los procedimientos establecidos en el artículo 60 del Reglamento (UE)
2016/679, informando a la Agencia Española sobre su desarrollo en los
supuestos en que deba aplicarse el mecanismo de coherencia.'
JUSTIFICACIÓN
En primer lugar, la referencia al 'resto del territorio español' no parece
adecuada, puesto que la delimitación del ámbito de actuación de una u
otra autoridad de control española no viene determinada por el territorio
donde se desarrolle la actividad sino por tratarse o no de un tratamiento
sometido al control de la autoridad autonómica o estatal.
Por otro lado, respecto al apartado segundo, cuando se trate de supuestos
en que la autoridad tenga la condición de autoridad principal por
desarrollarse en su ámbito de actuación, no parece que deba informar de
manera generalizada del desarrollo de sus actuaciones a la AEPD, salvo
que se trate de supuestos en los que deba ser de aplicación el mecanismo
de coherencia, tal como establece el artículo 51.3 RGPD.
ENMIENDA NÚM. 157
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 3 del artículo 65
De supresión.
Redacción que se propone:
'Artículo 65. Admisión a trámite de las reclamaciones.
3. Igualmente, la Agencia -Española de Protección de Datos podrá inadmitir
la reclamación cuando el responsable o encargado del tratamiento, previa
advertencia formulada por la Agencia, hubiera adoptado las medidas
correctivas encaminadas a poner fin al posible incumplimiento de la
legislación de protección de datos y concurra alguna de las siguientes
circunstancias:
a) Que no se haya causado perjuicio al afectado en el caso de las
infracciones previstas en el artículo 74 de esta-ley orgánica.
b) Que el derecho del afectado quede plenamente garantizado mediante la
aplicación de las medidas.'
JUSTIFICACIÓN
Este apartado parece hacer referencia al supuesto previsto en el artículo
58.2.a) del RGPD. El RGPD no configura este supuesto [58.2.a)] como un
caso de inadmisibilidad, sino como un supuesto de sanción.
Por ello no parece adecuado tratarlo como un caso de inadmisibilidad del
procedimiento propio de la Agencia Española, sino que forma parte del
régimen sancionador. Nos remitimos por ello a la enmienda que se propone
para el artículo 76.
ENMIENDA NÚM. 158
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 4 del artículo 65
De supresión.
Redacción que se propone:
'Artículo 65. Admisión a trámite de las reclamaciones.
4. Cuando las reclamaciones no se hayan formulado previamente ante el
delegado de protección de datos designado por el encargado o responsable
del tratamiento o ante el organismo de supervisión establecido para la
aplicación de los códigos de conducta, la Agencia podrá remitírselas,
antes de resolver sobre la admisión a trámite, a los efectos previstos en
los artículos 37 y 38.2 de esta ley orgánica.'
JUSTIFICACIÓN
Por conexión con la enmienda al artículo 37.
ENMIENDA NÚM. 159
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al párrafo primero del apartado 1 del artículo 72
De modificación.
Redacción que se propone:
'Artículo 72. Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel, y en particular las siguientes:
[...].'
JUSTIFICACIÓN
El primer párrafo de este artículo utiliza el adjetivo 'sustancial' que
constituiría una condición añadida para poder sancionar las conductas
descritas en dicho artículo. Ciertamente las tipificaciones recogidas en
este artículo pueden considerarse infracciones sustanciales. Pero la
introducción de dicho adjetivo de manera reiterativa, en lugar de
clarificar la aplicación del artículo, introduce un nuevo concepto
jurídico indeterminado que puede dar lugar a interminables discusiones
respecto cada una de las conductas tipificadas en dicho artículo (por
ejemplo, '¿no facilitar el acceso al personal de la autoridad de
protección de datos' [letra ñ), cuándo sería una Infracción sustancial?].
ENMIENDA NÚM. 160
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la letra f) del artículo 72.1
De modificación.
Redacción que se propone:
'Artículo 72. Infracciones consideradas muy graves.
f) El tratamiento de datos personales relativos a condenas e infracciones
penales o medidas de seguridad conexas fuera de los supuestos permitidos
por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de
esta ley orgánica.
[...]'
JUSTIFICACIÓN
En la letra f) debería añadirse la expresión 'conexas' referida a las
medidas de seguridad, por congruencia con lo establecido en el artículo
10 RGPD.
ENMIENDA NÚM. 161
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la letra d) del artículo 73
De modificación.
Redacción que se propone:
'Artículo 73. Infracciones consideradas graves.
En función de lo que establece el artículo 83.4 del Reglamento (UE)
2016/679 se consideran graves y prescribirán a los dos años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel, y en particular las siguientes:
d) La falta de adopción de aquellas medidas técnicas y organizativas que
resulten apropiadas para aplicar de forma efectiva los principios de
protección de datos desde el diseño y por defecto e integrar las
garantías necesarias en el tratamiento, en los términos exigidos por el
artículo 25.1 del Reglamento (UE) 2016/679.
[...]'
JUSTIFICACIÓN
Se propone suprimir la expresión 'y por defecto', puesto que dicho
supuesto es contradictorio con la referencia al artículo 25.1 y además ya
se encuentra recogido en la letra e) del mismo artículo 73.
ENMIENDA NÚM. 162
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al primer párrafo del artículo 74
De modificación.
Redacción que se propone:
'Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de
carácter meramente formal de los artículos mencionados en los apartados 4
y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las
siguientes:
[...]'
JUSTIFICACIÓN
Las consideraciones formuladas en el artículo 72 respecto la utilización
del adjetivo 'sustancial' pueden ser extensibles también a la expresión
'de carácter meramente formal' del artículo 74 {por ejemplo, la exigencia
de un canon [letra b)] no es una cuestión meramente formal}.
ENMIENDA NÚM. 163
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la letra c) del artículo 74
De modificación.
Redacción que se propone:
'Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de
carácter meramente formal de los artículos mencionados en los apartados 4
y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las
siguientes:
[...]
c) No atender las solicitudes de ejercicio de los derechos establecidos en
los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase
de aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica.
[...]'
JUSTIFICACIÓN
Corrección de error.
ENMIENDA NÚM. 164
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al encabezamiento del artículo 75
De modificación.
Redacción que se propone:
'Artículo 75. Interrupción de la prescripción de la infracción.'
JUSTIFICACIÓN
Debería especificarse que se trata de la prescripción de la infracción.
ENMIENDA NÚM. 165
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo apartado 3 bis al artículo 76
De adición.
Redacción que se propone:
'Artículo 76. Sanciones y medidas correctivas.
[...]
3 bis. No procederá el inicio de procedimiento sancionador, cuando la
autoridad de control competente haya formulado la advertencia a que se
refiere la letra a) del apartado 2 del artículo 58 del Reglamento (UE)
2016/679, requiriendo la adopción de medidas correctivas encaminadas a
poner fin al posible incumplimiento de la legislación de protección de
datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado en el caso de las
infracciones previstas en el artículo 74 de esta ley orgánica.
b) Que el derecho del afectado haya quedado plenamente garantizado
mediante la aplicación de las medidas.'
JUSTIFICACIÓN
El artículo 65.3 de la propuesta (aplicable exclusivamente a la AEPD) se
refiere a los supuestos en los que se podrá aplicar la advertencia. Sin
embargo dicho artículo se encuentra dentro del Título VIII aplicable
exclusivamente a los procedimientos tramitados por la AEPD (apartado 2 de
la DF 2..ª). Parece que debería hacerse referencia en este artículo 76 a
los supuestos en que puede resultar aplicable la figura de la
advertencia.
ENMIENDA NÚM. 166
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo apartado 3 ter al artículo 76
De adición.
Redacción que se propone:
'Artículo 76. Sanciones y medidas correctivas.
[...]
3 ter. No procederá imponer el apercibimiento a que se refiere la letra b)
del apartado 2 del artículo 58 del Reglamento (UE) 2016/679, cuando
concurra alguna de las circunstancias siguientes:
a) Que el infractor sea reincidente.
b) Cuando se haya aplicado con anterioridad respecto a los mismos hechos
la advertencia a que se refiere la letra a) del apartado 2 del artículo
58 del Reglamento (UE) 2016/679.
c) Cuando se trate de las infracciones previstas en el artículo 72 de esta
Ley orgánica.
[...]'
JUSTIFICACIÓN
Parece conveniente que este artículo regule los supuestos en los que puede
aplicarse el apercibimiento previsto en el artículo 58.2.b) del RGPD y,
en su caso, a los límites aplicables. Así, por ejemplo, parece que no
debería poder aplicarse dicho mecanismo de apercibimiento cuando se trate
de entidades reincidentes o bien se trate de las infracciones previstas
en el artículo 72 del proyecto o bien se haya aplicado con anterioridad
el mecanismo de advertencia al cual se refiere el artículo 65.3 del
proyecto en relación con la misma infracción.
ENMIENDA NÚM. 167
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 4 del artículo 76
De modificación.
Redacción que se propone:
'Artículo 76. Sanciones y medidas correctivas.
[...]
4. Será objeto de publicación en la página web de la autoridad de control
en materia de protección de datos, la información que identifique al
infractor, la infracción cometida y el importe de la sanción impuesta
cuando la autoridad competente sea la Agencia Española de Protección de
Datos, la sanción fuese superior a un millón de euros y el infractor sea
una persona jurídica.'
JUSTIFICACIÓN
La publicación debería llevarse a cabo no en el Boletín Oficial sino en la
página web de la autoridad de control. Ello facilitaría la consulta por
parte de las personas interesadas en conocer el nivel de cumplimiento de
una empresa y a la vez podría ir acompañado de una limitación temporal
(por ejemplo, cinco años desde la imposición de la sanción).
En cualquier caso, no parece claro el motivo por el cual la previsión del
apartado 4 se refiere exclusivamente a la Agencia Española de Protección
de Datos y en cambio no prevé la publicación de las que imponga la
autoridad autonómica.
ENMIENDA NÚM. 168
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la letra h) del artículo 77.1
De supresión.
Redacción que se propone:
'Artículo 77. Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento.
1. El régimen establecido en este artículo será de aplicación a los
tratamientos de los que sean responsables o encargados:
[...]
h) Las fundaciones del sector público.
[...]'
JUSTIFICACIÓN
En la enumeración de las entidades que realiza el apartado 1 no parece
clara la justificación de la inclusión en la misma de las fundaciones del
sector público, mientras que no se incluyen otras entidades de derecho
privado integrantes del sector público institucional (artículo 2.2 de la
Ley 40/2015). Recordar en este sentido que el artículo 130 de la Ley
40/2015, establece que las fundaciones del sector público se rigen por lo
previsto en esta Ley, por la legislación de fundaciones y por el
ordenamiento jurídico privado.
ENMIENDA NÚM. 169
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 5 del artículo 77
De modificación.
Redacción que se propone:
'Artículo 77. Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento.
[...]
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las
instituciones análogas de las comunidades autónomas, las actuaciones
realizadas como consecuencia de una solicitud de dichas instituciones y
las resoluciones dictadas sobre las mismas.
[...]'
JUSTIFICACIÓN
En el apartado 5 se prevé la necesidad de comunicar al Defensor del Pueblo
o institución autonómica análoga 'las actuaciones realizadas y las
resoluciones dictadas'. La referencia a las actuaciones realizadas (que
viene a reproducir lo que ya establecía el artículo 46.4 LOPD), debería
aclararse que se
refiere exclusivamente a las actuaciones realizadas a raíz de una petición
del Defensor del Pueblo o institución autonómica análoga.
ENMIENDA NÚM. 170
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Al apartado 6 del artículo 77
De modificación.
Redacción que se propone:
'Artículo 77. Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento.
[...]
6. La autoridad de control competente publicará en su página web con la
debida separación las resoluciones en que se imponga una sanción a las
entidades del apartado 1 de este artículo, con expresa indicación de la
identidad del responsable o encargado del tratamiento que hubiera
cometido la infracción.
[...]'
JUSTIFICACIÓN
No parece claro el motivo por el cual la previsión del apartado 6 se
refiere exclusivamente a la Agencia Española de Protección de Datos.
ENMIENDA NÚM. 171
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional segunda
De supresión.
Redacción que se propone:
'Disposición adicional segunda. Protección de datos y transparencia y
acceso a la información pública.
La publicidad activa y el acceso a la información pública regulados por el
título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a
la información y buen gobierno, se someterán, cuando la información
contenga datos de carácter personal, a lo dispuesto en los artículos 5.3
y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente
ley orgánica.'
JUSTIFICACIÓN
El contenido de esta disposición no parece que aporte ningún elemento a lo
que ya se deriva directamente de los artículos 5.3 y 15 de la Ley
19/2013. En cambio, produce un efecto perturbador puesto que en materia
de transparencia además de la Ley 19/2013 existen leyes autonómicas de
transparencia, a las cuales debería hacer referencia también esta
disposición adicional, en el caso que se mantenga.
ENMIENDA NÚM. 172
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional sexta
De supresión.
Redacción que se propone:
'Disposición adicional sexta. Registros de apoyo a la Administración de
Justicia.
Los datos referidos a condenas e infracciones penales o medidas seguridad
conexas podrán tratarse conforme con lo establecido en el Real Decreto
95/2009, de 6 de febrero, por el que se regula el Sistema de registros
administrativos de apoyo a la Administración de Justicia.'
JUSTIFICACIÓN
Por conexión con lo expuesto en la enmienda al artículo 10.2.
ENMIENDA NÚM. 173
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional séptima
De supresión.
Redacción que se propone:
'Disposición adicional séptima. Acceso a contenidos de personas
fallecidas.
El acceso a contenidos gestionados por prestadores de servicios de la
sociedad de la información a favor de personas que hayan fallecido se
regirá por las reglas previstas en el artículo 3 de esta ley orgánica, a
saber:
a) Los herederos de la persona fallecida podrán dirigirse a los
prestadores de servicios de la sociedad de la información al objeto de
acceder a dichos contenidos e impartirles las instrucciones que estimen
oportunas sobre su utilización, destino o supresión. Como excepción, los
herederos no podrán acceder a los contenido causante, ni solicitar su
rectificación o supresión, cuando la persona fallecida lo hubiese
prohibido expresamente o así lo establezca una ley.
b) El albacea testamentario así como aquella persona o institución a la
que el fallecido hubiese designado expresamente para ello también podrá
solicitar, con arreglo a las instrucciones recibidas, el acceso a los
contenidos con vistas a dar cumplimiento a tales instrucciones.
c) En caso de fallecimiento de menores, estas facultades podrán ejercerse
también por sus representantes legales o, en el marco de sus
competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades
podrán ejercerse también, además de por quienes señala la letra anterior,
por quienes hubiesen sido designados para el ejercicio de funciones de
apoyo. Mediante real decreto se establecerán los requisitos y condiciones
para acreditar la validez y vigencia de los citados mandatos e
instrucciones y, en su caso, el registro de los mismos, que podrá
coincidir con el previsto en el artículo 3 de esta ley orgánica.'
JUSTIFICACIÓN
La disposición adicional séptima resulta reiterativa respecto el artículo
3, con la circunstancia añadida del carácter no orgánico de dicha
disposición adicional séptima (D.F. 1.ª). Precisamente, resulta de
difícil comprensión que el contenido de la disposición adicional séptima,
referido a contenidos relacionados con servicios de la sociedad de la
información, no tenga carácter orgánico, mientras que el artículo 3,
referido a cualquier tipo de tratamiento, sí lo tenga.
ENMIENDA NÚM. 174
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional octava
De supresión.
Redacción que se propone:
'Disposición adicional octava. Incorporación de deudas a sistemas de
información crediticia.
No se incorporarán a los sistemas de información crediticia a los que se
refiere el artículo 20.1 de esta ley orgánica deudas en el que la cuantía
del principal sea inferior a cincuenta euros. El Gobierno, mediante real
decreto, podrá modificar esta cuantía.'
JUSTIFICACIÓN
La previsión contenida en esta disposición adicional debería incorporarse
al artículo 20 del texto articulado.
ENMIENDA NÚM. 175
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional décima
De modificación.
Redacción que se propone:
'Disposición adicional décima. Potestad de verificación de
Administraciones Públicas.
Cuando se formulen solicitudes por medios electrónicos en las que el
interesado declare datos personales que obren en poder de las
Administraciones Públicas, el órgano destinatario de la solicitud podrá
efectuar en el ejercicio de sus competencias las verificaciones
necesarias para comprobar la exactitud de los datos.'
JUSTIFICACIÓN
Esta disposición incorpora la posibilidad que las administraciones
públicas verifiquen los datos que consten en solicitudes formuladas por
medios electrónicos. La habilitación no debería restringirse solamente a
las formuladas por medios electrónicos, puesto que las administraciones
públicas tienen el deber de comprobación en todos los casos (artículo 75
Ley 39/2015).
ENMIENDA NÚM. 176
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición adicional decimotercera
De supresión.
Redacción que se propone:
'Disposición adicional decimotercera. Comunicaciones de datos por los
sujetos enumerados en el artículo 77.1.
Los responsables enumerados en el artículo 77.1 de esta ley orgánica
podrán comunicar los datos de carácter personal que les sean solicitados
por sujetos de derecho privado cuando cuenten con el consentimiento de
los afectados o aprecien que concurre en los solicitantes un interés
legítimo que prevalezca sobre los derechos e intereses de los afectados
conforme a lo establecido en el artículo 6.1.f) del Reglamento (UE)
2016/679.'
JUSTIFICACIÓN
Esta disposición prevé que las autoridades a que se refiere el artículo
77.1 pueden comunicar a un tercero los datos personales que posean, sí
concurre un interés legítimo (del tercero) que prevalezca. Dicha
previsión puede estar en conflicto con el párrafo segundo del artículo
6.1.f) del RGPD.
El artículo 6.1.f) del RGPD ciertamente habilita la comunicación en los
casos en que deba prevalecer el interés legítimo de un tercero. Sin
embargo, la exclusión que hace el segundo párrafo de dicho apartado,
impide la aplicación de la base jurídica prevista en el artículo 6.1.f) a
cualquier supuesto de comunicación
realizada por una autoridad pública en ejercicio de sus funciones, ya sea
por un interés legítimo del responsable del tratamiento o de un tercero.
ENMIENDA NÚM. 177
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nuevo apartado 4 a la disposición adicional decimoquinta
De adición.
Redacción que se propone:
'Disposición adicional decimoquinta. Disposiciones específicas aplicables
a los tratamientos de los registros de personal del sector público.
[...]
4. Se considera amparado en lo dispuesto en el artículo 6.1.c) del
Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las
personas físicas que presten servicios en una entidad del sector público
siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su
localización profesional.
b) Que la finalidad para la que se utilicen los datos sea necesaria y esté
únicamente relacionada con el ejercicio de sus funciones.'
JUSTIFICACIÓN
En esta disposición adicional dedicada a los registros de personal del
sector público, debería incorporarse una previsión equivalente a la
prevista en el artículo 19.1 del proyecto.
El artículo 19.1 del proyecto habilita el tratamiento de los datos
necesarios para la localización profesional de las personas que presten
servicios en una persona jurídica. Dicha habilitación se establece en
base al interés legítimo, salvo prueba en contrario.
Dicha habilitación no puede aplicarse a las administraciones públicas en
virtud de lo establecido en el párrafo segundo del artículo 6.1.f). Por
ello sería conveniente introducir dicha habilitación en esta disposición
adicional, aunque en este supuesto no podría estar vinculada con el
artículo 6.1.f) RGPD sino con el artículo 6.1.c) RGPD, con motivo de las
obligaciones de transparencia (artículo 6 de la Ley 19/2013) y la
obligación de identificar a identificar a las autoridades y personal al
servicio de las administraciones públicas [artículo 53.1.b) de la Ley
39/2015].
ENMIENDA NÚM. 178
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
Nueva disposición transitoria séptima
De adición.
Redacción que se propone:
'Disposición transitoria séptima (nueva).
Los tratamientos iniciados con anterioridad al 25 de mayo de 2018 a los
cuales les sería exigible la elaboración de una evaluación del impacto
sobre la protección de datos de acuerdo con el Reglamento (UE) 2016/679,
deberán realizarla cuando se produzca una modificación de las condiciones
en que se realiza el tratamiento que probablemente entrañen un alto
riesgo, en cuyo caso será exigible, con carácter previo, dicha
evaluación.'
JUSTIFICACIÓN
Debería introducirse una disposición transitoria séptima para regular el
régimen transitorio para aquellos tratamientos iniciados antes de 25 de
mayo de 2018 y que según el RGPD estarían sometidas a evaluación de
impacto sobre la protección de datos.
ENMIENDA NÚM. 179
FIRMANTE:
Carles Campuzano i Canadés
(Grupo Parlamentario Mixto)
A la disposición final segunda
De modificación.
Redacción que se propone:
'Disposición final segunda. Título competencial.
1. Esta ley orgánica se dicta al amparo del artículo 149.1.1.ª de la
Constitución, que atribuye al Estado la competencia exclusiva para la
regulación de las condiciones básicas que garanticen la igualdad de todos
los españoles en el ejercicio de los derechos y en el cumplimiento de los
deberes constitucionales.
2. El capítulo I del título VII, el Título VIII, la disposición adicional
cuarta y la disposición transitoria tercera solo serán de aplicación a la
Agencia Española de Protección de Datos.
3. Las disposiciones finales tercera y cuarta se dictan al amparo de la
competencia que el artículo 149.1.6.ª de la Constitución atribuye al
Estado en materia de legislación procesal.'
JUSTIFICACIÓN
Esta disposición final establece que el título VIII solo será de
aplicación a la Administración General del Estado y a sus organismos
públicos. La referencia a la Administración General del estado y a sus
organismos públicos debería hacerse a la Agencia Española de Protección
de Datos). A su vez, debería añadirse que el capítulo I del título VII
solo será de aplicación a la Agencia Española de Protección de Datos.
A la Mesa de la Comisión de Justicia
El Grupo Parlamentario de Esquerra Republicana, a instancia de la Diputada
doña Ester Capella i Farré, al amparo de lo establecido en el artículo
110 del Reglamento del Congreso de los Diputados, presenta las siguientes
enmiendas al articulado al Proyecto de Ley Orgánica de Protección de
Datos de Carácter Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Ester Capella i
Farré, Diputada.-Joan Tardà i Coma, Portavoz del Grupo Parlamentario de
Esquerra Republicana.
ENMIENDA NÚM. 180
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 8
De modificación.
Se modifica la redacción del artículo 8, que queda redactado en los
siguientes términos:
'Artículo 8. Tratamiento de datos amparado por la ley.
1. El tratamiento de datos de carácter personal sólo podrá considerarse
fundado en el cumplimiento de una obligación legal exigible al
responsable, en los términos previstos en el artículo 6.1 c) del
Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la
Unión Europea o una norma con rango de ley, que podrá determinar las
condiciones generales del tratamiento y los tipos de datos objeto del
mismo así como las cesiones que procedan como consecuencia del
cumplimiento de la obligación legal. La norma con rango de ley podrá
igualmente imponer condiciones especiales al tratamiento, tales como la
adopción de medidas adicionales de seguridad u otras establecidas en el
Capítulo IV del Reglamento (UE) 2016/679.
2. El tratamiento de datos de carácter personal sólo podrá considerarse
fundado en el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable, en los
términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679,
cuando derive de una competencia atribuida por la norma con rango de
ley.'
JUSTIFICACIÓN
La referencia a 'una ley' contenidas en este artículo debe sustituirse por
'una norma con rango de ley' tal y como se hace en el artículo 10 de este
Proyecto de Ley Orgánica, para clarificar que la habilitación también
puede estar recogida en un Real Decreto Legislativo o en un Real
Decreto-ley.
ENMIENDA NÚM. 181
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 2
De modificación.
Se modifica la redacción del apartado 3 del artículo 2, que queda
redactado en los siguientes términos:
De supresión al artículo 2.3:
'3. Los tratamientos a los que no sea directamente aplicable el Reglamento
UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de
aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto
en su legislación específica si la hubiere y supletoriamente por lo
establecido en el citado reglamento y en la presente ley orgánica. Se
encuentran en esta situación, entre otros:
a) Los tratamientos realizados al amparo de la legislación orgánica del
régimen electoral general.
b) Los tratamientos realizados en el ámbito de instituciones
penitenciarias.
c) Los tratamientos derivados del Registro Civil, los Registros de la
Propiedad y Mercantiles.'
JUSTIFICACIÓN
No es razonable establecer un texto que establezca ejemplos de los
supuestos sometidos a su regulación ('se encuentran en esta situación,
entre otros'), porque se puede inducir a confusión e inseguridad
jurídica. ¿Cuáles son los supuestos excluidos? ¿Por qué? ¿Qué razón hay
para incorporar unos supuestos y no otros? Técnicamente, es preferible
mantener la previsión del supuesto de hecho de la norma sin 'ejemplos'
innecesaria.
ENMIENDA NÚM. 182
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
De modificación.
Se modifica la redacción del apartado 2 del artículo 9, que queda
redactado en los siguientes términos:
'2. Los tratamientos de datos contemplados en las letras b), g), h) e i)
del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho
español deberán estar amparados en una ley, que podrá establecer
requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito
de la salud cuando así lo exija la gestión de los sistemas y servicios de
asistencia sanitaria y social, pública y privada, o la ejecución de un
contrato de seguro del que el afectado sea parte.'
JUSTIFICACIÓN
La previsión contenida en este apartado debería hacerse extensiva también
al supuesto previsto en el artículo 9.2.b) del Reglamento (UE) 2016/679
en lo referente a los casos en los que lo autorice 'el derecho' de los
Estados miembros.
ENMIENDA NÚM. 183
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 9
De modificación.
Se modifica la redacción del apartado 2 del artículo 9, que queda
redactado en los siguientes términos:
'2. Los tratamientos de datos contemplados en las letras g), h) e i) del
artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español
deberán estar amparados en una norma con rango de ley, que podrá
establecer requisitos adicionales relativos a su seguridad y
confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito
de la salud cuando así lo exija la gestión de los sistemas y servicios de
asistencia sanitaria y social, pública y privada, o la ejecución de un
contrato de seguro del que el afectado sea parte.'
JUSTIFICACIÓN
La referencia a 'una ley' debería sustituirse por 'una norma con rango de
ley' para clarificar que habilitación también puede estar recogida en un
Real Decreto Legislativo o en un Real Decreto-ley.
ENMIENDA NÚM. 184
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 9
De supresión.
Se suprime el último párrafo del apartado 2 del artículo 9, que queda
redactado en los siguientes términos:
'2. Los tratamientos de datos contemplados en las letras g), h) e i) del
artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español
deberán estar amparados en una ley, que podrá establecer requisitos
adicionales relativos a su seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito
de la salud cuando así lo exija la gestión de los sistemas y servicios de
asistencia sanitaria y social, pública y privada, o la ejecución de un
contrato de seguro del que el afectado sea parte.'
JUSTIFICACIÓN
Los tratamientos de datos en el ámbito de la salud cuando así lo exija la
gestión de los sistemas y servicios de asistencia sanitaria y social,
pública y privada, o la ejecución de un contrato de seguro del que el
afectado sea parte ya han sido excluidos en el artículo 9.2 del
Reglamento General de Protección de Datos. Por tanto, resulta redundante
indicarlo y, además, puede inducir a confusión.
ENMIENDA NÚM. 185
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
De modificación.
Se modifica la redacción del artículo 10, que queda redactado en los
siguientes términos:
'Artículo 10. Tratamiento de datos de naturaleza penal.
1. El tratamiento de datos personales relativos a condenas e infracciones
penales, así como a procedimientos y medidas cautelares y de seguridad
conexas, para fines distintos de los de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, sólo podrá llevarse a cabo cuando se encuentre
amparado en una norma de Derecho de la Unión, en esta ley orgánica o en
otras normas de rango legal.
2. Corresponde al Ministerio de Justicia la gestión de los sistemas de
información en que se recoja la totalidad de los datos relativos a
condenas e infracciones penales, así como a procedimientos y medidas
cautelares y de seguridad conexas.
El registro completo de los datos referidos a condenas e infracciones
penales o medidas de seguridad conexas a que se refiere el artículo 10
del Reglamento (UE) 2016/679, podrá realizarse conforme con lo
establecido en el Real Decreto 95/2009, de 6 de febrero, por el que se
regula el sistema de registros administrativos de apoyo a la
Administración de Justicia.
3. Fuera de los supuestos señalados en los apartados anteriores, los
tratamientos de datos referidos a condenas e infracciones penales, así
como a procedimientos y medidas cautelares y de seguridad conexas sólo
serán posibles cuando se trate de ficheros de abogados y procuradores que
tengan por objeto recoger la información facilitada por sus clientes para
el ejercicio de sus funciones.'
JUSTIFICACIÓN
No parece claro el supuesto al que se refiere el apartado 2 de este
artículo. Si se refiere a los registros regulados por el R.D. 95/2009, de
6 de febrero, por el que se regula el sistema de registros
administrativos de apoyo a la Administración de Justicia (al cual se
refiere también la disposición adicional sexta, en este caso de manera
expresa), sería preferible utilizar las denominaciones empleadas en esta
norma para designar los diferentes registros. Sin embargo, no parece que
deba ser una Ley reguladora de la protección de datos la que delimite las
competencias que corresponden al Ministerio de Justicia.
En cualquier caso, la redacción actual del precepto parece no tener en
cuenta las competencias de las administraciones autonómicas respectivas
en cuanto a la gestión de sistemas de información de la administración de
justicia, como se desprende, por ejemplo, de las letras c) y d) del
artículo 104 del Estatuto de Autonomía de Catalunya.
Por ello, se propone la supresión del apartado 2 de este artículo y
también de la disposición adicional sexta, que pasaría a incorporarse a
este artículo como nuevo apartado 2. Por otro lado, se propone la
incorporación de un nuevo apartado tercero a los efectos de dar cobertura
a los tratamientos llevados a cabo por abogados y procuradores necesarios
para la representación y defensa de sus clientes.
ENMIENDA NÚM. 186
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 11
De modificación.
Se modifica la redacción del apartado 1 del artículo 11, que queda
redactado en los siguientes términos:
'1. Cuando los datos de carácter personal sean obtenidos del afectado a
través de redes de comunicaciones electrónicas o en el marco de la
prestación de un servicio de la sociedad de la información, así como en
aquellos otros supuestos expresamente establecidos por la ley o cuando
así lo autorice o establezca la Agencia Española de Protección de Datos,
el responsable del tratamiento podrá dar cumplimiento al deber de
información establecido en el artículo 13 del Reglamento (UE) 2016/679
facilitando al afectado la información básica a la que se refiere el
apartado siguiente e indicándole una dirección electrónica u otro medio
que permita acceder de forma sencilla e inmediata a la restante
información.'
JUSTIFICACIÓN
Se propone sustituir la expresión 'autorice' por 'autorice o establezca'
puesto que dicha expresión parecería contemplar también la posibilidad de
establecer con carácter general para determinados tipos de tratamiento,
sin necesidad de recurrir a la técnica autorizatoria caso por caso.
ENMIENDA NÚM. 187
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 11
De modificación.
Se modifica la redacción del apartado 1 del artículo 11, que queda
redactado en los siguientes términos:
'1. Cuando los datos de carácter personal sean obtenidos del afectado a
través de redes de comunicaciones electrónicas o en el marco de la
prestación de un servicio de la sociedad de la información, así como en
aquellos otros supuestos expresamente establecidos por la ley o cuando
así lo autorice la Agencia Española de Protección de Datos la autoridad
de protección de datos competente, el responsable del tratamiento podrá
dar cumplimiento al deber de información establecido en el artículo 13
del Reglamento (UE) 2016/679 facilitando al afectado la información
básica a la que se refiere el apartado siguiente e indicándole una
dirección electrónica u otro medio que permita acceder de forma sencilla
e inmediata a la restante información.'
JUSTIFICACIÓN
Garantizar las competencias autonómicas en materia de protección de datos
y en especial el ámbito de actuación de la Autoritat Catalana de
Protecció de Dades.
ENMIENDA NÚM. 188
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 11
De modificación.
Se modifica la redacción del apartado 3 del artículo 11, que queda
redactado en los siguientes términos:
'3. Cuando los datos de carácter personal no hubieran sido obtenidos del
afectado, el responsable podrá dar cumplimiento al deber de información
establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a
aquél la información básica señalada en el apartado anterior, indicándole
una dirección electrónica u otro medio que permita acceder de forma
sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de la que procedieran los datos.'
JUSTIFICACIÓN
El modo en que se pueden ejercer los derechos puede ser una información
extensa (dirección del responsable, DPD u oficinas de atención a la
ciudadanía, breve descripción de cada uno de los derechos, información
que se debe acompañar, canales de comunicación o incluso enlaces a
formularios). Por ello, parece que la primera capa de información se
debería limitar a una referencia a la posibilidad de ejercer los derechos
con un enlace o remisión al resto de información.
ENMIENDA NÚM. 189
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 12
De modificación.
Se modifica la redacción del apartado 4 del artículo 12, que queda
redactado en los siguientes términos:
'4. La prueba del cumplimiento del deber de responder atender a la
solicitud de ejercicio de sus derechos formulado por el afectado recaerá
sobre el responsable.'
JUSTIFICACIÓN
La previsión del deber de responder a la solicitud plantea un problema de
fehaciencia si el afectado niega la recepción. Se plantea 'atender' la
solicitud, porque es más adecuado establecer la obligación de demostrar
la existencia de solicitud si el afectado niega la recepción de la
comunicación.
ENMIENDA NÚM. 190
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 13
De modificación.
Se modifica la redacción del apartado 1 del artículo 13, que queda
redactado en los siguientes términos:
'1. El derecho de acceso del afectado se ejercitará de acuerdo con lo
establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de información relativa al
afectado o se trate de supuestos en los que pueda resultar complejo
localizar la información y este ejercite su derecho de acceso sin
especificar si se refiere a todos o a una parte de los datos, el
responsable podrá solicitarle, antes de facilitar la información, que el
afectado especifique los datos o actividades de tratamiento a los que se
refiere la solicitud.'
JUSTIFICACIÓN
La posibilidad de solicitar que se especifique los datos o actividades de
tratamiento, debería extenderse también a otros supuestos en los que
pueda resultar complejo localizar la información (sistemas de información
complejos o distribuidos, sistemas de videovigilancia, etc.) aunque no se
trate gran cantidad de información relativa al afectado.
Hay que tener en cuenta en este sentido que el artículo 11.2 RGPD
establece que el responsable no está obligado a mantener, obtener o
tratar información adicional con vistas a identificar a la persona
interesada con la única finalidad de cumplir con el RGPD, y que el
apartado 2 de este artículo establece que cuando el responsable no esté
en condiciones de identificar a la persona interesada no serán de
aplicación los artículos 15 a 20. Abrir una vía para la colaboración del
ciudadano para facilitar su identificación, en la línea del último inciso
del artículo 11.2 RGPD (referido a supuestos en que aun no siendo
identificable inicialmente, el interesado facilite información adicional
que permita la identificación) y el artículo 12.6 RGPD, permitiría dar
una respuesta más satisfactoria al ejercicio de los derechos sin que
ello suponga una carga excesiva para el responsable. La redacción del
artículo 13.1 reduce esta posibilidad a los supuestos de 'gran cantidad
de información'.
ENMIENDA NÚM. 191
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 13
De modificación.
Se modifica la redacción del apartado 2 del artículo 13, que queda
redactado en los siguientes términos:
'1. El derecho de acceso del interesado se considerará otorgado en caso de
que el responsable del tratamiento pusiera a su disposición, de forma
permanente, un mecanismo para facilitar el acceso remoto y directo a sus
datos a través de un sistema seguro, siempre que dicho mecanismo
garantice el acceso a la totalidad de los datos del afectado que
estuviesen siendo objeto de tratamiento.
En este supuesto, el responsable del tratamiento podrá denegar la
solicitud de ejercicio del derecho del interesado, limitándose a indicar
al mismo el modo en que podrá acceder remotamente a su información. Ello
sin perjuicio de que el interesado pueda solicitar también información
sobre el resto de los aspectos recogidos en el apartado 1 del artículo 15
del Reglamento (UE) 2016/679 no incluidos en el acceso remoto.'
JUSTIFICACIÓN
Sin perjuicio de que el acceso directo on line puede ser un sistema efecto
para conocer los datos que se están tratando, ello no debería privar a la
persona interesada de solicitar información sobre el resto de los
extremos que el artículo 15 RGPD incluye en el derecho a la información.
ENMIENDA NÚM. 192
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 19
De modificación.
Se modifica la redacción del apartado 1 del artículo 19, que queda
redactado en los siguientes términos:
'1. Salvo prueba en contrario se presumirá amparado en lo dispuesto en el
artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos
de contacto de las personas físicas por la empresa en la que presten
servicios siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los mínimos datos
imprescindibles para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones
vinculadas a la actividad de la empresa en la que el afectado preste sus
servicios.'
JUSTIFICACIÓN
Debería tenerse en cuenta que la empresa donde presten servicios no tiene
que ser necesariamente una persona jurídica. El empresario puede ser una
persona física o un ente sin personalidad (p. ej. una comunidad de
bienes) sin que por ello deba ser diferente el tratamiento de los datos
personales de los trabajadores a su servicio. Por otro lado, en la letra
b) debería hacerse mención a que la finalidad debe ser únicamente el
mantenimiento de relaciones vinculadas a la actividad de la empresa en la
que el afectado preste sus servicios.
ENMIENDA NÚM. 193
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 20
De modificación.
Se modifica la redacción de la letra b) del apartado 1 del artículo 20,
que queda redactado en los siguientes términos:
'b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya
existencia o cuantía no hubiese sido objeto de reclamación administrativa
o judicial por el deudor o mediante un procedimiento alternativo de
resolución de disputas, que se encuentre pendiente de resolución.'
JUSTIFICACIÓN
A la expresión 'no hubiesen sido objeto de reclamación' debería añadirse
'que se encuentre pendiente de resolución'.
ENMIENDA NÚM. 194
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 20
De modificación.
Se modifica la redacción de la letra d) del apartado 1 del artículo 20,
que queda redactado en los siguientes términos:
'd) Que los datos se mantengan en el sistema durante un período máximo de
cinco años desde la fecha de vencimiento de la obligación dineraria,
financiera o de crédito y solo en tanto persista el incumplimiento.'
JUSTIFICACIÓN
El período de cinco años debería ser un período máximo, puesto que de no
ser así puede parecer que el artículo conmina a conservar los datos
durante cinco años en cualquier caso.
ENMIENDA NÚM. 195
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 22
De modificación.
Se modifica la redacción del apartado 1 del artículo 22, que queda
redactado en los siguientes términos:
'1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a
cabo el tratamiento de imágenes o sonidos a través de sistemas de cámaras
o videocámaras con la finalidad de preservar la seguridad de las personas
y bienes, así como de en sus instalaciones.'
JUSTIFICACIÓN
Se propone incorporar una referencia a la captación de sonidos a través de
estas cámaras, como ya hace el apartado 7 del mismo artículo 22. Por otro
lado, la finalidad de preservar la 'seguridad de personas y bienes' no
debería contemplarse como un supuesto distinto al del control de sus
instalaciones, puesto que debe ser exclusivamente en sus instalaciones
donde se lleve a cabo dicho control. Por ello debería suprimirse la
expresión 'así como de...'.
ENMIENDA NÚM. 196
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 22
De supresión.
Se suprime el apartado 5 del artículo 22.
JUSTIFICACIÓN
Entendemos que esta medida no debe ser incorporada en este Proyecto de Ley
Orgánica.
ENMIENDA NÚM. 197
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 22 (subsidiaria de la enmienda anterior)
De modificación.
Se modifica la redacción del apartado 5 del artículo 22, que queda
redactado en los siguientes términos:
'5. Los empleadores podrán tratar los datos obtenidos a través de sistemas
de cámaras o videocámaras para el ejercicio de las funciones de control
de los trabajadores previstas en el artículo 20.3 del Estatuto de los
Trabajadores, siempre que se informe previamente a los trabajadores y a
sus representantes acerca de la medida y que estas funciones se ejerzan
dentro de su marco legal y con los límites inherentes al mismo. Los
empleadores habrán de informar a los trabajadores acerca de esta medida.
En el supuesto de que las imágenes hayan captado la comisión flagrante de
un acto delictivo, la ausencia de la información a la que se refiere el
apartado anterior no privará de valor probatorio a las imágenes, sin
perjuicio de las responsabilidades que pudieran derivarse de dicha
ausencia.'
JUSTIFICACIÓN
Este artículo ha incorporado la previsión que las imágenes captadas por
sistemas de videovigilancia con la finalidad de preservar la integridad
de las personas, bienes e instalaciones puedan ser utilizadas con la
finalidad de control laboral informando a los trabajadores acerca de esta
medida. Debería precisarse que la información debe ser previa y debería
incluir también la información a los representantes de los trabajadores.
ENMIENDA NÚM. 198
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 22
De modificación.
Se modifica la redacción del apartado 6 del artículo 22, que queda
redactado en los siguientes términos:
'6. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se
considera excluido de su ámbito de aplicación el tratamiento por una
persona física de imágenes que solamente capten el interior de su propio
domicilio.
Esta exclusión no abarca el tratamiento realizado por una entidad de
seguridad privada que hubiera sido contratada para la vigilancia de un
domicilio y tuviese acceso a las imágenes.'
JUSTIFICACIÓN
Se hace una remisión implícita a la legislación de seguridad privada que
podría no respetar la primacía del Derecho de la Unión Europea y la
eficacia y aplicabilidad directa del Reglamento General de Protección de
Datos.
ENMIENDA NÚM. 199
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 23
De modificación.
Se modifica la redacción del artículo 23, que queda redactado en los
siguientes términos:
'1. Será lícito el tratamiento de datos de carácter personal que tenga por
objeto evitar el envío de comunicaciones comerciales a quienes hubiesen
manifestado su negativa u oposición a recibirlas.
A tal efecto, podrán crearse sistemas de información, generales o
sectoriales, en los que solo se incluirán los datos imprescindibles para
identificar a los afectados. Estos sistemas también podrán incluir
servicios de preferencia, mediante los cuales los afectados limiten la
recepción de comunicaciones comerciales a las procedentes de determinadas
empresas.
2. Las entidades responsables de los sistemas de exclusión publicitaria
comunicarán a la Agencia Española de Protección de Datos o a la autoridad
autonómica de control competente su creación, su carácter general o
sectorial, así como el modo en que los afectados pueden incorporarse a
los mismos y, en su caso, hacer valer sus preferencias.
La autoridad de control que reciba dicha información deberá hacerla
pública en su sede electrónica y comunicarla al resto de autoridades de
control para su publicación.
3. Cuando un afectado manifieste a un responsable su deseo de que sus
datos no sean tratados para la remisión de comunicaciones comerciales,
éste deberá informarle de los sistemas de exclusión publicitaria
existentes, pudiendo remitirse a la información publicada por la
autoridad de control competente en materia de protección de datos.
4. Quienes pretendan realizar comunicaciones comerciales, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran
afectar a su actuación, excluyendo del tratamiento los datos de los
afectados que hubieran manifestado su oposición o negativa al mismo. A
estos efectos, para considerar cumplida la obligación anterior será
suficiente la consulta de los sistemas de exclusión publicitaria
incluidos en la relación publicada por la autoridad de control competente
en materia de protección de datos.'
JUSTIFICACIÓN
No puede descartarse que una entidad incluida en el ámbito de actuación de
una autoridad autonómica de control, pueda establecer un sistema de
exclusión publicitaria. Igualmente, cuando una entidad del ámbito de
actuación de una autoridad autonómica de control quiera realizar
comunicaciones comerciales, debería poder consultar cuáles son los
sistemas de exclusión publicitaria existentes en la autoridad de control
a la cual esté sometida, ya sea la AEPD ya sea una autoridad autonómica
de control.
Por ello, en el apartado 2, la referencia a la Agencia Española de
Protección de Datos debería completarse con una referencia a las
autoridades autonómicas de control.
En este mismo sentido, en los apartados 3 y 4 las referencias a la
'Agencia Española de Protección de Datos' debería hacerse a 'las
autoridades de control en materia de protección de datos'.
ENMIENDA NÚM. 200
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 24
De adición.
Se adiciona un segundo párrafo en el apartado 1 del artículo 24, con la
siguiente redacción:
1. Será lícita la creación y mantenimiento de sistemas de información a
través de los cuales pueda ponerse en conocimiento de una entidad de
Derecho privado, incluso anónimamente, la comisión en el seno de la misma
o en la actuación de terceros que contratasen con ella, de actos o
conductas que pudieran resultar contrarios a la normativa general o
sectorial que le fuera aplicable. Los empleados y terceros deberán ser
informados acerca de la existencia de estos sistemas de información.
Estos sistemas igualmente deberán informar con claridad sobre qué datos
identificativos recoge el sistema, así como de las personas que pueden
tener acceso a ellos para gestionar la denuncia. En los supuestos en los
que se admita el anonimato, se deberán describir las garantías técnicas
que impiden cualquier tipo de identificación.'
JUSTIFICACIÓN
La inclusión de esta enmienda tiene como objetivo asegurar que quien hace
una denuncia conoce claramente el alcance de la confidencialidad de la
misma. Igualmente, conviene reforzar la idea del anonimato desde un punto
de vista técnico, no como un mero compromiso.
ENMIENDA NÚM. 201
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 27
De modificación.
Se modifica la redacción del apartado 2 del artículo 27, que queda
redactado en los siguientes términos:
'2. Fuera de los supuestos señalados cuando no se cumpla alguna de las
condiciones previstas en el apartado anterior, los tratamientos de datos
referidos a infracciones y sanciones administrativas solo serán posibles
cuando estén autorizados por una norma con rango de ley, en la que se
regularán, en su caso, garantías adicionales para los derechos y
libertades de los afectados, o cuando se trate de ficheros de abogados y
procuradores que tengan por objeto recoger la información facilitada por
sus clientes para el ejercicio de sus funciones.'
JUSTIFICACIÓN
En la recogida de información sobre infracciones y sanciones
administrativas debe introducirse una excepción para los tratamientos
llevados a cabo por abogados y procuradores necesarios para la
representación y defensa de sus clientes.
ENMIENDA NÚM. 202
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 28
De modificación.
Se modifica la redacción del apartado 2 del artículo 28, que queda
redactado en los siguientes términos:
'2. Para la adopción de las medidas a que se refiere el apartado anterior
los responsables y encargados del tratamiento tendrán en cuenta, en
particular, los mayores riesgos que podrían producirse en los siguientes
supuestos: A los efectos de valorar la existencia de riesgos para los
derechos y libertades de las personas afectadas, debe tenerse en cuenta,
entre otras circunstancias, las siguientes:
a) Cuando el tratamiento pudiera generar situaciones de discriminación,
usurpación de identidad o fraude, pérdidas financieras, daño para la
reputación, pérdida de confidencialidad de datos sujetos al secreto
profesional, reversión no autorizada de la seudonimización o cualquier
otro perjuicio económico, moral o social significativo para los
afectados.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y
libertades o pudiera impedirles el ejercicio del control sobre sus datos
personales.
c) Cuando se produjese el tratamiento no meramente incidental o accesorio
de las categorías especiales de datos a las que se refieren los artículos
9 y 10 del Reglamento (UE) 2016/679 y 10 y 11 de esta ley orgánica o de
los datos relacionados con la comisión de infracciones administrativas.
d) Cuando el tratamiento implicase una evaluación de aspectos personales
de los afectados con el fin de crear o utilizar perfiles personales de
los mismos, en particular mediante el análisis o la predicción de
aspectos referidos a su rendimiento en el trabajo, su situación
económica, su salud, sus preferencias o intereses personales, su
fiabilidad o comportamiento, su solvencia financiera, su localización o
sus movimientos.
e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados
en situación de especial vulnerabilidad y, en particular, de menores de
edad y personas con discapacidad.
f) Cuando se produzca un tratamiento masivo que afecte a un gran número de
afectados o implique la recogida de una gran cantidad de datos
personales.
g) Cuando los datos de carácter personal fuesen a ser objeto de
transferencia, con carácter habitual, a terceros Estados u organizaciones
internacionales respecto de los que no se hubiese declarado un nivel
adecuado de protección.'
JUSTIFICACIÓN
Este apartado alude a la necesidad de ponderar los riesgos y adoptar las
medidas oportunas. El artículo está referido en su conjunto a todas las
medidas previstas en el RGPD y a continuación se enumeran las
circunstancias que deben tenerse en cuenta.
No parece que su inclusión en el texto resulte aclaradora, puesto que cada
una de las medidas previstas en el RGPD tiene previstas en el mismo RGPD
y en la legislación estatal, o en su caso en las decisiones de las
autoridades de control, los elementos a tener en cuenta en cada una de
ellas. Así, por ejemplo, las condiciones para determinar la exigibilidad
del registro de actividades de tratamiento no coinciden con las
condiciones para la exigibilidad de la evaluación de impacto o de la
implantación del delegado de protección de datos. La redacción actual
plantearía por ejemplo la duda de si a los requisitos establecidos por el
RGPD para determinar la necesidad de disponer de una evaluación de
impacto, debe añadírsele también los otros elementos enumerados en el
artículo 28.2 del Proyecto.
Por ello, para una mayor claridad se propone encabezar este apartado 2 con
una redacción similar a la siguiente:
'A los efectos de valorar la existencia de riesgos para los derechos y
libertades de las personas afectadas debe tenerse en cuenta, entre otras
circunstancias, las siguientes:'
ENMIENDA NÚM. 203
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 29
De modificación.
Se modifica la redacción del artículo 29, que queda redactado en los
siguientes términos:
'La determinación, en el acuerdo al que se refiere el apartado 1 del
artículo 26 del Reglamento (UE) 2016/679, de las responsabilidades
respectivas de los corresponsables se realizará atendiendo a las
actividades que efectivamente desarrolle cada uno de los corresponsables
del tratamiento.'
JUSTIFICACIÓN
La propuesta parece prescindir del acuerdo al que se refiere el artículo
26.1 RGPD para el establecimiento de las responsabilidades respectivas de
los corresponsables.
ENMIENDA NÚM. 204
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 30
De modificación.
Se modifica la redacción del apartado 1 del artículo 30, que queda
redactado en los siguientes términos:
'1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un
responsable o encargado del tratamiento no establecido en la Unión
Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se
refiera a afectados que se hallen residan en España, la Agencia Española
de Protección de Datos o, en su caso, las autoridades autonómicas de
protección de datos podrán imponer al representante, solidariamente con
el responsable o encargado del tratamiento, las medidas establecidas en
el Reglamento (UE) 2016/679.
Dicha exigencia se entenderá sin perjuicio de la responsabilidad que
pudiera en su caso corresponder al responsable o al encargado del
tratamiento y del ejercicio por el representante de la acción de
repetición frente a quien proceda.'
JUSTIFICACIÓN
El punto de conexión establecido por el artículo 3.2 RGPD no es que los
interesados 'se hallen en España' sino que 'residan'. Por ello, en el
apartado 1 debería sustituirse 'se hallen' por 'residan'.
ENMIENDA NÚM. 205
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 30
De modificación.
Se modifica la redacción del apartado 2 del artículo 30, que queda
redactado en los siguientes términos:
'2. Asimismo, en caso de exigencia de responsabilidad en los términos
previstos en el artículo 82 del Reglamento (UE) 2016/679, los
responsables, encargados y representantes responderán solidariamente con
sus respectivos representantes de los daños y perjuicios causados.'
JUSTIFICACIÓN
La redacción actual del precepto puede llevar a entender que responsables
del tratamiento y encargados responden solidariamente. Por ello, se
propone una redacción que aclare que la responsabilidad solidaria se
prevé respecto de cada uno de ellos con su representante.
ENMIENDA NÚM. 206
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 31
De modificación.
Se modifica la redacción del apartado 1 del artículo 31, que queda
redactado en los siguientes términos:
'Los responsables y encargados del tratamiento o, en su caso, sus
representantes deberán mantener el registro de actividades de tratamiento
al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que
sea de aplicación la excepción prevista en su apartado 5.
El registro, que podrá organizarse en torno a conjuntos estructurados de
datos, deberá especificar, según sus finalidades, las actividades de
tratamiento llevadas a cabo y las demás circunstancias establecidas en el
citado reglamento.
Cuando el responsable o el encargado del tratamiento hubieran designado un
delegado de protección de datos y este no lleve el registro, se le
deberán comunicarle cualquier adición, modificación o exclusión en el
contenido del registro.'
JUSTIFICACIÓN
El tercer párrafo de este apartado recoge la obligación de comunicar al
DPD cualquier adición, modificación o exclusión en el contenido del
registro de actividades. La previsión resulta acorde con la función de
supervisión que corresponde al DPD. Sin embargo, la redacción parece
partir de la base que el DPD no puede llevar el registro, cuando a
nuestro entender parecería razonable que sea
precisamente el DPD quien lo lleve, en linea con lo que ya establecía el
artículo 18.2 de la Directiva 95/46/CE.
ENMIENDA NÚM. 207
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De modificación.
Se modifica la redacción de la letra b) del apartado 1 del artículo 34,
que queda redactado en los siguientes términos:
'b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley
Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas
y privadas, siempre que dichos centros empleen a más de 10 trabajadores o
impartan formación a menores de edad.'
JUSTIFICACIÓN
Con esto queremos evitar que escuelas de formación de muy reducido tamaño
tengan que soportar costes y procedimientos de difícil cumplimiento,
teniendo en cuenta el volumen y tipología de datos tratados.
ENMIENDA NÚM. 208
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De modificación.
Se modifica la redacción de la letra j) del apartado 1 del artículo 34,
que queda redactado en los siguientes términos:
'j) Las entidades responsables de ficheros comunes para la evaluación de
la solvencia patrimonial y crédito o de los ficheros comunes para la
gestión y prevención del fraude, incluyendo a los responsables de los
ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril,
de prevención del blanqueo de capitales y de la financiación del
terrorismo. Se exceptúan los responsables que, con inclusión de los
agentes, ocupen a menos de 10 personas y cuyo volumen de negocios anual o
cuyo balance general anual no supere los 2 millones de euros.'
JUSTIFICACIÓN
Las entidades incluidas como sujetos obligados de la Ley 10/2010
pertenecen a sectores muy diversos, algunos de ellos de muy reducido
tamaño y, por ello, el art. 28 y siguientes del Real Decreto 304/2014, de
5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28
de abril, de prevención del blanqueo de capitales y de la financiación
del terrorismo, matiza las exigencias de la ley en función de este tamaño
de organización.
ENMIENDA NÚM. 209
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De modificación.
Se modifica la redacción de la letra k) del apartado 1 del artículo 34,
que queda redactado en los siguientes términos:
'k) Las entidades que desarrollen actividades de publicidad y prospección
comercial a gran escala, incluyendo las de investigación comercial y de
mercados, cuando lleven a cabo tratamientos basados en las preferencias
de los afectados o realicen actividades que impliquen la elaboración de
perfiles de los mismos.'
JUSTIFICACIÓN
No creemos que todas las entidades cuya actividad sea la publicidad o
prospección comercial deban tener el mismo tratamiento en la norma, toda
vez que el concepto prospección comercial o publicidad incluye
actividades de muy bajo tratamiento de datos. Por ello, creemos que
corresponde incluir el término a gran escala como matización a dicha
actividad publicitaria o de prospección.
ENMIENDA NÚM. 210
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De modificación.
Se modifica la redacción de la letra I) del apartado 1 del artículo 34,
que queda redactado en los siguientes términos:
'I) Los centros sanitarios legalmente obligados al mantenimiento de las
historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley
41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y
documentación clínica. Se exceptúan los profesionales independientes de
la salud que, aun estando legalmente obligados al mantenimiento de las
historias clínicas de los pacientes, lo hagan a título profesional
individual.'
JUSTIFICACIÓN
Por similar motivo de volumen de datos tratados, creemos que se debe
excluir de la obligación de designar DPD a aquellas actividades
desarrolladas por un solo profesional en su consulta, farmacia u óptica.
ENMIENDA NÚM. 211
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De modificación.
Se modifica la redacción de la letra n) del apartado 1 del artículo 34,
que queda redactado en los siguientes términos:
'n) Los operadores que desarrollen la actividad de juego a través de
cualquier medio, incluidos especialmente los canales electrónicos,
informáticos, telemáticos e interactivos, conforme a lo dispuesto en la
Ley 3/2011, de 27 de mayo, de regulación del juego.'
JUSTIFICACIÓN
No creemos justificado que la actividad de juego a través de medios que no
sean electrónicos, deban quedar excluidos de esta obligación. Aunque en
otro punto se incluyen los responsables de ficheros de la Ley 10/2010 y
en ella están incluidas estas actividades, sería razón de más para
abarcar toda la actividad de juego. Si lo que ha pretendido el legislador
es excluir a vendedores ambulantes o puesto de loterías nacionales, se
puede expresar de forma explícita o limitada por número de trabajadores
como en casos anteriores.
ENMIENDA NÚM. 212
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 34
De supresión.
Se suprime el segundo párrafo del apartado 4 del artículo 34.
JUSTIFICACIÓN
El párrafo segundo de este apartado prevé la interconexión de las listas
actualizadas de delegados de protección de datos que debe llevar cada
autoridad de control en su ámbito respectivo. Para simplificar la gestión
de dicho registro y evitar crear confusión sobre el ámbito de actuación
de cada una de las autoridades, dicha relación debería referirse
solamente a los delegados del respectivo ámbito de actuación de cada una
de las autoridades. Por ello se propone suprimir el segundo párrafo del
artículo 34.4.
ENMIENDA NÚM. 213
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 35
De modificación.
Se modifica la redacción del artículo 35 que queda redactado en los
siguientes términos:
'Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del
Reglamento (UE) 2016/679 para la designación del delegado de protección
de datos, sea persona física o jurídica, podrá demostrarse, entre otros
medios, a través de mecanismos voluntarios de certificación.
En el caso de que el delegado de protección de datos sea una persona
jurídica, ésta deberá estar en condiciones de demostrar que en la misma
habrá delegados de protección de datos físicos necesarios en número y
cualificación para cumplir con sus funciones.
No serán compatibles las funciones de delegado de protección de datos con
otras tareas dentro de la organización que puedan generar conflicto de
intereses.
El responsable o encargado de tratamiento deberá realizar un análisis
previo de incompatibilidad de funciones, cualificación e idoneidad en la
designación del delegado de protección de datos.
Salvo que sea evidente, los responsables o encargados deberán realizar y
conservar un análisis justificativo de la necesidad o no de designar un
delegado de protección de datos. Este análisis deberá repetirse en caso
de que las circunstancias del responsable o encargado de tratamiento de
datos varíen.'
JUSTIFICACIÓN
Queremos evitar un vicio de mercado existente en el mundo de la privacidad
y que consiste en alentar empresas que despliegan una gran labor
comercial, mediante cadenas de franquicias incluso, ofreciendo servicios
de DPD sin contar después más que con un profesional que cumpliera con la
preparación y experiencia necesarias.
El mismo concepto de DPD implica una serie de incompatibilidades que se
deben desarrollar, por lo que nos parecería oportuno dar un soporte
normativo en la misma ley para que dicho desarrollo esté ya contemplado
en la misma. No es coherente que el propietario o gerente de la
organización, por ejemplo, desempeñe las funciones de DPD ya que
comprometería gravemente su independencia.
Como ya se sugiere en el GT artículo. 29, sería muy importante que se
realizara por escrito un análisis de la necesidad de disponer de DPD. Con
ello se daría una mayor garantía jurídica toda vez que se cataloga como
falta grave no disponer de DPD en actividades en las que es necesaria
esta figura.
ENMIENDA NÚM. 214
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 36
De modificación.
Se modifica la redacción del apartado 1 del artículo 36 que queda
redactado en los siguientes términos:
'1. El delegado de protección de datos actuará como interlocutor del
responsable o encargado del tratamiento ante la Agencia Española de
Protección de Datos, las autoridades autonómicas de protección de datos,
las demás administraciones públicas o judiciales y los demás delegados de
protección de datos de otras entidades en el caso de necesaria
colaboración.'
JUSTIFICACIÓN
Creemos recomendable que el DPD, en su condición de garante de la ley,
pueda ser interpelado por cualquier entidad administrativa pública,
especialmente judicial, y que además, se deba coordinar con otros DPD de
organizaciones con las que tiene una relación de vinculación en
tratamiento de datos, por ejemplo, responsable y encargado de
tratamiento. Nos parece importante dar una entrada legal a estas
relaciones.
ENMIENDA NÚM. 215
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 36
De modificación.
Se modifica la redacción del apartado 2 del artículo 36 que queda
redactado en los siguientes términos:
'2. Cuando se trate de una persona física integrada en la organización del
responsable o encargado del tratamiento, el delegado de protección de
datos no podrá ser removido ni sancionado por el responsable o el
encargado por desempeñar sus funciones salvo que incurriera en dolo o
negligencia grave en su ejercicio.
En caso de que el delegado de protección de datos sea persona externa a la
organización, se procurará que sus funciones se fijen en períodos de
varios ejercicios con el fin de dotar de la mayor independencia a sus
funciones.'
JUSTIFICACIÓN
Parece desprenderse del proyecto de ley que tan solo se protege la
independencia del DPD cuando se trata de un empleado interno de la
organización. Este aspecto podría fomentar la externalización del
servicio que no está igualmente protegido, además de no cumplir con el
mandato del reglamento en cuanto a la protección de la independencia de
la figura de DPD sea cual sea la relación de trabajo existente.
ENMIENDA NÚM. 216
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 37
De modificación.
Se modifica la redacción del artículo 37 que queda redactado en los
siguientes términos:
'Artículo 37. Intervención del delegado de protección de datos en caso de
reclamación ante las autoridades de protección de datos.
1. Cuando el responsable o el encargado del tratamiento hubieran designado
un delegado de protección de datos, el interesado puede dirigirse al
delegado de la protección de datos de la entidad contra la que se reclame
el afectado podrá, con carácter previo a la presentación de una
reclamación ante la autoridad de protección de datos competente, cuando
se trate de reclamaciones vinculadas al ejercicio de los derechos del
interesado contra aquellos ante la Agencia Española de Protección de
Datos o, en su caso, ante las autoridades autonómicas de protección de
datos, dirigirse al delegado de protección de datos de la entidad contra
la que se reclame.
El delegado de protección de datos deberá acusar recibo de las
reclamaciones que se le presenten y resolverlas motivadamente,
comunicando la resolución a los interesados en el plazo máximo de un mes.
En este caso, el delegado de protección de datos comunicará al afectado
la decisión que se hubiera adoptado en el plazo máximo de dos meses a
contar desde la recepción de la reclamación. Transcurrido dicho plazo sin
haber recibido respuesta, o en el caso de desestimación de la
reclamación, el afectado podrá dirigirse a la autoridad de protección de
datos competente.
2. Cuando el afectado presente una reclamación ante la Agencia Española de
Protección de Datos o, en su caso, ante las autoridades autonómicas de
protección de datos, sin haber hecho uso de la posibilidad a la que se
refiere el apartado anterior, aquellas podrán remitir la reclamación al
delegado de protección de datos a fin de que éste responda en el plazo de
un mes.
Si transcurrido dicho plazo el delegado de protección de datos no hubiera
comunicado a la autoridad de protección de datos competente la respuesta
dada a la reclamación, dicha autoridad continuará el procedimiento con
arreglo a lo establecido en el título VIII de esta ley orgánica y en sus
normas de desarrollo.'
JUSTIFICACIÓN
La utilización de la expresión 'será posible' en el artículo 37.1 parece
indicar que la utilización de esta vía será meramente potestativa. Sin
embargo, a la vista de lo que establece el apartado segundo de este mismo
artículo, parece que quiere dárselo un carácter 'pseudoobligatorio',
puesto que en el caso de no plantearse la reclamación ante el DPD, la
autoridad de control puede remitirle la reclamación.
La referencia a 'reclamaciones' puede entenderse referida (en la
terminología empleada por el RGPD) tanto a casos de denuncias de
infracciones como a casos de tutela de derechos. En el caso reclamaciones
de tutela de derechos e incluso de infracciones vinculadas a la no
atención de dichas reclamaciones, dicho mecanismo de reclamación previa,
permitiría evitar tener que acudir a la autoridad de protección de datos
(si a través del DPD ya se satisface la reclamación) e incluso permitiría
poder apreciar que no se dan las circunstancias necesarias para
considerar que se ha producido una infracción por obstrucción del
ejercicio de los derechos.
Ahora bien, para otro tipo de reclamaciones vinculadas a infracciones,
acudir al DPD demorará la posibilidad de acudir a la autoridad de
protección de datos y puede impedir la adopción por dicha autoridad de
las medidas provisionales necesarias en supuestos que requieran una
actuación inmediata. Por otro lado, ello puede facilitar la desaparición
de evidencias probatorias antes de que la autoridad tenga conocimiento de
dicha infracción.
Por ello, debería preverse la reclamación ante el DPD, incluso con
carácter obligatorio, solamente cuando se trate de reclamaciones
vinculadas al ejercicio de derechos.
Por otro lado el plazo establecido para la resolución de dichas
reclamaciones (dos meses) parece excesivo dado el conocimiento previo que
debe tener el DPD del tratamiento llevado a cabo y la necesidad de no
dilatar innecesariamente la posibilidad de intervención de la autoridad
de control.
En concordancia también se propone suprimir el apartado 2 del mismo
artículo 37.
ENMIENDA NÚM. 217
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 38
De supresión.
Se suprimen el segundo y tercer párrafo del apartado 2 del artículo 38.
JUSTIFICACIÓN
Similares consideraciones a las formuladas respecto al artículo 37, pueden
formularse también respecto del artículo 38.2.
En este caso se prevé que los entes adheridos al código de conducta se
obligan a someter las reclamaciones que afecten al ámbito de aplicación
del código al mecanismo de supervisión del código, en caso de considerar
que no proceden.
Resultaría de ello, que el ciudadano que reclame ante un responsable
adherido a un código de conducta podría reclamar primero ante el DPD,
luego ante el mecanismo de supervisión del código y solo después de esa
segunda vía, ante la autoridad de control. La redacción del párrafo 4 de
dicho apartado parece indicar que solo podrá acudir a la autoridad de
control si previamente la reclamación ha sido desestimada por el
mecanismo de supervisión o si el responsable no le ha sometido la
reclamación. No parece que la posibilidad de reclamar ante el mecanismo
de supervisión deba sustraerle la posibilidad de acudir directamente ante
la autoridad de control.
Por ello, se propone suprimir los párrafos 2 y 3 del apartado 2 del
artículo 38 y en su lugar introducir un apartado 3 bis
ENMIENDA NÚM. 218
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 38
De adición.
Se adiciona un nuevo apartado después del actual apartado 3 con la
siguiente redacción:
'El planteamiento de una reclamación ante el organismo de supervisión del
código de conducta, no impedirá poder presentar una reclamación ante la
autoridad de protección de datos competente, sin perjuicio que en el
momento de determinar la sanción aplicable la autoridad de control pueda
tener en cuenta las sanciones exigidas por el organismo de supervisión.'
JUSTIFICACIÓN
En coherencia con la enmienda anterior, se propone suprimir los párrafos 2
y 3 del apartado 2 del artículo 38 y en su lugar introducir un apartado 3
bis.
ENMIENDA NÚM. 219
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 38
De modificación.
Se modifica la redacción del apartado 5 del artículo 38 que queda
redactado en los siguientes términos:
'5. La Agencia Española de Protección de Datos y las autoridades
autonómicas de protección de datos mantendrán un registro conjunto de los
códigos de conducta aprobados por las mismas y los aprobados conforme al
artículo 63 del Reglamento (UE) 2016/679, con indicación de los entes que
lo han promovido o los adheridos posteriormente.
El registro será accesible a través de medios electrónicos.'
JUSTIFICACIÓN
Este apartado, tal como ya preveía el anteproyecto de ley orgánica, prevé
que la AEPD y las autoridades autonómicas de control mantengan un
registro de los códigos de conducta aprobados. Sin embargo, en el
proyecto de ley se ha incorporado la necesidad que dicho registro sea
conjunto. No parece que exista justificación a dicho carácter conjunto,
puesto que cada autoridad de control debe llevar exclusivamente un
registro de los códigos de conducta promovidos en su ámbito de actuación.
Por ello se propone suprimir la palabra 'conjunto'.
Por otro lado, sería útil para las personas afectadas que el registro
incorporara también la información sobre los entes adheridos al código de
conducta.
ENMIENDA NÚM. 220
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 40
De modificación.
Se modifica la redacción del artículo 40 que queda redactado en los
siguientes términos:
'Artículo 40. Régimen de las transferencias internacionales de datos.
Las transferencias internacionales de datos se regirán por lo dispuesto en
el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de
desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia
Española de Protección de Datos o de las autoridades autonómicas de
control.
En todo caso se aplicarán a los tratamientos en que consista la propia
transferencia las disposiciones contenidas en dichas normas, en
particular las que regulan los principios de protección de datos.'
JUSTIFICACIÓN
La referencia a la Agencia Española de Protección de Datos debería hacerse
también a las autoridades de control autonómicas.
En los ámbitos competenciales que los estatutos de autonomía atribuyen a
las autoridades autonómicas de control, todas las funciones que
corresponden a las autoridades de protección de datos tendrán que ser
ejercidas por dichas autoridades autonómicas. El artículo 41 LOPD
reservaba a la Agencia Española de Protección de Datos las funciones en
materia de transferencias internacionales, pero el artículo 57 del RGPD
establece claramente que 'cada autoridad de control' tendrá en su
territorio 'todas' las funciones que el mismo artículo enumera. O sea,
que una vez establecida una autoridad de control para un determinado
ámbito, le corresponden todas las funciones respecto ese ámbito.
ENMIENDA NÚM. 221
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 41
De modificación.
Se modifica la redacción del artículo 41 que queda redactado en los
siguientes términos:
'Artículo 41. Supuestos de adopción por la Agencia Española de Protección
de Datos.
1. La Agencia Española de Protección de Datos y las autoridades
autonómicas de control, podrán podrá adoptar, conforme a lo dispuesto en
el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales
tipo para la realización de transferencias internacionales de datos, que
se someterán previamente al dictamen del Comité Europeo de Protección de
Datos previsto en el artículo 64 del citado reglamento.
2. La Agencia Española de Protección de Datos y las autoridades
autonómicas de control podrán podrá aprobar normas corporativas
vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento
(UE) 2016/679.
El procedimiento se iniciará a instancia de una entidad situada en España
y tendrá una duración máxima de un año. Quedará suspendido como
consecuencia de la remisión del expediente al Comité Europeo de
Protección de Datos para que emita el dictamen al que se refiere el
artículo 64.1.f) del Reglamento (UE) 2016/679, y se reiniciará tras su
notificación a la autoridad de control competente Agencia Española de
Protección de Datos.'
JUSTIFICACIÓN
Del mismo modo que en la enmienda anterior, la referencia a la Agencia
Española de Protección de Datos debería hacerse también a las autoridades
de control autonómicas.
En los ámbitos competenciales que los estatutos de autonomía atribuyen a
las autoridades autonómicas de control, todas las funciones que
corresponden a las autoridades de protección de datos tendrán que ser
ejercidas por dichas autoridades autonómicas. El artículo 41 LOPD
reservaba a la Agencia Española de Protección de Datos las funciones en
materia de transferencias internacionales, pero el artículo 57 del RGPD
establece claramente que 'cada autoridad de control' tendrá en su
territorio 'todas' las funciones que el mismo artículo enumera. O sea,
que una vez establecida una autoridad de control para un determinado
ámbito, le corresponden todas las funciones respecto ese ámbito.
ENMIENDA NÚM. 222
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 47
De modificación.
Se modifica la redacción del apartado 1 del artículo 47 que queda
redactado en los siguientes términos:
'1. Corresponde a la Agencia Española de Protección de Datos, en su ámbito
de actuación, supervisar la aplicación de esta ley orgánica y del
Reglamento (UE) 2016/679 y, en particular, ejercer las funciones
establecidas en el artículo 57 y las potestades previstas en el artículo
58 del mismo reglamento, en la presente ley orgánica y en sus
disposiciones de desarrollo.
Asimismo, corresponde a la Agencia Española de Protección de Datos el
desempeño de las funciones y potestades que le atribuyan otras leyes o
normas de Derecho de la Unión Europea.'
JUSTIFICACIÓN
Se establece que corresponde a la Agencia Española de Protección de Datos
'supervisar' la aplicación de lo dispuesto en esta Ley Orgánica y en el
Reglamento (UE) 2016/679. Puesto que en el Estado español existen otras
autoridades de control de ámbito autonómico, debería añadirse que dicha
función le corresponde respecto a las entidades incluidas en su ámbito de
actuación.
ENMIENDA NÚM. 223
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 56
De modificación.
Se modifica la redacción del apartado 2 del artículo 56 que queda
redactado en los siguientes términos:
'2. La Agencia es el organismo competente para la protección de las
personas físicas en lo relativo al tratamiento de datos de carácter
personal derivado de la aplicación de cualquier Convenio Internacional en
el que sea parte el Reino de España que atribuya a una autoridad nacional
de control esa competencia y la representante común de las autoridades de
Protección de Datos en el Comité Europeo de Protección de Datos, conforme
a lo dispuesto en el artículo 68.4 del Reglamento (UE) 2016/679 y en los
demás Grupos en materia de protección de datos constituidos al amparo del
Derecho de la Unión Europea.'
JUSTIFICACIÓN
El apartado 2 de este artículo reitera lo ya establecido en el artículo
44.2 del proyecto, en el sentido que la Agencia Española de Protección de
Datos será el representante común de las autoridades de protección de
datos en el Comité Europeo de Protección de Datos. Añade, además, que
actuará como representante común de las autoridades de protección de
datos 'en los demás grupos en materia de protección de datos constituidos
al amparo del derecho de la Unión Europea.'
Los artículos 51.3 y 68.4 del RGPD solo establecen la necesidad de
designar un representante común para la participación en el Comité
Europeo de Protección de Datos. No parece por ello que la LOPD deba
impedir la posibilidad que las autoridades autonómicas de control puedan
participar directamente en otros grupos de trabajo que se puedan crear en
materia de protección de datos al amparo del derecho de la Unión.
ENMIENDA NÚM. 224
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 56
De modificación.
Se modifica la redacción del apartado 3 del artículo 56 que queda
redactado en los siguientes términos:
'3. Corresponde además a la Agencia participar, como autoridad española,
en las organizaciones internacionales competentes en materia de
protección de datos, en los comités o grupos de trabajo, de estudio y de
colaboración de organizaciones internacionales que traten materias que
afecten al derecho fundamental a la protección de datos personales y en
otros foros o grupos de trabajo internacionales, en el marco de la acción
exterior del Estado.'
JUSTIFICACIÓN
Las mismas consideraciones efectuadas en el apartado 2 de este artículo
deben formularse respecto las letras a) y c) de este apartado.
ENMIENDA NÚM. 225
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 57
De modificación.
Se modifica la redacción del artículo 57 que queda redactado en los
siguientes términos:
'Artículo 57. Autoridades autonómicas de protección de datos.
1. Corresponde a las autoridades de control autonómicas, en su ámbito de
actuación, ejercer las funciones establecidas en el artículo 57 y las
potestades previstas en el artículo 58 del Reglamento (UE) 2016/679, en
la presente ley orgánica, en otras leyes, en sus disposiciones de
desarrollo y en las demás normas de Derecho europeo, cuando se refieran
a:
a) Tratamientos de los que sean responsables las entidades integrantes del
sector público de la correspondiente Comunidad Autónoma o de las
Entidades Locales incluidas en su ámbito territorial o quienes presten
servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el
ejercicio de las funciones públicas en materias que sean competencia de
la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en
los respectivos Estatutos de Autonomía.
2. La Agencia Española de Protección de Datos como representante común de
las autoridades de protección de datos deberá mantener informadas a las
autoridades de protección de datos autonómicas sobre la agenda del Comité
Europeo de Protección de Datos, las iniciativas previstas, los asuntos
analizados en dicho órgano y las resoluciones, informes, dictámenes u
otros posicionamientos adoptados. Asimismo, deberá facilitar la
participación de las autoridades autonómicas de protección de datos en la
fijación del posicionamiento que como representante común deba adoptar en
el seno de dicho órgano.'
JUSTIFICACIÓN
Para recoger la exclusividad del ejercicio de las funciones dentro del
respectivo ámbito de actuación, y por paralelismo con lo establecido en
el artículo 47 del proyecto de ley orgánica, se propone modificar la
redacción del primer párrafo.
Por otro lado, se tendrían que regular las obligaciones que corresponden a
la Agencia Española como representante ante el CEPO. Más allá de las
previsiones del artículo 59 en relación con la posibilidad que las
autoridades de protección de datos puedan solicitarse información, la
concreción de dicho deber de colaboración debería recogerse en el mismo
artículo 57, detalladamente y sin necesidad que sean las autoridades
autonómicas las que soliciten en cada caso la información.
ENMIENDA NÚM. 226
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 58
De modificación.
Se modifica la redacción del artículo 58 que queda redactado en los
siguientes términos:
'Las autoridades de protección de datos cooperarán entre ellas y con las
autoridades de otros estados de la Unión Europea o de terceros países
para la efectiva aplicación del Reglamento (UE) 2016/679 y la presente
ley orgánica. Dicha cooperación puede llevarse a cabo a través de una
convocatoria que realice regularmente el presidente de la Agencia
Española de Protección de Datos o por otras iniciativas.'
JUSTIFICACIÓN
No parece que la cooperación institucional entre autoridades deba estar
sometida exclusivamente a la iniciativa de la Agencia Española de
Protección de Datos. La cooperación entre las autoridades, sean todas las
autoridades que existan a nivel estatal o algunas de ellas, debería poder
producirse también de manera regular o en ocasiones puntuales a
iniciativa de cualquiera de ellas.
En realidad, cuando el RGPD se refiere a la cooperación lo hace en el
marco de la cooperación entre la autoridad de control principal y las
autoridades interesadas. Ciertamente, la cooperación puede extenderse más
allá de los procedimientos transfronterizos pero no parece que deba ser
únicamente a través de convocatorias de la AEPD realizadas regularmente.
ENMIENDA NÚM. 227
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 59
De modificación.
Se modifica la redacción del artículo 59 que queda redactado en los
siguientes términos:
'Artículo 59. Tratamientos contrarios al Reglamento (UE) 2016/679 y la
presente ley orgánica.
Cuando el Presidente de la Agencia Española de Protección de Datos
compruebe que un tratamiento llevado a cabo por las comunidades autónomas
en materias que fueran competencia de las autoridades autonómicas de
protección de datos vulnera el Reglamento (UE) 2016/679 podrá instarlas a
que adopten las medidas necesarias para su cesación.
En caso de que la Autoridad autonómica de protección de datos no adopte
las medidas en el plazo de un mes, el Presidente de la Agencia podrá
requerir a la Administración correspondiente para que adopte las medidas
correctoras en el plazo que se señale.
2. Si la Administración pública no atendiere el requerimiento, la Agencia
podrá ejercer las acciones que procedan ante la jurisdicción
contencioso-administrativa.'
JUSTIFICACIÓN
Este artículo prevé un mecanismo que permitiría a la Agencia Española de
Protección de Datos, cuando considere que una administración autonómica
contraviene la LOPD o el RGPD, instar a la autoridad autonómica de
control a adoptar medidas para impedir dicha contravención. Además, si la
autoridad autonómica de control no adoptase dichas medidas, la Agencia
Española de Protección de Datos podría requerir directamente a la
administración autonómica correspondiente para que adopte las medidas
correctoras que la AEPD considere oportunas, y si dicha administración
incumpliera el requerimiento, acudir a la vía contenciosa.
No parece que del RGPD ni del Estatuto de Autonomía se desprenda ningún
sometimiento de la autoridad de control autonómica al control de la AEPD.
Las autoridades de control, como administraciones independientes, están
sometidas exclusivamente al control por parte de los tribunales.
No puede compartirse que dicho mecanismo sea necesario para evitar las
sanciones que puedan recaer al Reino de España por incumplimiento del
derecho comunitario.
El artículo parte de un esquema según el cual la AEPD ejercería el papel
de garante del derecho comunitario. En realidad, las interpretaciones o
aplicaciones del derecho comunitario que haga la AEPD, como las que
lleven a cabo las autoridades autonómicas de control, pueden provocar
igualmente la responsabilidad del estado español. En materia de
protección de datos, como en cualquier otra materia. Por ello, los
conflictos entre administraciones deben residenciarse en la jurisdicción
contencioso administrativa (art. 44 LJCA).
En el caso que efectivamente se produzca un incumplimiento que conlleve
sanciones para el Estado español, el Estado (no la AEPD) podrá exigir vía
acción de regreso la indemnización correspondiente a la autoridad de
control que lo haya provocado, sea cual sea.
Un mecanismo que permita a la Agencia Española de Protección de Datos
dirigirse a entidades que están fuera de su ámbito de actuación supondría
una clara infracción del régimen de distribución de competencias que se
deriva del EAC.
Ciertamente, una previsión similar se encontraba recogida en el artículo
42 de la LOPD. Pero debe tenerse en cuenta que cuando se aprobó la LOPD
ningún estatuto de autonomía reconocía competencias en materia de
protección de datos a las comunidades autónomas. La situación ha
cambiado. El EAC reconoce un ámbito de actuación exclusivo a la Autoridad
Catalana de Protección de Datos (artículo 156). Y tanto el EAC como el
RGPD reconocen el carácter independiente de las autoridades de protección
de
datos. De todas ellas. Ello sin perjuicio de la posibilidad de establecer
un mecanismo de coordinación para garantizar la aplicación del mecanismo
de coherencia.
La aplicación del mecanismo previsto en este artículo situaría en una
difícil tesitura a las entidades sometidas al control de las autoridades
autonómicas afectadas. Por un lado la entidad de control competente
podría avalar su actuación y, a la vez, podría ser objeto de un
requerimiento de otra autoridad de control (la AEPD), en principio sin
competencias en ese ámbito. Con ello se situaría a dichas entidades en la
difícil e incomprensible tesitura de tener que incumplir necesariamente
uno de los dos criterios.
Por todo ello, y en línea con el artículo 44 de la LJCA, parece que lo que
debería prever este artículo es que cuando la AEPD considere que un
determinado tratamiento del ámbito de actuación de una autoridad
autonómica de control incumple el RGPD o la LOPD puede requerir a dicha
autoridad de control, y en caso de que no se atienda el requerimiento,
acudir a la vía contenciosa.
ENMIENDA NÚM. 228
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 61
De modificación.
Se modifica la redacción del artículo 61, que queda redactado en los
siguientes términos:
'Artículo 61. Intervención en caso de tratamientos transfronterizos.
1. Las autoridades autonómicas de protección de datos ostentarán la
condición de autoridad de control principal o interesada en el
procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679
cuando el establecimiento principal se encuentre en territorio español y
se trate de un tratamiento incluido en su ámbito de actuación tratamiento
se llevara a cabo por un responsable o encargado del tratamiento de los
previstos en el artículo 56 de aquél que no desarrollase
significativamente tratamientos de la misma naturaleza en el resto del
territorio español.
2. Corresponderá en estos casos a las autoridades autonómicas intervenir
en los procedimientos establecidos en el artículo 60 del Reglamento (UE)
2016/679, informando a la Agencia Española sobre su desarrollo en los
supuestos que deba aplicarse el mecanismo de coherencia.'
JUSTIFICACIÓN
En primer lugar, la referencia al 'resto del territorio español' no parece
adecuada, puesto que la delimitación del ámbito de actuación de una u
otra autoridad de control española no viene determinada por el territorio
donde se desarrolle la actividad sino por tratarse o no de un tratamiento
sometido al control de la autoridad autonómica o estatal.
Por otro lado, respecto al apartado segundo, cuando se trate de supuestos
en que la autoridad tenga la condición de autoridad principal por
desarrollarse en su ámbito de actuación, no parece que deba informar de
manera generalizada del desarrollo de sus actuaciones a la AEPD, salvo
que se trate de supuestos en los que deba ser de aplicación el mecanismo
de coherencia, tal como establece el artículo 51.3 RGPD.
ENMIENDA NÚM. 229
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 65
De supresión.
Se suprime el apartado 4 del artículo 65.
JUSTIFICACIÓN
En coherencia con la enmienda al artículo 37.
ENMIENDA NÚM. 230
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 70
De modificación.
Se modifica la redacción del apartado 2 del artículo 70, que queda
redactado en los siguientes términos:
'2. No será de aplicación al delegado de protección de datos el régimen
sancionador establecido en este título, salvo la existencia de
negligencia grave o dolo en el desempeño de sus funciones. Todos los
delegados de protección de datos quedarán sometidos a la regulación que
se establezca a través de las entidades de certificación previstas en el
artículo 39 de esta ley y del artículo 43.1 del Reglamento (UE)
2016/679.'
JUSTIFICACIÓN
Con el papel otorgado a los DPD, como garantes de la ley, se debe también
exigir responsabilidad a los mismos. Con la aprobación del esquema de
certificación, se establece una serie de responsabilidades a los DPD
acreditados según el esquema de la Agencia Española de Protección de
Datos. Pero a la vez se hace convivir, en el mismo plano, esta figura de
DPD certificado con un DPD que no lo esté. Entendemos por ello, que es
necesario que la supervisión y responsabilidad se establezca a todos los
DPD independientemente de la certificación que posean.
ENMIENDA NÚM. 231
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 72
De modificación.
Se modifica la redacción de la letra f) del apartado 1 del artículo 72,
que queda redactado en los siguientes términos:
'f) El tratamiento de datos personales relativos a condenas e infracciones
penales o medidas de seguridad conexas fuera de los supuestos permitidos
por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de
esta ley orgánica.'
JUSTIFICACIÓN
Debe añadirse la expresión 'conexas' referida a las medidas de seguridad,
por congruencia con lo establecido en el artículo 10 RGPD.
ENMIENDA NÚM. 232
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 72
De modificación.
Se modifica la redacción del primer párrafo del artículo 72, que queda
redactado en los siguientes términos:
'En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquél, y en particular las siguientes:'
JUSTIFICACIÓN
El primer párrafo de este artículo utiliza el adjetivo 'sustancial' que
constituiría una condición añadida para poder sancionar las conductas
descritas en dicho artículo. Ciertamente las tipificaciones recogidas en
este artículo pueden considerarse infracciones sustanciales. Pero la
introducción de dicho adjetivo de manera reiterativa, en lugar de
clarificar la aplicación del artículo, introduce un nuevo concepto
jurídico indeterminado que puede dar lugar a interminables discusiones
respecto cada una de las conductas tipificadas en dicho artículo [por
ejemplo, 'no facilitar el acceso al personal de la autoridad de
protección de datos' (letra ñ), ¿cuándo sería una infracción
sustancial?].
ENMIENDA NÚM. 233
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 73
De modificación.
Se modifica la redacción de la letra d) del artículo 73, que queda
redactado en los siguientes términos:
'd) La falta de adopción de aquellas medidas técnicas y organizativas que
resulten apropiadas para aplicar de forma efectiva los principios de
protección de datos desde el diseño y por defecto e
integrar las garantías necesarias en el tratamiento, en los términos
exigidos por el artículo 25.1 del Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
Se propone suprimir la expresión 'y por defecto' puesto que dicho supuesto
ya se encuentra recogido en la letra e del mismo artículo 73.
ENMIENDA NÚM. 234
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 74
De modificación.
Se modifica la redacción del primer párrafo del artículo 74, que queda
redactado en los siguientes términos:
'Se consideran leves y prescribirán al año las restantes infracciones de
carácter meramente formal de los artículos mencionados en los apartados 4
y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las
siguientes:'
JUSTIFICACIÓN
El primer párrafo de este artículo utiliza el adjetivo 'de carácter
meramente formal' que constituiría una condición añadida para poder
sancionar las conductas descritas en dicho artículo. Ciertamente las
tipificaciones recogidas en este artículo pueden considerarse
infracciones de carácter meramente formales. Pero la introducción de
dicho adjetivo de manera reiterativa, en lugar de clarificar la
aplicación del artículo, introduce un nuevo concepto jurídico
indeterminado que puede dar lugar a interminables discusiones respecto
cada una de las conductas tipificadas en dicho artículo [por ejemplo, la
exigencia de un canon (letra b) no es una cuestión meramente formal].
ENMIENDA NÚM. 235
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 74
De modificación.
Se modifica la redacción de la letra c) del artículo 74, que queda
redactada en los siguientes términos:
'c) No atender las solicitudes de ejercicio de los derechos establecidos
en los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que
resultase de aplicación lo dispuesto en el artículo 73.1 k) 72.1.k) de
esta Ley Orgánica.'
JUSTIFICACIÓN
El apartado 73.k) establece: 'Artículo 73. Infracciones consideradas
graves: k) Encargar el tratamiento de datos a un tercero sin la previa
formalización de un contrato u otro acto jurídico escrito con el
contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
Parece que se trata de un error ya que no tiene sentido y tendría que
hacer referencia al (72.1.k) k) impedimento o la obstaculización o la no
atención reiterada del ejercicio de los derechos establecidos en los
artículos 15 a 22 del Reglamento (UE) 2016/679.
ENMIENDA NÚM. 236
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 76
De adición.
Se adicionan dos nuevas letras al apartado 2 del artículo 76 con la
siguiente redacción:
'f) La reincidencia en la infracción.
g) El volumen de tratamientos afectados por la infracción.'
JUSTIFICACIÓN
En este apartado se debería recoger también como criterios de graduación
la reincidencia o el volumen de tratamientos afectados por la infracción.
ENMIENDA NÚM. 237
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 76
De modificación.
Se modifica la redacción del apartado 4 del artículo 76, que queda
redactado en los siguientes términos:
'4. Será objeto de publicación en el 'Boletín Oficial del Estado' la
página web de la autoridad de protección de datos competente la
información que identifique al infractor, la infracción cometida y el
importe de la sanción impuesta cuando la autoridad competente sea la
Agencia Española de Protección de Datos, la sanción fuese superior a un
millón de euros y el infractor sea una persona jurídica.'
JUSTIFICACIÓN
La publicación debería llevarse a cabo no en el 'Boletín Oficial' sino en
la página web de la autoridad de control. Ello facilitaría la consulta
por parte de las personas interesadas en conocer el nivel de cumplimiento
de una empresa y a la vez podría ir acompañado de una limitación temporal
(por ejemplo, cinco años desde la imposición de la sanción).
En cualquier caso, no parece claro el motivo por el cual la previsión del
apartado 4 se refiere exclusivamente a la Agencia Española de Protección
de Datos y en cambio no prevé la publicación de las que imponga la
autoridad autonómica.
ENMIENDA NÚM. 238
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 77
De supresión.
Se suprime la letra h) del apartado 1 del artículo 77.
JUSTIFICACIÓN
En la enumeración de las entidades que realiza el apartado 1 no parece
clara la justificación de la inclusión en la misma de las fundaciones del
sector público, mientras que no se incluyen otras entidades de derecho
privado integrantes del sector público institucional (art. 2.2 de la Ley
40/2015). Recordar en este sentido que el artículo 130 de la Ley 40/2015,
establece que las fundaciones del sector público se rigen por lo previsto
en esta Ley, por la legislación de fundaciones y por el ordenamiento
jurídico privado.
ENMIENDA NÚM. 239
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Al artículo 77
De modificación.
Se modifica la redacción del apartado 5 del artículo 77, que queda
redactado en los siguientes términos:
'5. Se comunicarán al Defensor del Pueblo o, en su caso, a las
instituciones análogas de las comunidades autónomas las actuaciones
realizadas como consecuencia de una solicitud de dichas instituciones y
las resoluciones dictadas al amparo de este artículo.'
JUSTIFICACIÓN
La referencia a las actuaciones realizadas (que viene a reproducir lo que
ya establecía el artículo 46.4 LOPD), debería aclararse que se refiere
exclusivamente a las actuaciones realizadas a raíz de una petición del
Defensor del Pueblo o, en su caso, a las instituciones análogas de las
comunidades autónomas.
ENMIENDA NÚM. 240
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
A la disposición adicional segunda
De supresión.
Se suprime la disposición adicional segunda.
JUSTIFICACIÓN
El contenido de esta disposición no parece que aporte ningún elemento a lo
que ya se deriva directamente de los artículos 5.3 y 15 de la Ley
19/2013. En cambio, produce un efecto perturbador puesto que en materia
de transparencia además de la Ley 19/2013 existen leyes autonómicas de
transparencia, a las cuales debería hacer referencia también esta
disposición adicional, en el caso que se mantenga.
ENMIENDA NÚM. 241
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
A la disposición adicional sexta
De supresión.
Se suprime la disposición adicional sexta.
JUSTIFICACIÓN
En coherencia con la enmienda al artículo 10.
ENMIENDA NÚM. 242
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
A la disposición adicional décima
De modificación.
Se modifica la redacción de la disposición adicional décima, que queda
redactada en los siguientes términos:
'Disposición adicional décima. Potestad de verificación de las
Administraciones Públicas.
Cuando se formulen solicitudes por medios electrónicos en las que el
interesado declare datos personales que obren en poder de las
Administraciones Públicas, el órgano destinatario de la solicitud podrá
efectuar en el ejercicio de sus competencias las verificaciones
necesarias para comprobar la exactitud de los datos.'
JUSTIFICACIÓN
Esta disposición incorpora la posibilidad que las administraciones
públicas verifiquen los datos que consten en solicitudes formuladas por
medios electrónicos. La habilitación no debería restringirse solamente a
las formuladas por medios electrónicos, puesto que las administraciones
públicas tienen el deber de comprobación en todos los casos (art. 75 Ley
39/2015).
ENMIENDA NÚM. 243
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
A la disposición adicional decimotercera
De supresión.
Se suprime la disposición adicional decimotercera.
JUSTIFICACIÓN
Esta disposición prevé que las autoridades a que se refiere el artículo
77.1 pueden comunicar a un tercero los datos personales que posean, si
concurre un interés legítimo (del tercero) que prevalezca. Dicha
previsión puede estar en conflicto con el párrafo segundo del artículo
6.1.f) del RGPD.
El artículo 6.1.f) del RGPD ciertamente habilita la comunicación en los
casos en que deba prevalecer el interés legítimo de un tercero. Sin
embargo, la exclusión que hace el segundo párrafo de dicho apartado,
impide la aplicación de la base jurídica prevista en el artículo 6.1.f) a
cualquier supuesto de comunicación realizada por una autoridad pública en
ejercicio de sus funciones, ya sea por un interés legítimo del
responsable del tratamiento o de un tercero.
ENMIENDA NÚM. 244
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
Nueva disposición transitoria
De adición.
Se adiciona una nueva disposición transitoria séptima con el siguiente
redactado:
'Disposición transitoria séptima. De los tratamientos iniciados con
anterioridad a la entrada en vigor de esta Ley Orgánica.
Los tratamientos iniciados con anterioridad al 25 de mayo de 2018 a los
cuales les sería exigible la elaboración de una evaluación del impacto
sobre la protección de datos de acuerdo con el Reglamento (UE) 2016/679,
deberán haberla realizado en el plazo de cuatro años desde dicha citada
fecha, salvo que con anterioridad se haya producido una alteración
sustancial de las condiciones en que se realiza el tratamiento, en cuyo
caso será exigible, con carácter previo, dicha evaluación.'
JUSTIFICACIÓN
Debería introducirse una disposición transitoria séptima para regular el
régimen transitorio para aquellos tratamientos iniciados antes de 25 de
mayo de 2018 y que según el RGPD estarían sometidas a evaluación de
impacto sobre la protección de datos.
ENMIENDA NÚM. 245
FIRMANTE:
Grupo Parlamentario
de Esquerra Republicana
A la disposición final segunda
De modificación.
Se modifica la redacción de la disposición final segunda, que queda
redactada en los siguientes términos:
'Disposición final segunda. Título competencial.
1. Esta Ley Orgánica se dicta al amparo del artículo 149.1.1.ª de la
Constitución, que atribuye al Estado la competencia exclusiva para la
regulación de las condiciones básicas que garanticen la igualdad de todos
los españoles en el ejercicio de los derechos y en el cumplimiento de los
deberes constitucionales.
2. El título VIII, la disposición adicional cuarta y la disposición
transitoria tercera sólo serán de aplicación a la Administración General
del Estado, a sus organismos públicos y a la Agencia Española de
Protección de Datos.
3. El capítulo I del título VIl sólo será de aplicación a la Agencia
Española de Protección de Datos.
4. Las disposiciones finales tercera y cuarta se dictan al amparo de la
competencia que el artículo 149.1.6.ª de la Constitución atribuye al
Estado en materia de legislación procesal.'
JUSTIFICACIÓN
Esta disposición final establece que el título VIII sólo será de
aplicación a la Administración General del Estado y a sus organismos
públicos. La referencia a la Administración General del Estado y a sus
organismos públicos debería hacerse a la Agencia Española de Protección
de Datos).
Por otro lado, debería añadirse que el capítulo I del título VIl solo será
de aplicación a la Agencia Española de Protección de Datos.
A la Mesa de la Comisión de Justicia
En nombre del Grupo Parlamentario Socialista, me dirijo a esa Mesa para,
al amparo de lo establecido en el artículo 110 y siguientes del vigente
Reglamento del Congreso de los Diputados, presentar las siguientes
enmiendas al articulado al Proyecto de Ley Orgánica de Protección de
Datos de Carácter Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Rafael Simancas
Simancas, Portavoz del Grupo Parlamentario Socialista.
ENMIENDA NÚM. 246
FIRMANTE:
Grupo Parlamentario Socialista
A la rúbrica de la Ley
De modificación.
Se propone sustituir la rúbrica de la Ley por la siguiente:
'Ley Orgánica de Protección de Datos Personales y de Garantía de Derechos
Digitales'
MOTIVACIÓN
En coherencia con los nuevos contenidos que se introducen en enmiendas
como el nuevo Título X.
ENMIENDA NÚM. 247
FIRMANTE:
Grupo Parlamentario Socialista
Al texto completo de la Ley
De modificación.
Se propone sustituir en todo el texto los términos:
'Datos de carácter personal', por 'datos personales'.
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 248
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 1
De modificación.
Se propone la siguiente redacción:
'Artículo 1. Objeto de la Ley.
La presente Ley Orgánica tiene por objeto:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679
del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento
de sus datos personales y a la libre circulación de estos datos, y
completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos de
carácter personal, amparado por el artículo 18.4 de la Constitución, se
ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en
esta Ley Orgánica.
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato
establecido en el art. 18.4 de la Constitución.'
MOTIVACIÓN
En coherencia con la enmienda por la que se introduce un nuevo Título X.
ENMIENDA NÚM. 249
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 2, apartados 1 y 2
De modificación.
Se propone la siguiente redacción:
'Artículo 2. Ámbito de aplicación.
1. La presente Ley Orgánica se aplica al tratamiento total o parcialmente
automatizado de datos personales, así como al tratamiento no automatizado
de datos personales contenidos o destinados a ser incluidos en un
fichero.
2. Esta Ley Orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento
General de Protección de Datos por su artículo 2.2.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo
establecido en el título X.
c) A los tratamientos sometidos a la normativa sobre protección de
materias clasificadas.'
MOTIVACIÓN
Ajustar la redacción a los términos del artículo 2.1 el Reglamento europeo
evitando suscitar interpretaciones diferentes por la divergencia.
ENMIENDA NÚM. 250
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 3
De supresión.
Se propone la supresión de este artículo.
MOTIVACIÓN
En coherencia con la introducción de una nueva disposición adicional y un
nuevo Título X.
ENMIENDA NÚM. 251
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 4
De modificación.
Se propone la siguiente redacción:
'Artículo 4. Inexactitud de los datos.
A los efectos previstos en el artículo 5.1 d) del Reglamento (UE)
2016/679, no será imputable al responsable del tratamiento, siempre que
éste haya adoptado todas las medidas razonables para que se supriman o
rectifiquen sin dilación, la inexactitud de los datos personales, con
respecto a los fines para los que se tratan, cuando:
a) Los datos hubieran sido obtenidos directamente del afectado.
b) El responsable hubiese obtenido los datos de un mediador o
intermediario si las normas aplicables al sector de actividad al que
pertenezca el responsable del tratamiento establecieran la posibilidad de
intervención de un intermediario o mediador que recoja en nombre propio
los datos de los afectados para su transmisión al responsable. El
mediador o intermediario asumirá las responsabilidades que pudieran
derivarse en el supuesto de comunicación al responsable de datos que no
se correspondan con los facilitados por el afectado.
c) Un responsable someta a tratamiento datos que hubiera recibido de otro
responsable en virtud del ejercicio por el afectado del derecho a la
portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo
previsto en esta Ley Orgánica.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 252
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 6, apartado 2
De modificación.
Se propone sustituir al final del apartado 2, los términos:
'Cada una de ellas' por 'todas ellas'.
MOTIVACIÓN
Mejora técnica y en coherencia con el contenido del Reglamento.
ENMIENDA NÚM. 253
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 7
De modificación.
Se propone la siguiente redacción:
'Artículo 7. Consentimiento de los menores de edad.
1. El tratamiento de los datos personales de un menor de edad únicamente
podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se
exceptúan los supuestos en que la ley exija la asistencia de los
titulares de la patria potestad o tutela para la celebración del acto o
negocio jurídico en cuyo contexto se recaba el consentimiento para el
tratamiento, así como aquellos otros supuestos regulados por la
legislación de las comunidades autónomas en el ámbito de sus
competencias.
2. El tratamiento de los datos de los menores de catorce años sólo será
lícito si consta el consentimiento del titular de la patria potestad o
tutela, con el alcance que determinen los titulares de la patria potestad
o tutela.'
MOTIVACIÓN
En coherencia con la tradición española.
ENMIENDA NÚM. 254
FIRMANTE:
Grupo Parlamentario Socialista
A la rúbrica del artículo 8
De modificación.
Se propone la siguiente redacción:
'Artículo 8. Tratamiento de datos por obligación legal, interés público o
ejercicio de poderes públicos.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 255
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 9, apartado 2
De modificación.
Se propone la siguiente redacción:
'Artículo 9. Categorías especiales de datos.
2. 2. Los tratamientos de datos contemplados en las letras g), h) e i) del
artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español
deberán estar amparados en una ley, que podrá establecer requisitos
adicionales relativos a su seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito
de la salud cuando así lo exija la gestión de los sistemas y servicios de
asistencia sanitaria y social, pública y privada, la ejecución de un
contrato de seguro del que el afectado sea parte, o la vigilancia de la
salud de los trabajadores con fines de prevención de riesgos laborales.'
MOTIVACIÓN
Mejora técnica, evitar confusión con lo previsto en el Reglamento, así
como adecuar el Reglamento a las especificidades nacionales.
ENMIENDA NÚM. 256
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 10
De modificación.
Se propone la siguiente redacción:
'Artículo 10. Tratamiento de datos de naturaleza penal.
1. [...].
2. El registro completo de los datos referidos a condenas e infracciones
penales o medidas de seguridad conexas a que se refiere el artículo 10
del Reglamento (UE) 2016/679, podrá realizarse conforme con lo
establecido en el Real Decreto 95/2009, de 6 de febrero, por el que se
regula el Sistema de registros administrativos de apoyo a la
Administración de Justicia.
3. Fuera de los supuestos señalados en los apartados anteriores, los
tratamientos de datos referidos a condenas e infracciones penales, así
como a procedimientos y medidas cautelares y de seguridad conexas sólo
serán posibles cuando se trate de ficheros de abogados y procuradores que
tengan por objeto recoger la información facilitada por sus clientes para
el ejercicio de sus funciones.'
MOTIVACIÓN
Mejora técnica y mayor precisión del texto.
ENMIENDA NÚM. 257
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 12, apartado 6 (nuevo)
De adición.
Se propone la adición de un nuevo apartado con el contenido siguiente:
'Artículo 12. Disposiciones generales sobre ejercicio de los derechos.
6. Toda información, comunicación o actuación realizada por el responsable
del tratamiento con ocasión del ejercicio de estos derechos serán a
título gratuito, exceptuando los supuestos previstos en los artículos
12.5 y 15.3 del Reglamento (UE) 2016/679 que se ajustarán a los límites
que fije, en su caso, la normativa de desarrollo de esta Ley Orgánica.'
MOTIVACIÓN
Fijar en la Ley la gratuidad y los términos de esta por el ejercicio de
los derechos en cuanto al ejercicio de los derechos tales como el de
acceso, rectificación, supresión, limitación del tratamiento,
portabilidad y oposición.
ENMIENDA NÚM. 258
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 13, apartado 1, párrafo segundo
De modificación.
Se propone la siguiente redacción:
'Artículo 13. Derecho de acceso.
1. El derecho de acceso del afectado se ejercitará de acuerdo con lo
establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de datos relativos al
afectado y éste ejercite su derecho de acceso sin especificar si se
refiere a todos o a una parte de los datos, el responsable podrá
solicitarle, antes de facilitar la información, que el afectado
especifique los datos o actividades de tratamiento a los que se refiere
la solicitud.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 259
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 15, apartado 1
De adición.
Se propone la adición de un nuevo párrafo en el apartado 1 con el
contenido siguiente:
'Artículo 15. Derecho de supresión.
1. El derecho de supresión se ejercerá de acuerdo con lo establecido en el
artículo 17 del Reglamento (UE) 2016/679.
En el caso de datos personales recabados por los servicios de la sociedad
de la información cuando el interesado era menor de edad, procederá la
supresión de los datos a solicitud de su titular o, en su caso, de su
representante legal.'
MOTIVACIÓN
Garantía de derechos de los menores de edad.
ENMIENDA NÚM. 260
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 16, apartado 2
De modificación.
Se propone la siguiente redacción:
'Artículo 16. Derecho a la limitación del tratamiento.
2. El hecho de que el tratamiento de los datos personales esté limitado
debe constar claramente en los sistemas de información del responsable.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 261
FIRMANTE:
Grupo Parlamentario Socialista
Al Título IV
De modificación.
Se propone que el contenido del Título IV, conste de dos Capítulos, el
Capítulo I, 'Disposiciones aplicables a tratamientos concretos', que
contendría los artículos 19 a 27, ambos incluidos, y un Capítulo II,
Tratamientos con fines de investigación científica y biomédica, que
contendría el artículo 27 bis a 27 nonies. Además, el contenido de este
Título deberá ocupar el actual Título IX, régimen sancionador, que tendrá
una numeración anterior por el desplazamiento de los títulos actuales,
debiendo procederse a las adecuaciones que de este cambio se deriven.
MOTIVACIÓN
El cambio de ubicación que se propone es por mejorar sistemática ya que el
contenido de este Título no guarda correlación con las disposiciones del
Reglamento.
ENMIENDA NÚM. 262
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 19
De modificación.
Se propone lo siguiente:
'Artículo 19. Tratamiento de datos de contacto y de empresarios
individuales.
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el
artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos
de contacto y en su caso los relativos a la función o puesto desempeñado
de las personas físicas que presten servicios en una persona jurídica
siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su
localización profesional o
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de
cualquier índole con la persona jurídica en la que el afectado preste sus
servicios.
2. La misma presunción operará para el tratamiento de los datos relativos
a los empresarios individuales y a los profesionales liberales que
ejerzan su actividad en forma de empresa, cuando se refieran a ellos
únicamente en dicha condición y no se traten para entablar una relación
con los mismos como personas físicas.
3. Se autoriza el tratamiento de los datos a los que se refieren los
párrafos anteriores y para las finalidades enumeradas en ellos a los
responsables o encargados a los que se refiere el artículo 77.1 de esta
ley orgánica.'
MOTIVACIÓN
De una parte; mejora técnica y de la otra se señala que la legitimación
invocada, el interés legítimo no es aplicable a las administraciones
públicas. Y sin embargo el tratamiento de estos datos puede ser necesario
por ejemplo cuando se quiere publicitar una licitación.
ENMIENDA NÚM. 263
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 20, apartado 1, letra d)
De modificación.
Se propone la siguiente redacción:
'Artículo 20. Sistema de información.
1. [...]
d) Que los datos se mantengan en el sistema durante un período máximo de
cinco años desde la fecha de vencimiento de la obligación dinerada,
financiera o de crédito y sólo en tanto persista el incumplimiento.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 264
FIRMANTE:
Grupo Parlamentario Socialista
A la rúbrica del artículo 21
De modificación.
Se propone lo siguiente:
'Artículo 21. Tratamientos relacionados con la realización de determinadas
operaciones mercantiles de reestructuración societaria.'
MOTIVACIÓN
Mejora técnica y mayor adecuación a la regulación que establece el
artículo.
ENMIENDA NÚM. 265
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 22
De modificación.
Se propone lo siguiente:
'Artículo 22. Tratamientos con fines de videovigilancia.
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a
cabo el tratamiento de imágenes a través de sistemas de cámaras o
videocámaras con la finalidad de preservar la seguridad de las personas y
bienes, así como de sus instalaciones.
2. Solo podrán captarse imágenes de la vía pública en la medida en que
resulte imprescindible para la finalidad mencionada en el apartado
anterior.
No obstante, será posible la captación de la vía pública en una extensión
superior cuando fuese necesario para garantizar la seguridad de bienes o
instalaciones o infraestructuras estratégicas debidamente registradas en
el Catálogo Nacional de Infraestructuras Estratégicas o de
infraestructuras vinculadas al transporte.
3. No será de aplicación a estos tratamientos la obligación de bloqueo
prevista en el artículo 32 de esta ley orgánica. Los datos serán
suprimidos en el plazo máximo de un mes desde su captación, salvo cuando
hubieran de ser conservadas:
a) Para acreditar la comisión de actos que atenten contra la integridad de
personas, bienes o instalaciones implicando la comisión de un delito o
falta. En tal caso, las imágenes deberán ser puestas a disposición de la
autoridad competente en un plazo de setenta y dos horas desde que se
tuviera conocimiento de la existencia de la grabación.
b) Para acreditar la comisión de actos que resulten constitutivos de
infracción en el ámbito laboral y exclusivamente para la finalidad de la
apertura y tramitación de un expediente disciplinario.
4. El deber de información previsto en el artículo 12 del Reglamento (UE)
2016/679 se entenderá cumplido mediante la colocación de un dispositivo
informativo en lugar suficientemente visible identificando, al menos, la
existencia del tratamiento, la identidad del responsable y la posibilidad
de ejercitar los derechos previstos en los artículos 15 a 22 del
Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo
informativo un código de conexión o dirección de internet a esta
información.
En todo caso, el responsable del tratamiento deberá mantener a disposición
de los afectados la información a la que se refiere el citado reglamento
en el establecimiento objeto de la videovigilancia.
5. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se
considera excluido de su ámbito de aplicación el tratamiento por una
persona física de imágenes que solamente capten el interior de su propio
domicilio.
Esta exclusión no abarca el tratamiento realizado por una entidad de
seguridad privada que hubiera sido contratada para la vigilancia de un
domicilio y tuviese acceso a las imágenes, ni aquellos casos en que ésta
tuviere, entre otras finalidades, el control de la actividad de los
trabajadores que desarrollen una relación laboral de carácter especial de
servicio del hogar familiar.
6. El tratamiento de los datos personales procedentes de las imágenes y
sonidos obtenidos mediante la utilización de cámaras y videocámaras por
las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la
vigilancia y control en los centros penitenciarios y para el control,
regulación, vigilancia y disciplina del tráfico, se regirá por la
legislación de transposición de la Directiva (UE) 2016/680, cuando el
tratamiento tenga fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, incluidas la protección y la prevención frente a las amenazas
contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento
se regirá por su legislación específica y supletoriamente por el
Reglamento (UE) 2016/679 y la presente ley orgánica.
7. Lo regulado en el presente artículo se entiende sin perjuicio de lo
previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus
disposiciones de desarrollo. En particular, los tratamientos de imágenes
con la finalidad de prevenir infracciones y evitar daños a las personas o
bienes objeto de protección o impedir accesos no autorizados, y para la
prestación de servicios de investigación privada a cargo de detectives
privados, deberán cumplir con los requisitos específicamente previstos
por aquella Ley.'
MOTIVACIÓN
Corregir omisiones del Proyecto de Ley.
ENMIENDA NÚM. 266
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 23, apartado 4
De modificación.
Se propone la siguiente redacción:
'Artículo 23. Sistemas de exclusión publicitaria.
4. Quienes pretendan realizar comunicaciones de mercadotecnia directa
deberán previamente consultar los sistemas de exclusión publicitaria que
pudieran afectar a su actuación,
excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para
considerar cumplida la obligación anterior será suficiente la consulta de
los sistemas de exclusión publicitaria incluidos en la relación publicada
por la Agencia Española de Protección de Datos.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 267
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 24
De modificación.
Se propone la siguiente redacción:
'Artículo 24. Sistemas de denuncias internas en los sectores privado y
público.
1. Será lícita la creación y mantenimiento de sistemas a través de los
cuales pueda ponerse en conocimiento de una entidad, incluso
anónimamente, la comisión en el seno de la misma o en la actuación de
terceros que contratasen con ella, de actos o conductas que pudieran
resultar contrarios a la normativa que le fuera aplicable. Los empleados
y terceros deberán ser informados acerca de la existencia de estos
sistemas de información.
2. El acceso a los datos contenidos en estos sistemas quedará limitado
exclusivamente a quienes, incardinados o no en el seno de la entidad,
desarrollen las funciones de control interno y de cumplimiento, o a los
encargados del tratamiento que eventualmente se designen a tal efecto. No
obstante, será lícito su acceso por otras personas, o incluso su
comunicación a terceros, cuando resulte necesario para la adopción de
medidas disciplinarias o para la tramitación de los procedimientos
judiciales que, en su caso, procedan.
Sin perjuicio de la notificación a la autoridad competente de hechos
constitutivos de ilícito penal o administrativo, solo cuando pudiera
proceder la adopción de medidas disciplinarias contra un trabajador,
dicho acceso se permitirá al personal con funciones de gestión y control
de recursos humanos.
3. Deberán adoptarse las medidas necesarias para preservar la identidad y
garantizar la confidencialidad de los datos correspondientes a las
personas afectadas por la información suministrada, especialmente la de
la persona que hubiera puesto los hechos en conocimiento de la entidad,
en caso de que se hubiera identificado.
4. Los datos del denunciante y de los empleados y terceros deberán
conservarse en el sistema de denuncias únicamente durante el tiempo
imprescindible para decidir sobre la procedencia de iniciar una
investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos,
deberá procederse a su supresión del sistema de denuncias. Si fuera
necesaria su conservación para continuar la investigación, podrán seguir
siendo tratados en el sistema cuando limite el acceso únicamente al
personal habilitado o, en caso de no ser posible, en un entorno distinto
por el órgano de la entidad al que competa dicha investigación.
No será de aplicación a estos sistemas la obligación de bloqueo prevista
en el artículo 32 de esta ley orgánica.
5. Los principios de los apartados anteriores serán aplicables a los
sistemas de denuncias internas que pudieran crearse en las
administraciones públicas.'
MOTIVACIÓN
Mayor seguridad jurídica.
ENMIENDA NÚM. 268
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 bis (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 bis. Consentimiento para el uso de datos con fines de
investigación científica o biomédica.
El interesado, o en su caso su representante legal, podrán otorgar el
consentimiento para el uso de sus datos con fines de investigación
científica y, en particular, la biomédica. Tales finalidades podrán
abarcar categorías relacionadas con áreas generales vinculadas a una
especialidad médica o investigadora.'
MOTIVACIÓN
Adecuar el Reglamento a las especificidades nacionales.
ENMIENDA NÚM. 269
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 ter (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 ter. Investigación en el ámbito de la salud pública.
Las autoridades sanitarias e instituciones públicas con competencias en
vigilancia de la salud pública podrán llevar a cabo estudios científicos
sin el consentimiento de los afectados en situaciones extraordinarias de
excepcional relevancia y gravedad para la salud pública.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 270
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 quater (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 quater. Reutilización de datos personales con fines de
investigación científica y biomédica.
1. Se considerará lícita y compatible la reutilización de datos personales
con fines de investigación científica y biomédica en los siguientes
casos:
a) Cuando se utilicen datos personales que hubieran sido recogidos
lícitamente con anterioridad al 25 de mayo de 2018.
b) Cuando habiéndose obtenido el consentimiento para una finalidad
concreta se utilizasen los datos para finalidades o áreas de
investigación relacionadas con el área en la que se integrase
científicamente el estudio inicial.
2. En tales casos, los responsables deberán publicar la información
establecida por el artículo 13 del Reglamento (UE) 2016/679 en un lugar
fácilmente accesible de la página web corporativa del centro donde se
realice la investigación o estudio clínico, y, en su caso, en la del
promotor, y notificar la existencia de esta información por medios
electrónicos a los afectados. Cuando éstos carezcan de medios para
acceder a tal información, podrán solicitar su remisión en otro formato.
3. Para los tratamientos previstos en los apartados anteriores, se
requerirá informe previo favorable del comité de ética de la
investigación.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 271
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 quinquies (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 quinquies. Reutilización de datos personales seudonimizados
con fines de investigación científica y biomédica.
1. Se considera lícito el uso de datos personales seudonimizados con fines
de investigación científica y biomédica.
2. El uso de datos personales pseudonimizados con fines de investigación
científica y biomédica requerirá:
a) Una separación técnica y funcional entre el equipo investigador y
quienes realicen la seudonimización y conserven la información que
posibilite la reidentificación.
b) Los datos seudonimizados únicamente serán accesibles al equipo de
investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar
ninguna actividad de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la
reidentificación y el acceso de terceros no autorizados.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 272
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 sexies (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 sexies. Reidentificación.
Podrá procederse a la reidentificación de los datos en su origen, cuando
con motivo de una investigación que utilice datos seudonimizados, se
aprecie la existencia de un peligro real y concreto para la seguridad o
salud de una persona o grupo de personas, o una amenaza grave para sus
derechos.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 273
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 septies (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 septies. Excepciones a los derechos de los interesados.
Cuando se traten datos personales con fines de investigación científica, a
los efectos del artículo 89.2 del Reglamento (UE) 2016/679, podrán
excepcionarse los derechos de los afectados previstos en los artículos
15,16,18 y 21 del Reglamento (EU) 2016/679 cuando:
a) Los citados derechos se ejerzan directamente ante los investigadores o
centros de investigación que utilicen datos anonimizados o
seudonimizados.
b) El ejercicio de tales derechos se refiera a los resultados de la
investigación.
c) La investigación tenga por objeto un interés público esencial
relacionado con la seguridad del Estado, la defensa, la seguridad pública
u otros objetivos importantes de interés público general, siempre que en
este último caso la excepción esté expresamente recogida por una norma
con rango de Ley.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 274
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 octies (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 octies. Garantías adicionales de los tratamientos.
1. Cuando conforme a lo previsto por el artículo 89 del Reglamento (UE)
2016/679, se lleve a cabo un tratamiento con fines de investigación
científica y biomédica se procederá a:
a) Realizar una evaluación de impacto que determine los riesgos derivados
del tratamiento en los supuestos previstos en el artículo 35 del
Reglamento (UE) 2016/679 o en los establecidos por la autoridad de
control. Esta evaluación incluirá de modo específico los riesgos de
reidentificación vinculados a la anonimización o seudonimización de los
datos.
b) Someter la investigación científica a las normas de calidad y, en su
caso, a las directrices internacionales sobre buena práctica clínica.
c) Adoptar, en su caso, medidas dirigidas a garantizar que los
investigadores no accedan a datos de identificación de los interesados.
d) Designar un representante legal establecido en la Unión Europea,
conforme al artículo 74 del Reglamento (UE) 536/2014, si el promotor de
un ensayo clínico no está establecido en la Unión Europea. Dicho
representante legal podrá coincidir con el previsto en el artículo 27.1
del Reglamento (UE) 2016/679.
2. El uso de datos personales seudonimizados con fines de investigación
científica y biomédica deberá ser sometido al informe previo del comité
de ética de la investigación previsto en la normativa sectorial.
En defecto de la existencia del mencionado Comité, la entidad responsable
de la investigación requerirá informe previo del delegado de protección
de datos o, en su defecto, de un experto con los conocimientos previstos
en el artículo 37.5 del Reglamento (UE) 2016/679.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 275
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 27 nonies (nuevo)
De adición.
Se propone la adición de un nuevo artículo con el contenido siguiente:
'Artículo 27 nonies. Comités de ética de la investigación.
Los comités de ética de la investigación deberán integrar entre sus
miembros un delegado de protección de datos o, en su defecto, un experto
con los conocimientos que el Reglamento (UE) 2016/679 cuando se ocupen de
actividades de investigación científica, incluida la biomédica, que
comporten el tratamiento de datos personales o de datos seudonimizados o
anonimizados.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 276
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 28, apartado 2, letra h) (nueva)
De adición.
Se propone la adición de una nueva letra h) con el contenido siguiente:
'Artículo 28. Obligaciones generales del responsable y encargado del
tratamiento.
2. [...].
h) Cualesquiera otros que a juicio del responsable o del encargado
pudieran tener relevancia y en particular aquellos previstos en códigos
de conducta y estándares definidos por esquemas de certificación.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 277
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 32
De supresión.
Se propone la supresión de este artículo.
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 278
FIRMANTE:
Grupo Parlamentario Socialista
(Alternativa)
Al artículo 32, apartados 3 bis y 5 (nuevos)
De adición.
Se propone la adición al artículo 32 de un nuevo apartado 3 bis y un nuevo
apartado 5, que quedan redactados como sigue:
'Artículo 32. Bloqueo de datos.
3 bis. Cuando para el cumplimiento de esta obligación, la configuración
del sistema de información no permita el bloqueo o se requiera una
adaptación que implique un esfuerzo desproporcionado, se procederá a un
copiado seguro de la información de modo que conste evidencia digital, o
de otra naturaleza, que permita acreditar la autenticidad de la misma, la
fecha del bloqueo y la no manipulación de los datos durante el mismo.
5. La Agencia Española de Protección de Datos y las autoridades
autonómicas de protección de datos, dentro del ámbito de sus respectivas
competencias y en el marco de cooperación institucional del artículo 58
de esta Ley, publicarán en un periodo de un año a partir de la entrada en
vigor de la misma, un catálogo de supuestos de bloqueo que incluirá una
clasificación de los tratamientos, el periodo de bloqueo que corresponda
y la base jurídica para el mismo. Dicho catálogo podrá actualizarse
anualmente.'
MOTIVACIÓN
Necesidad de ofrecer soluciones legales para supuestos excepcionados de la
obligación de bloqueo que permita garantizar los derechos de los
afectados.
ENMIENDA NÚM. 279
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 34 apartado 1 y 5 (nuevo)
De modificación.
Se propone la siguiente redacción:
'Artículo 34. Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar un
delegado de protección de datos en los supuestos previstos en el artículo
37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las
siguientes entidades:
a) [...]
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los
niveles regulados por el artículo 3 de la Ley Orgánica 2/2006, de 3 de
mayo, de Educación, y las Universidades públicas y privadas.
c) [...]
d) [...]
e) [...]
f) [...]
g) [...]
h) [...]
i) [...]
j) [...]
k) [...]
l) [...]
m) [...]
n) [...]
ñ) [...]
o) Las federaciones deportivas cuando traten datos de menores de edad.
5. En el cumplimiento de las obligaciones de este artículo los
responsables y encargados del tratamiento podrán establecer la dedicación
completa o a tiempo parcial del delegado, entre otros criterios, en
función del volumen de los tratamientos, su sensibilidad o los riesgos
para los derechos o libertades de los interesados.
Se podrá considerar que existe un delegado de nombramiento voluntario a
los efectos de lo previsto en el apartado 2 de este artículo, cuando
habiendo contratado un asesoramiento externo con dedicación no completa
se garantice que el cumplimiento de las previsiones del Reglamento (UE)
2016/679 y de la presente ley orgánica se basan en sus informes técnicos
y recomendaciones.'
MOTIVACIÓN
Mayor precisión del texto al regular situaciones que no estaban previstas
en el Proyecto remitido por el Gobierno.
ENMIENDA NÚM. 280
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 35
De modificación.
Se propone la siguiente redacción:
'Artículo 35. Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del
Reglamento (UE) 2016/679 para la designación del delegado de protección
de datos, sea persona física o jurídica, podrá demostrarse, entre otros
medios:
a) Mediante la obtención de un título académico especializado en derecho y
práctica en materia de protección de datos y expedido por una Universidad
española, cumpliendo los requisitos establecidos en la normativa de
ordenación de las enseñanzas universitarias, o por instituciones de
educación superior pertenecientes a Estados integrantes del Espacio
Europeo de Educación Superior.
b) A través de mecanismos voluntarios de certificación.'
MOTIVACIÓN
Resulta necesario recoger expresamente la obtención de un título académico
especializado en derecho y práctica en materia de protección de datos
como elemento acreditativo del cumplimiento de los requisitos de
cualificación para ser designado delegado de protección de datos.
ENMIENDA NÚM. 281
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 36, apartado 2
De supresión.
Se propone la supresión en el apartado 2 de lo siguiente:
'[...] salvo que incurriera en dolo o negligencia grave en su ejercicio.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 282
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 38, apartados 2 y 3
De modificación.
Se propone la siguiente redacción:
'Artículo 38. Códigos de conducta.
2. Dichos códigos podrán promoverse, además de por las asociaciones y
organismos a los que se refiere el artículo 40.2 del Reglamento (UE)
2016/679, por empresas o grupos de empresas así como por los responsables
o encargados a los que se refiere el artículo 77.1 de esta ley orgánica.
Asimismo, podrán ser promovidos por los organismos o entidades que asuman
las funciones de supervisión y resolución extrajudicial de conflictos a
los que se refiere el artículo 41 del Reglamento (UE) 2016/679.
Los códigos de conducta deberán dotarse de mecanismos de resolución
extrajudicial de conflictos. Los responsables o encargados del
tratamiento que se adhieran al código de conducta se obligan a someter al
organismo o entidad de supervisión las reclamaciones que les fueran
formuladas por los afectados en relación con los tratamientos de datos
incluidos en su ámbito de aplicación en caso de considerar que no procede
atender a lo solicitado en la reclamación, sin perjuicio de lo dispuesto
en el artículo 37 de esta ley orgánica. Además, sin menoscabo de las
competencias atribuidas por el Reglamento (UE) 2016/679 a las autoridades
de protección de datos, podrán voluntariamente y antes de llevar a cabo
el tratamiento, someter al citado organismo o entidad de supervisión la
verificación de la conformidad del mismo con las materias sujetas al
código de conducta.
En caso de que el organismo o entidad de supervisión rechace o desestime
la reclamación, o si el responsable o encargado del tratamiento no somete
la reclamación a su decisión, el afectado podrá formularla ante la
Agencia Española de Protección de Datos o, en su caso, las autoridades
autonómicas de protección de datos.
La autoridad de protección de datos competente verificará que los
organismos o entidades que promuevan los códigos de conducta, han dotado
a estos códigos de organismos de supervisión que reúnan los requisitos
establecidos en el artículo 41.2 del Reglamento (UE) 2016/679.
3. Los códigos de conducta serán aprobados por la Agencia Española de
Protección de Datos o, en su caso, por la autoridad autonómica de
protección de datos competente, o por la Comisión Europea, conforme lo
dispuesto en el artículo 40.9 del Reglamento (UE) 2016/679.'
MOTIVACIÓN
Completar las omisiones del Proyecto y que se derivan directamente de su
contenido, pero que para mayor seguridad jurídica quedan explicitadas en
la propia norma.
ENMIENDA NÚM. 283
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 41, apartado 2, párrafo segundo
De modificación.
Se propone lo siguiente:
'Artículo 41. Supuestos de adopción por la Agencia Española de Protección
de Datos.
2. [...]
El procedimiento se iniciará a instancia de una entidad situada en España
y tendrá una duración máxima de nueve meses. Quedará suspendido como
consecuencia de la remisión del expediente al Comité Europeo de
Protección de Datos para que emita el dictamen al que se refiere el
artículo 64.1.f) del Reglamento (UE) 2016/679, y se reiniciará tras su
notificación a la Agencia Española de Protección de Datos.'
MOTIVACIÓN
Evitar dilaciones que perjudiquen actividad empresarial.
ENMIENDA NÚM. 284
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 42, apartado 1, letra b)
De modificación.
Se propone la siguiente redacción:
'Artículo 42. Supuestos sometidos a autorización previa de las autoridades
de protección de datos.
1. [...]
b) Cuando la transferencia se lleve a cabo por alguno de los responsables
o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y
se funde en disposiciones incorporadas a acuerdos internacionales no
normativos con otras autoridades u organismos públicos de terceros
Estados, que incorporen derechos efectivos y exigibles para los
afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de seis meses.'
MOTIVACIÓN
Evitar dilaciones que perjudiquen actividad empresarial.
ENMIENDA NÚM. 285
FIRMANTE:
Grupo Parlamentario Socialista
Al Artículo 46
De modificación.
Se propone la siguiente redacción:
'Artículo 46. Régimen económico presupuestario y de personal. (nuevo
apartado).
Los poderes públicos garantizarán que la Agencia Española de Protección de
Datos disponga de los recursos humanos, técnicos y financieros
necesarios, así como de locales e infraestructuras, para el cumplimiento
efectivo de sus funciones, el ejercicio de sus poderes y, en particular,
de los recursos necesarios para el ejercicio de las competencias que haya
de ejercer en el marco de las asistencia mutua, la cooperación y la
participación en el Comité Europeo de Protección de Datos, conforme al
Reglamento (UE) 2016/679.
1. La Agencia Española de Protección de Datos elaborará y aprobará su
presupuesto y lo remitirá al Gobierno para que sea integrado, con
independencia, en los Presupuestos Generales del Estado.
2. El régimen de modificaciones y de vinculación de los créditos de su
presupuesto será el establecido en el Estatuto de la Agencia.
Corresponde al Presidente de la Agencia Española de Protección de Datos
autorizar las modificaciones presupuestarias que impliquen hasta un tres
por ciento de la cifra inicial de su presupuesto total de gastos, siempre
que no se incrementen los créditos para gastos de personal. Las restantes
modificaciones que no excedan de un cinco por ciento del presupuesto
serán autorizadas por el Ministerio de Hacienda y Función Pública y, en
los demás casos, por el Gobierno.
3. La Agencia contará para el cumplimiento de sus fines con las
asignaciones que se establezcan con cargo a los Presupuestos Generales
del Estado, los bienes y valores que constituyan su patrimonio y los
ingresos, ordinarios y extraordinarios derivados del ejercicio de sus
actividades, incluidos los derivados del ejercicio de las potestades
establecidos en el artículo 58 del Reglamento (UE) 2016/679.
4. El resultado positivo de sus ingresos se destinará por la Agencia a la
dotación de sus reservas con el fin de garantizar su plena independencia.
5. El personal al servicio de la Agencia será funcionario o laboral y se
regirá por lo previsto en el texto refundido de la Ley del Estatuto
Básico del Empleado Público, aprobado por Real Decreto Legislativo
5/2015, de 30 de octubre, y demás normativa reguladora de los
funcionarios públicos y, en su caso, por la normativa laboral.
6. La Agencia Española de Protección Datos elaborará y aprobará su
relación de puestos de trabajo, en el marco de los criterios establecidos
por el Ministerio de Hacienda y Función Pública, respetando el límite de
gasto de personal establecido en el presupuesto. En dicha relación de
puestos de trabajo constarán, en todo caso, aquellos puestos que deban
ser desempeñados en exclusiva por funcionarios públicos, por consistir en
el ejercicio de las funciones que impliquen la participación directa o
indirecta en el ejercicio de potestades públicas y la salvaguarda de los
intereses generales del Estado y de las Administraciones Públicas.
7. Sin perjuicio de las competencias atribuidas al Tribunal de Cuentas, la
gestión económico-financiera de la Agencia Española de Protección de
Datos estará sometida al control de la Intervención General de la
Administración del Estado en los términos que establece la Ley 47/2003,
de 26 de noviembre, General Presupuestaria.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 286
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 48
De modificación.
Se propone la siguiente redacción:
'Artículo 48. El Presidente de la Agencia Española de Protección de Datos.
1. El Presidente de la Agencia Española de Protección de Datos la dirige,
ostenta su representación y dicta sus resoluciones, circulares e
directrices. Ejercerá sus funciones con plena independencia y objetividad
y no estará sujeto a instrucción alguna en su desempeño. Le será
aplicable la legislación reguladora del ejercicio del alto cargo de la
Administración General del Estado.
2. El Presidente de la Agencia Española de Protección de Datos será
designado por el Pleno del Congreso de los Diputados por mayoría de tres
quintos, entre profesionales de reconocida competencia en protección de
datos con más de diez años de ejercicio profesional.
3. Tres meses antes de producirse la expiración del mandato o, en el resto
de las causas de cese, cuando se haya producido éste, la Presidencia del
Congreso de los Diputados ordenará la publicación en el Boletín Oficial
del Estado de la convocatoria pública de candidatos para cubrir la
vacante por plazo de un mes.
Un Comité Asesor, cuya composición será establecida en el Reglamento del
Congreso de los Diputados, dispondrá de quince días para evaluar la
competencia e idoneidad de los candidatos y elevar un informe del proceso
de selección y una lista con los cinco candidatos mejor evaluados a la
Comisión parlamentaria correspondiente ante la que, posteriormente,
comparecerán los referidos candidatos.
Tras la celebración de la preceptiva audiencia de candidatos en el plazo
máximo de quince días, la Comisión parlamentaria acordará, por mayoría
absoluta de sus miembros, elevar la propuesta del candidato al Pleno del
Congreso de los Diputados.
El Presidente de la Agencia Española de Protección de Datos propondrá el
nombramiento de dos Adjuntos, que le asistirán en sus funciones, de entre
el resto de candidatos propuestos por el Consejo Asesor. Este
nombramiento deberá ser ratificado por mayoría absoluta de los miembros
de la Comisión correspondiente del Congreso de los Diputados.
4. El Presidente de la Agencia Española de Protección de Datos será
nombrado por el Consejo de Ministros mediante Real Decreto.
5. El mandato del Presidente de la Agencia tiene una duración de cinco
años y puede ser renovado para otro período de igual duración.
El Presidente sólo cesará antes de la expiración de su mandato, a petición
propia o por separación acordada por mayoría de tres quintos del Pleno
del Congreso de los Diputados por:
a) incumplimiento grave de sus obligaciones,
b) incapacidad sobrevenida para el ejercicio de su función,
c) incompatibilidad o,
d) condena por delito doloso.
6. Los actos y disposiciones dictados por el Presidente de la Agencia
Española de Protección de Datos ponen fin a la vía administrativa, siendo
recurribles, directamente, ante la Sala de lo Contencioso-administrativo
de la Audiencia Nacional.'
MOTIVACIÓN
Mejorar el funcionamiento de la Agencia y aumentar su independencia.
ENMIENDA NÚM. 287
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 49
De modificación.
Se propone la siguiente redacción:
'Artículo 49. Consejo Consultivo de la Agencia.
1. El Presidente de la Agencia Española de Protección de Datos estará
asesorado por un Consejo Consultivo compuesto por los siguientes
miembros:
a) Dos expertos, propuestos por el Congreso de los Diputados.
b) Dos expertos, propuestos por el Senado.
c) Un representante designado por el Consejo General del Poder Judicial.
d) Un representante de cada Comunidad Autónoma que haya creado una
Autoridad de protección de datos en su ámbito territorial, propuesto de
acuerdo con lo que establezca la respectiva Comunidad Autónoma.
e) Un experto, propuesto por la Federación Española de Municipios y
Provincias.
f) Un experto, propuesto por el Consejo de Consumidores y Usuarios.
g) Un experto, propuesto por las Organizaciones Empresariales.
h) Un representante de los profesionales de la protección de datos y de la
privacidad, propuesto por la asociación de ámbito estatal con mayor
número de asociados.
i) Un representante de los organismos o entidades de supervisión y
resolución extrajudicial de conflictos previstos en el Capítulo IV del
Título V, propuesto por el Ministro de Justicia.
j) Un experto, propuesto por la Conferencia de Rectores de las
Universidades Españolas.
k) Un representante de los profesionales de la seguridad de la
información, propuesto por la asociación de ámbito estatal con mayor
número de asociados.
l) Un representante del Consejo de la Transparencia y del Buen Gobierno.
m) Dos expertos propuestos por las organizaciones sindicales más
representativas.
1 bis. A los efectos del apartado anterior, la condición de experto
requerirá acreditar conocimientos especializados en Derecho o práctica en
materia de protección de datos mediante, al menos, diez años de ejercicio
profesional práctico o académico.
2. Los miembros del Consejo Consultivo serán nombrados por orden del
Ministro de Justicia, publicada en el 'Boletín Oficial del Estado'.
3. El Consejo Consultivo se reunirá cuando así lo disponga el Presidente
de la Agencia y, en todo caso, una vez al trimestre.
4. El régimen, competencias y funcionamiento del Consejo Consultivo serán
los establecidos en el Estatuto Orgánico de la Agencia Española de
Protección de Datos.'
MOTIVACIÓN
Mejorar el funcionamiento de la Agencia y aumentar su independencia.
ENMIENDA NÚM. 288
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 54, rúbrica y apartados 1 y 2
De modificación.
Se propone la siguiente redacción:
'Artículo 54. Planes de auditoría.
1. El Presidente de la Agencia Española de Protección de Datos podrá
acordar la realización de planes de auditoría, referidos a los
tratamientos de un sector concreto de actividad. Tendrán por objeto el
análisis del cumplimiento de las disposiciones del Reglamento (UE)
2016/679 y de la presente ley orgánica, a partir de la realización de
actividades de investigación sobre entidades pertenecientes al sector
inspeccionado o sobre los responsables objeto de la auditoría.
2. A resultas de los planes de auditoría, el Presidente de la Agencia
podrá dictar las directrices generales o específicas para un concreto
responsable o encargado de los tratamientos precisas para asegurar la
plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a
la presente ley orgánica. En estas directrices se fomentará la creación o
adhesión a códigos de conducta. Asimismo, en la elaboración de dichas
directrices el Presidente de la Agencia podrá solicitar la colaboración
de los organismos de supervisión de los códigos de conducta y de
resolución extrajudicial de conflictos.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 289
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 56, apartado 3, letra b)
De modificación.
Se propone la siguiente redacción:
'Artículo 56. Acción exterior.
3. Corresponde además a la Agencia:
b) Participar, como autoridad española, en las organizaciones
internacionales competentes en materia de protección de datos, en los
comités o grupos de trabajo, de estudio y de colaboración de
organizaciones internacionales que traten materias que afecten al derecho
fundamental a la protección de datos personales y en otros foros o grupos
de trabajo internacionales, en el marco de la acción exterior del Estado.
La Agencia podrá delegar la representación del Reino de España en alguna
de las autoridades autonómicas de protección de datos.'
MOTIVACIÓN
Establecer legalmente supuestos de colaboración institucional entre
Agencias.
ENMIENDA NÚM. 290
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 58
De modificación.
Se propone la siguiente redacción:
'Artículo 58. Cooperación institucional.
El Presidente de la Agencia Española de Protección de Datos convocará
regularmente a las autoridades autonómicas de protección de datos para
contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la
presente ley orgánica. En todo caso, se celebrarán reuniones semestrales
de cooperación.
El Presidente de la Agencia y las autoridades autonómicas de protección de
datos podrán solicitar y deberán intercambiarse mutuamente la información
necesaria para el cumplimiento de sus funciones y, en particular, la
relativa a la actividad del Comité Europeo de Protección de Datos.
Asimismo, podrán constituir grupos de trabajo para tratar asuntos
específicos de interés común.'
MOTIVACIÓN
Establecer legalmente supuestos de colaboración institucional entre
Agencias.
ENMIENDA NÚM. 291
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 59
De supresión.
Se propone la supresión del artículo.
MOTIVACIÓN
Establecer legalmente supuestos de colaboración institucional entre
Agencias.
ENMIENDA NÚM. 292
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 61, apartado 1
De modificación.
Se propone la siguiente redacción:
'Artículo 61. Intervención en caso de tratamientos transfronterizos.
1. Las autoridades autonómicas de protección de datos ostentarán la
condición de autoridad de control principal o interesada en el
procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679
cuando el tratamiento se llevara a cabo por un responsable o encargado
del tratamiento de los previstos en el artículo 56 de aquél que no
desarrollase significativamente tratamientos de la misma naturaleza en el
resto del territorio español. Las autoridades autonómicas de protección
de datos ostentarán la condición de autoridad de control principal o
interesada en el procedimiento establecido por el artículo 60 del
Reglamento (UE) 2016/679 cuando se refiera a un tratamiento previsto en
el artículo 57 de esta Ley Orgánica que se llevara a cabo por un
responsable o encargado del tratamiento de los previstos en el artículo
56 del Reglamento (UE) 2016/679 que no desarrollase significativamente
tratamientos de la misma naturaleza en el resto del territorio español.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 293
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 65, apartado 2
De modificación.
Se propone lo siguiente:
'Artículo 65. Admisión a trámite de las reclamaciones.
2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones
presentadas cuando no versen sobre cuestiones de protección de datos de
carácter personal, carezcan manifiestamente de fundamento, sean abusivas
o no aporten indicios racionales de la existencia de una infracción.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 294
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 74, letras c), m) y n)
De modificación.
Se propone la siguiente redacción:
'Artículo 74. Infracciones consideradas leves.
c) No atender las solicitudes de ejercicio de los derechos establecidos en
los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase
de aplicación lo dispuesto en el artículo 72.1 k) de esta ley orgánica.
m) La notificación incompleta, tardía o defectuosa a la autoridad de
protección de datos de la información relacionada con una violación de
seguridad de los datos personales de conformidad con lo previsto en el
artículo 33 del Reglamento (UE) 2016/679.
n) El incumplimiento de la obligación de documentar cualquier violación de
seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679.'
MOTIVACIÓN
Corrección de errores y suplir una omisión.
ENMIENDA NÚM. 295
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 75, párrafo segundo
De modificación.
Se propone lo siguiente:
'Artículo 75. Interrupción de la prescripción.
Interrumpirá la prescripción la iniciación, con conocimiento del
interesado, del procedimiento sancionador, reiniciándose el plazo de
prescripción si el expediente sancionador estuviere paralizado durante
más de seis meses por causas no imputables al presunto infractor.
Cuando la Agencia Española de Protección de Datos ostente la condición de
autoridad de control principal y deba seguirse el procedimiento previsto
en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la
prescripción el conocimiento formal por el interesado del proyecto de
propuestas de decisión que sea sometido a las autoridades de control
interesadas.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 296
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 76, apartado 2, letras f) a j) (nuevas)
De adición.
Se propone la adición en el apartado 2 de cinco nuevas letras con el
contenido siguiente:
'Artículo 76. Sanciones y medidas correctivas.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) [...].
b) [...].
c) [...].
d) [...].
e) [...].
f) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
g) Haber desarrollado la actividad de tratamiento de acuerdo con las
indicaciones contenidas en un informe técnico emitido por el delegado de
protección de datos o por profesional con competencia suficiente para
ejercer las funciones de aquél.
h) La afectación a los derechos de los menores.
i) La adhesión y sometimiento a las resoluciones del organismo o entidad
de resolución extrajudicial de conflictos establecido en un código de
conducta.
j) La adecuación del tratamiento al informe favorable de verificación,
previo al tratamiento, emitido por un organismo de supervisión de
conducta.'
MOTIVACIÓN
Necesidad de establecer nuevos parámetros que deben ser tenidos en cuenta
a la hora de graduar la sanción a imponer por la relevancia que los
comportamientos que se recogen.
ENMIENDA NÚM. 297
FIRMANTE:
Grupo Parlamentario Socialista
Al artículo 77
De modificación.
Se propone la siguiente redacción:
'Artículo 77. Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento.
1. [...].
k) Los grupos institucionales de los partidos políticos en las Cortes
Generales, Asambleas Legislativas autonómicas y Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1
cometiesen alguna de las infracciones a las que se refieren los artículos
72 a 74 de esta ley orgánica, la autoridad de protección de datos que
resulte competente dictará resolución sancionando a las mismas con
apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la
infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al
órgano del que dependa jerárquicamente, en su caso, y a los afectados que
tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad
de protección de datos ordenará la iniciación de actuaciones
disciplinarias. En este caso, el procedimiento y las sanciones a aplicar
serán las establecidas en la legislación sobre régimen disciplinario o
sancionador que resulte de aplicación.
3bis. Sin perjuicio de lo dispuesto en el apartado anterior, cuando las
infracciones sean imputables a autoridades y directivos, y se acredite la
existencia de informes técnicos o recomendaciones para el tratamiento que
no hubieran sido debidamente atendidos, en la resolución en la que se
imponga la sanción se incluirá una amonestación con denominación del
cargo responsable y se ordenará la publicación en el 'Boletín Oficial del
Estado' o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las
resoluciones que recaigan en relación con las medidas y actuaciones a que
se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las
instituciones análogas de las comunidades autónomas las actuaciones
realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de
Datos, ésta publicará en su página web con la debida separación las
resoluciones referentes a las entidades del apartado 1 de este artículo,
con expresa indicación de la identidad del responsable o encargado del
tratamiento que hubiera cometido la infracción.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 298
FIRMANTE:
Grupo Parlamentario Socialista
Al Título X (nuevo)
De adición.
Se propone la adición de un nuevo Título con 14 artículos (79 a 93) y
tendrá el contenido siguiente:
'TÍTULO X
Garantía de los derechos digitales'
MOTIVACIÓN
Internet se ha convertido en una realidad omnipresente tanto en nuestra
vida personal como colectiva. Una gran parte de nuestra actividad
profesional, económica y privada se desarrolla en la Red y adquiere una
importancia fundamental tanto para la comunicación humana como para el
desarrollo de nuestra vida en sociedad. Ya en los años noventa, y
conscientes del impacto que iba a producir Internet en nuestras vidas,
los pioneros de la Red propusieron elaborar una Declaración de los
Derechos del Hombre y del Ciudadano en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el
mundo de las redes ofrece a la ciudadanía. Corresponde a los poderes
públicos impulsar políticas hagan efectivos los derechos de la ciudadanía
en Internet promoviendo la igualdad de los ciudadanos y de los grupos en
los que se integran para hacer posible el pleno ejercicio de los derechos
fundamentales en la realidad digital. La transformación digital de
nuestra sociedad es ya una realidad en nuestro desarrollo presente y
futuro tanto a nivel social como económico. En este contexto, países de
nuestro entorno ya han aprobado normativa que refuerza los derechos
digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances
tecnológicos provocarían en nuestra sociedad y, en particular, en el
disfrute de los derechos fundamentales. Una deseable futura reforma de la
Constitución debería incluir entre sus prioridades la actualización de la
Constitución a la era digital y, específicamente, elevar a rango
constitucional una nueva generación de derechos digitales. Pero, en tanto
no se acometa este reto, el legislador debe abordar el reconocimiento de
un sistema de garantía de los derechos digitales que, inequívocamente,
encuentra su anclaje en el mandato impuesto por el apartado cuarto del
artículo 18 de la Constitución Española y que, en algunos casos, ya han
sido perfilados por la jurisprudencia ordinaria, constitucional y
europea.
La Vicepresidenta del Gobierno manifestó con motivo de su primera
comparecencia en la XII Legislatura ante la Comisión constitucional del
Congreso de los Diputados la voluntad de trabajar en el impulso de la
garantía de los derechos de los españoles en el mundo de Internet. Sin
ningún género de dudas, las políticas vinculadas a Internet deben ser
políticas de Estado, capaces de comprometer el consenso y la unanimidad
de todos los grupos parlamentarios. El Gobierno, a través del Ministerio
de Energía, Turismo y Agenda Digital, ha constituido un Grupo de Trabajo
sobre Derechos Digitales de los Ciudadanos para debatir sobre los
derechos y obligaciones de los ciudadanos en el entorno digital. Sin
perjuicio de esta iniciativa que, aparentemente, rendirá sus frutos en un
futuro todavía impreciso, se hace necesario acometer el mandato adoptado
por el Congreso de los Diputados al aprobar 7 de abril de 2017 la
Proposición no de Ley propuesta por el Grupo Parlamentario Socialista
para la protección de los derechos digitales.
ENMIENDA NÚM. 299
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 79 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 79. Los derechos en la Era digital.
1. Los derechos y libertades reconocidos en la Declaración Universal de
Derechos Humanos, en el Convenio Europeo de Derechos Humanos, en la Carta
de Derechos Fundamentales de la
Unión Europea y en el resto de tratados y acuerdos internacionales sobre
las mismas materias ratificados por España deben ser protegidos e
interpretados en forma que se garantice su exigibilidad en Internet.
2. Los derechos y libertades reconocidos por la Constitución y regulados
por las leyes son plenamente aplicables en internet y los servicios de la
sociedad de la información contribuirán a garantizar su vigencia.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 300
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 80 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 80. Derecho a la neutralidad de Internet.
Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores
de servicios de Internet procurarán una oferta transparente de servicios
sin discriminación técnica o económica. La libertad en Internet
preservará su carácter abierto e innovador.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 301
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 81 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con le contenido siguiente:
'Artículo 81. Derecho de acceso universal a Internet.
1. Todos tendrán derecho a acceder a Internet independientemente de su
condición personal, social, económica o geográfica.
2. Se garantizará un acceso universal, asequible, de calidad y no
discriminatorio para toda la población.
3. El acceso a Internet de hombres y mujeres procurará la superación de la
brecha de género tanto en el ámbito personal como laboral.
4. El acceso a Internet procurará la superación de la brecha generacional
mediante acciones dirigidas a la formación y el acceso a las personas
mayores.
5. La garantía efectiva del derecho de acceso a Internet atenderá la
realidad específica de los entornos rurales.
6. El acceso a Internet deberá garantizar condiciones de igualdad para las
personas que cuenten con necesidades especiales.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 302
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 82 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 82. Derecho a la educación digital.
1. El sistema educativo garantizará la plena inserción del alumnado en la
sociedad digital y el aprendizaje de un uso seguro de los medios
digitales y respetuoso con la dignidad humana, los valores
constitucionales, los derechos fundamentales y, particularmente con el
respeto y la garantía de la intimidad individual y colectiva.
2. El profesorado recibirá las competencias digitales y la formación
necesaria para la enseñanza y transmisión de los valores y derechos
referidos en el apartado anterior.
3. Los planes de estudio de los títulos universitarios, en especial,
aquellos que habiliten para el desempeño profesional en la formación del
alumnado, garantizarán la formación en el uso y seguridad de los medios
digitales y en la garantía de los derechos fundamentales en Internet.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 303
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 83 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 83. Derecho a la seguridad digital.
Los usuarios tienen derecho a que se garantice la privacidad y seguridad
de las comunicaciones y de las informaciones que circulan en Internet.
Los operadores, plataformas y proveedores de
servicios y contenidos deben informar a los usuarios de sus derechos y
establecer sistemas de denuncia de fácil uso y comprensión.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 304
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 84 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 84. Derecho al olvido.
1. Toda persona tiene derecho a que sus datos personales sean cancelados
en los servicios de Internet cuando, con el tiempo, puedan devenir
inadecuados, no pertinentes o excesivos en relación con los fines para
los que se recogieron o trataron y el tiempo transcurrido.
2. Cuando se cumplan los requisitos establecidos en el párrafo anterior,
el gestor de un motor de búsqueda estará obligado a eliminar de la lista
de resultados, obtenida tras una búsqueda efectuada a partir del nombre
de una persona, los vínculos a páginas web publicadas por terceros y que
contienen información relativa a esta persona, aunque dicho nombre o
información hayan sido lícitamente publicados y no se borren previa o
simultáneamente de estas páginas web.
3. Los responsables de redes sociales suprimirán los datos personales
facilitados durante su minoría de edad por el afectado o por terceros, a
petición del interesado y sin necesidad de invocar justificación
adicional alguna.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 305
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 85 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 85. Derecho de portabilidad.
El usuario de Internet tendrá derecho a recibir y transmitir los
contenidos que haya facilitado en redes sociales y servicios de la
sociedad de la información equivalentes y a que se transmitan
directamente de responsable a responsable cuando sea técnicamente posible
salvo que el
tratamiento de dichos datos sea necesario para el cumplimiento de una
misión de interés público o realizada en el ejercicio de poderes
públicos.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 306
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 86 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 86. Derecho a la intimidad y uso de dispositivos digitales en el
ámbito laboral.
1. Los trabajadores y empleados públicos tendrán derecho a la protección
de su intimidad en el uso de los dispositivos digitales puestos a su
disposición por la empresa.
2. La empresa podrá acceder a los contenidos derivados del uso de medios
digitales facilitados a los trabajadores a los solos efectos de controlar
el cumplimiento de las obligaciones laborales y de garantizar la
integridad de dichos dispositivos.
3. El acceso referido en el párrafo anterior requerirá del cumplimiento de
las siguientes reglas:
a) La empresa acordará con la representación de los trabajadores un
protocolo de utilización de los dispositivos digitales facilitados a los
trabajadores.
b) En defecto del acuerdo anterior, la empresa establecerá un protocolo de
utilización de los dispositivos digitales e informará directamente a los
trabajadores de su alcance y límites.
c) Los protocolos de utilización de dispositivos digitales acordados o
establecidos por la empresa deberán establecer con precisión el alcance
de la expectativa de privacidad del trabajador y, en todo caso, no
anularán las expectativas mínimas de protección de la intimidad de los
trabajadores acordes con los usos sociales y los derechos reconocidos
constitucional y legalmente. El acceso por la empresa al contenido de
dispositivos digitales sobre los que haya admitido usos de naturaleza
privada requerirá que el protocolo de utilización de dispositivos
digitales establezca de modo preciso los usos admitidos y garantías
previstas para preservar la intimidad de los trabajadores. Los
trabajadores serán directamente informados de la existencia y contenido
de los mencionados protocolos.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 307
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 87 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 87. Derecho a la desconexión laboral.
1. Los trabajadores y los empleados públicos tendrán derecho a la
desconexión digital a fin de garantizar, fuera del tiempo de trabajo
legal o convencionalmente establecido, el respeto de su tiempo de
descanso y vacaciones, así como de su intimidad personal y familiar.
2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza
y objeto de la relación laboral, potenciarán el derecho a la conciliación
de la actividad laboral y la vida personal y familiar y serán acordadas
por la empresa y la representación de los trabajadores en el marco de la
negociación colectiva.
3. La empresa, previa audiencia del comité de empresa o de los delegados
de personal, elaborará una política interna dirigida a trabajadores y
directivos en la que definirá las modalidades de ejercicio del derecho a
la desconexión y concretará acciones de formación y de sensibilización
sobre un uso razonable de dispositivos digitales que, además, evite el
riesgo de fatiga informática. En concreto, dicha política interna
preservará el derecho a la desconexión laboral en los supuestos de
realización total o parcial del trabajo a distancia y, especialmente, en
el domicilio del empleado vinculado al uso de dispositivos digitales con
finalidad laboral.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 308
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 88 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 88. Derecho a la intimidad ante la utilización de sistemas
audiovisuales o de geolocalización en el ámbito laboral.
1. Los empleadores podrán tratar los datos obtenidos a través de sistemas
de cámaras, videocámaras o geolocalización para el ejercicio de las
funciones de control de los trabajadores previstas en el Estatuto de los
Trabajadores, siempre que estas funciones se ejerzan dentro de su marco
legal y con los límites inherentes al mismo.
2. En ningún caso se admitirá la instalación de sistemas audiovisuales en
los lugares de descanso o esparcimiento, tales como vestuarios, aseos,
comedores y análogos .
3. Con carácter previo, los empleadores habrán de informar de forma
expresa, clara e inequívoca a los trabajadores acerca de la existencia,
localización y características de estos dispositivos, así como del
alcance disciplinario que derive de los datos obtenidos de los mismos.
4. El empleador deberá informar de forma expresa, precisa e
individualizada a los trabajadores y a sus representantes laborales sobre
los derechos de acceso, rectificación y cancelación de datos.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 309
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 89 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 89. Derechos digitales en la negociación colectiva.
Los Convenios colectivos podrán establecer normas más específicas con
protecciones adicionales y garantías de derechos y libertades en el
tratamiento de datos personales de los trabajadores y en la salvaguarda
de derechos digitales en el ámbito laboral. En particular, esta
singularización de garantías atenderá a la contratación de personal, la
ejecución del contrato laboral, la gestión, planificación y organización
del trabajo, la transferencia de datos personales dentro de un grupo
empresarial o de una unión de empresas dedicadas a una actividad
económica conjunta, la igualdad y diversidad en el lugar de trabajo, la
salud y seguridad en el trabajo, los sistemas de supervisión en el lugar
de trabajo, la protección de los bienes de empleados o clientes, así como
el ejercicio y disfrute, individual o colectivo, de los derechos y
prestaciones relacionados con el empleo y los efectos de la extinción de
la relación laboral.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 310
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 90 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 90. Protección de los menores en Internet.
1. Los padres, madres, tutores, curadores o representantes legales deberán
procurar que los menores de edad hagan un uso equilibrado y responsable
de los dispositivos digitales y de las redes sociales y de los servicios
de la sociedad de la información equivalentes de Internet a fin de
posibilitar su adecuado desarrollo de la personalidad y de preservar su
dignidad y derechos fundamentales.
2. La utilización o difusión de imágenes o información personal de menores
en las redes sociales y servicios de la sociedad de la información
equivalentes que puedan implicar una intromisión ilegítima en sus
derechos fundamentales determinará la intervención del Ministerio Fiscal,
que instará las medidas cautelares y de protección previstas en la Ley
Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
3. Los centros educativos, clubes deportivos, culturales, de ocio o
cualquier entidad que realice actividades en las que participen menores
únicamente publicarán información personal de menores y utilizarán las
redes sociales o los servicios de la sociedad de la información
equivalentes
protegiendo el interés superior del menor, sus derechos fundamentales y,
en particular, garantizando la efectividad de las condiciones impuestas
por la legislación de protección de datos.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 311
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 91 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 91. Libertad de expresión en Internet.
1. Se garantizará la libertad de expresión de todos los usuarios en
Internet.
2. Los responsables de redes sociales, plataformas digitales y servicios
equivalentes de la sociedad de la información garantizarán la veracidad
informativa. A tal fin, se adoptarán y ejecutarán protocolos efectivos
para, previa queja o aviso, eliminar contenidos que atenten contra el
derecho constitucional a comunicar o recibir libremente información veraz
por cualquier medio de difusión.
3. Se garantizará el derecho al honor y a la propia imagen en las redes
sociales, plataformas digitales y servicios equivalentes de la sociedad
de la información. Los responsables de estos servicios de Internet
adoptarán los protocolos necesarios para preservar la dignidad humana,
los mencionados derechos y, en su caso, garantizar la identificación de
los usuarios que los vulneren.
4. Los medios de comunicación digitales admitirán, a petición del
interesado, la publicación en sus archivos digitales de un aviso
aclaratorio sobre noticias que le conciernan y cuya noticia original no
refleje la situación actual del individuo causándole perjuicio. En
particular, procederá la inclusión de dicho aviso cuando las
informaciones digitalizadas se refieran a actuaciones policiales o
judiciales que hayan sido revocadas por decisiones posteriores.
5. Lo previsto por este artículo no será de aplicación a aquellos
servicios de la sociedad de la información que, de acuerdo con su
configuración como servicio de mensajería privada, resulten protegidos
por el secreto de las comunicaciones.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la ley.
ENMIENDA NÚM. 312
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 92 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 92. Derecho al testamento digital.
El acceso a datos personales y contenidos gestionados por prestadores de
servicios de la sociedad de la información sobre personas fallecidas se
regirá por las siguientes reglas:
a) Las personas vinculadas a la persona fallecida por razones familiares o
análogas o cualquiera de sus herederos podrá dirigirse a los prestadores
de servicios de la sociedad de la información al objeto de acceder a
dichos datos y contenidos e impartirles las instrucciones que estimen
oportunas sobre su utilización, destino o supresión. Como excepción, las
personas anteriormente referidas no podrán acceder a los contenidos del
causante, ni solicitar su rectificación o supresión, cuando la persona
fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
b) El albacea testamentario así como aquella persona o institución a la
que el fallecido hubiese designado expresamente para ello también podrá
solicitar, con arreglo a las instrucciones recibidas, el acceso a los
contenidos con vistas a dar cumplimiento a tales instrucciones.
c) En caso de personas fallecidas menores de edad, estas facultades podrán
ejercerse también por sus representantes legales o, en el marco de sus
competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades
podrán ejercerse también, además de por quienes señala la letra anterior,
por quienes hubiesen sido designados para el ejercicio de funciones de
apoyo.
e) Las personas legitimadas en los apartados anteriores decidirán y
comunicarán al responsable del servicio el mantenimiento o eliminación de
los perfiles personales de personas fallecidas en redes sociales o
servicios equivalentes.
Mediante real decreto se establecerán los requisitos y condiciones para
acreditar la validez y vigencia de los citados mandatos e instrucciones
y, en su caso, el registro de los mismos, que podrá coincidir con el
previsto en el artículo 3 de esta ley orgánica.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la Ley.
ENMIENDA NÚM. 313
FIRMANTE:
Grupo Parlamentario Socialista
Artículo 93 (nuevo)
De adición.
Se propone la inclusión de un nuevo artículo con el contenido siguiente:
'Artículo 93. Acciones del Gobierno.
1. El Gobierno elaborará un Plan Nacional de Acceso a Internet con los
siguientes objetivos:
a) Superar las brechas digitales y garantizar el acceso a internet de
colectivos vulnerables o con necesidades especiales y de entornos
familiares y sociales económicamente desfavorecidos mediante, entre otras
medidas, un bono social de acceso a Internet;
b) impulsar la existencia de espacios de conexión de acceso público; y
c) fomentar medidas educativas que promuevan la formación en competencias
y habilidades digitales básicas a personas y colectivos en riesgo de
exclusión digital y la capacidad de todas las personas para realizar un
uso autónomo y responsable de Internet y de las tecnologías digitales.
2. El Gobierno aprobará un Plan de Actuación dirigido a promover las
acciones de formación, difusión y concienciación necesarias para lograr
que los menores de edad hagan un uso equilibrado y responsable de los
dispositivos digitales y de las redes sociales y de los servicios de la
sociedad de la información equivalentes de Internet con la finalidad de
garantizar su adecuado desarrollo de la personalidad y de preservar su
dignidad y derechos fundamentales.
3. El Gobierno presentará un Informe Anual ante la Comisión parlamentaria
correspondiente del Congreso de los Diputados en el que se dará cuenta de
la evolución de los derechos, garantías y mandatos contemplados en el
presente título y de las medidas necesarias para promover su impulso y
efectividad.'
MOTIVACIÓN
En coherencia con la enmienda por la que se establece un nuevo título X en
la Ley.
ENMIENDA NÚM. 314
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional primera
De modificación.
Se propone la siguiente redacción:
'Disposición adicional primera. Medidas de seguridad en el ámbito del
sector público.
1. El Esquema Nacional de Seguridad incluirá las medidas que deban
implantarse en caso de tratamiento de datos de carácter personal, para
evitar su pérdida, alteración o acceso no autorizado, adaptando los
criterios de determinación del riesgo en el tratamiento de los datos a lo
establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley deberán
aplicar a los tratamientos de datos personales las medidas de seguridad
que correspondan de las previstas en el Esquema Nacional de Seguridad,
así como impulsar un grado de implementación de medidas equivalentes en
las empresas o fundaciones vinculadas a los mismos sujetas al Derecho
privado particularmente.
En los casos en los que un tercero preste un servicio en régimen de
concesión, encomienda de gestión o contrato, las medidas de seguridad se
corresponderán con las de la Administración pública de origen.'
MOTIVACIÓN
Suplir una omisión del Proyecto de Ley.
ENMIENDA NÚM. 315
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional segunda
De modificación.
Se propone la siguiente redacción:
'Disposición adicional segunda. Protección de datos y transparencia y
acceso a la información pública.
La publicidad activa y el acceso a la información pública regulados por el
Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a
la información y buen gobierno, así como las obligaciones de publicidad
activa establecidas por la legislación autonómica, se someterán, cuando
la información contenga datos de carácter personal, a lo dispuesto en los
artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en
la presente ley orgánica.'
MOTIVACIÓN
Suplir una omisión del Proyecto.
ENMIENDA NÚM. 316
FIRMANTE:
Grupo Parlamentario Socialista
Disposición adicional segunda bis (nueva)
De adición.
Se propone la adición de una nueva disposición con el contenido siguiente:
'Disposición adicional segunda bis. Datos de las personas fallecidas.
1. Las personas vinculadas al fallecido, por razones familiares o
análogas, o cualquiera de los herederos de una persona fallecida que
acrediten tal condición mediante cualquier medio válido conforme a
Derecho, podrán dirigirse al responsable o encargado del tratamiento al
objeto de solicitar el acceso a los datos personales de aquella y, en su
caso, su rectificación o supresión.
Como excepción, los herederos no podrán acceder a los datos del causante,
ni solicitar su rectificación o supresión, cuando la persona fallecida lo
hubiese prohibido expresamente o así lo establezca una ley.
2. El albacea testamentario así como aquella persona o institución a la
que el fallecido hubiese designado expresamente para ello también podrá
solicitar, con arreglo a las instrucciones recibidas, el acceso a los
datos personales de éste y, en su caso su rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para
acreditar la validez y vigencia de estos mandatos e instrucciones y, en
su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse
también por sus representantes legales o, en el marco de sus
competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a
instancia de cualquier persona física o jurídica interesada.
En caso de fallecimiento de personas con discapacidad, estas facultades
también podrán ejercerse, además de por quienes señala el párrafo
anterior, por quienes hubiesen sido designados para el ejercicio de
funciones de apoyo.'
MOTIVACIÓN
En coherencia con la supresión del artículo 3 y mejora sistemática de
ubicación de la materia.
ENMIENDA NÚM. 317
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional séptima
De supresión.
Se propone la supresión de esta disposición.
MOTIVACIÓN
Por estar ya recogida en la enmienda al artículo 92 del Título X.
ENMIENDA NÚM. 318
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional novena
De modificación.
Se propone la siguiente redacción:
'Disposición adicional novena. Identificación de los interesados en las
notificaciones por medio de anuncios y publicaciones de actos
administrativos.
1. Para la publicación de un acto administrativo que contuviese datos de
carácter personal del afectado se requerirá:
a) La invocación expresa de la base legal para dicha publicación en la
resolución y, en su caso, en la convocatoria.
b) La determinación de los efectos y ámbito de la publicación, optándose
siempre que sea posible por la publicidad a los interesados mediante el
acceso a un entorno cerrado a través de cualquiera de los medios de
identificación previstos en la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas.
c) La verificación previa por el responsable de que no concurren riesgos
para la seguridad del afectado si así fuera advertido por este; en
particular, tratándose de víctimas de violencia de género o cuando deba
prevalecer el interés superior del menor.
d) La identificación del delegado de protección de datos, cuando este sea
obligatorio, facilitando un modo sencillo y sin costes para comunicarse
con el mismo.
2. En aquellos casos en los que la publicación sea imprescindible se
identificará al interesado mediante su nombre y apellidos, añadiendo
cuatro cifras numéricas aleatorias del documento nacional de identidad,
número de identidad de extranjero, pasaporte o
documento equivalente. Cuando la publicación se refiera a una pluralidad
de afectados estas cifras aleatorias deberán alternarse.
3. Cuando se trate de la notificación por medio de anuncios,
particularmente en los supuestos a los que se refiere el artículo 44 de
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas, se identificará al afectado
exclusivamente mediante el número completo de su documento nacional de
identidad, número de identidad de extranjero, pasaporte o documento
equivalente.
4. Cuando el afectado careciera de cualquiera de los documentos
mencionados en los dos párrafos anteriores, se identificará al afectado
únicamente mediante su nombre y apellidos. En ningún caso debe publicarse
el nombre y apellidos de manera conjunta con el número completo del
documento nacional de identidad, número de identidad de extranjero,
pasaporte o documento equivalente.
5. A fin de prevenir riesgos para víctimas de violencia de género, el
Ministerio de Hacienda y Administraciones Públicas y el Consejo General
del Poder Judicial, oídas las consejerías de las comunidades autónomas
con competencia en la materia, la Federación Española de Municipios y
Provincias y el Consejo de Rectores de las Universidades Españolas,
elaborarán un protocolo de colaboración que defina procedimientos seguros
de publicación y notificación de actos administrativos.'
MOTIVACIÓN
Establecer mayores medidas de seguridad en la identificación de los
interesados en las notificaciones por medio de anuncios y publicaciones
de actos administrativos.
ENMIENDA NÚM. 319
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional undécima
De supresión.
Se propone la supresión de esta disposición.
MOTIVACIÓN
Resulta imposible implementar las medidas a que obliga esta ley y el nuevo
Reglamento a coste cero.
ENMIENDA NÚM. 320
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición adicional decimosegunda
De modificación.
Se propone lo siguiente:
'Disposición adicional decimosegunda. Tratamiento de datos de carácter
personal en relación con la notificación de incidentes de seguridad.
Cuando, de conformidad con lo dispuesto en la legislación nacional que
resulte de aplicación, deban notificarse incidentes de seguridad, las
autoridades públicas competentes, equipos de respuesta a emergencias
informáticas (CERT), equipos de respuesta a incidentes de seguridad
informática (CSIRT), proveedores de redes y servicios de comunicaciones
electrónicas y proveedores de tecnologías y servicios de seguridad,
podrán tratar los datos de carácter personal contenidos en tales
notificaciones, exclusivamente durante el tiempo o alcance necesarios
para su análisis, detección, protección y respuesta ante incidentes,
adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de
riesgo determinado.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 321
FIRMANTE:
Grupo Parlamentario Socialista
Disposición adicional decimoctava (nueva)
De adición.
Se propone la adición de una nueva disposición, con el contenido
siguiente:
'Disposición adicional decimoctava. Estándares para la adopción de medidas
de seguridad.
1. Con independencia del cumplimiento de las medidas de seguridad
previstas en el Reglamento (UE) 2016/679 y, en particular, el despliegue
de metodologías de seguridad desde el diseño y análisis de riesgos, las
microempresas y las pequeñas y medianas empresas podrán aplicar las
medidas definidas por el Título VIII del Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal.
2. Corresponderá a la Agencia Española de Protección de Datos, en
colaboración con el Instituto Nacional de Ciberseguridad y, en su caso,
las organizaciones que pudieran definir las normativas específicas en
esta materia, desarrollar estándares de seguridad para microempresas y
pequeñas y medianas empresas que complementen o, en su caso, sustituyan
al referido en el apartado anterior.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 322
FIRMANTE:
Grupo Parlamentario Socialista
Disposición adicional decimonovena (nueva)
De adición.
Se propone la adición de una nueva disposición, con el contenido
siguiente:
'Disposición adicional decimonovena. Colaboración de la Agencia Estatal de
la Administración Tributaria en la recaudación ejecutiva.
La recaudación en vía ejecutiva de las sanciones y demás recursos de la
Agencia podrá ser encomendada a los servicios de la Agencia Estatal de la
Administración Tributaria.'
MOTIVACIÓN
Conveniencia de prever legalmente esta posibilidad para mejorar la
eficacia en la ejecución de las sanciones de la Agencia.
ENMIENDA NÚM. 323
FIRMANTE:
Grupo Parlamentario Socialista
Disposición adicional vigésima (nueva)
De adición.
Se propone la adición de una nueva disposición, con el contenido
siguiente:
'Disposición adicional vigésima. Especialidades del régimen jurídico de la
Agencia Española de Protección de Datos.
1. No será de aplicación a la Agencia Española de Protección de Datos el
artículo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico
del Sector Público.
2. La Agencia Española de Protección de Datos podrá adherirse a los
sistemas de contratación centralizada establecidos por las
Administraciones Públicas y participar en la gestión compartida de
servicios comunes prevista en el artículo 85 de la Ley 40/2015, de
Régimen Jurídico del Sector Público.'
MOTIVACIÓN
Mejora técnica.
ENMIENDA NÚM. 324
FIRMANTE:
Grupo Parlamentario Socialista
Disposición transitoria segunda bis (nueva)
De adición.
Se propone la adición de una nueva disposición, con el contenido
siguiente:
'Disposición transitoria segunda bis. Régimen provisional hasta el
desarrollo del artículo 48.3 de la Ley.
En tanto el Reglamento del Congreso de los Diputados no regule la
composición del Comité Asesor previsto en el apartado 3 del artículo 48,
sus funciones serán ejercidas por un Comité integrado por un experto en
la materia designado, en el término de siete días desde la publicación
en el 'Boletín Oficial del Estado' de la convocatoria pública de
candidatos, por cada grupo parlamentario de la comisión parlamentaria
competente.'
MOTIVACIÓN
En coherencia con la enmienda al apartado 3 del artículo 48.
ENMIENDA NÚM. 325
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición transitoria quinta
De modificación.
Se propone lo siguiente:
'Disposición transitoria quinta. Contratos de encargado del tratamiento.
Los contratos de encargado del tratamiento suscritos con anterioridad al
25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada
en los mismos y, en caso de haberse pactado de forma indefinida, hasta
transcurridos cuatro años desde la citada fecha.
En caso de que los contratos previesen su prórroga al término de su
vencimiento, ya fuera por mutuo acuerdo entre las partes o en ausencia de
denuncia por cualquiera de ellas, la validez máxima del contrato será de
cuatro años a contar desde el 25 de mayo de 2018.'
MOTIVACIÓN
Fijar un criterio cierto que aporte mayor seguridad jurídica.
ENMIENDA NÚM. 326
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición final primera
De modificación.
Se propone lo siguiente:
'Disposición final primera. Naturaleza de la presente Ley.
La presente ley tiene el carácter de ley orgánica, a excepción del Título
IV, el Título VII, salvo el artículo 52, el Título VIII, el Título IX,
los artículos 80, 81, 83, 92 del Título X, las disposiciones adicionales,
salvo la disposición adicional segunda, las disposiciones transitorias y
las disposiciones finales, salvo esta disposición final primera.'
MOTIVACIÓN
En coherencia con las nuevas enmiendas que se han introducido.
ENMIENDA NÚM. 327
FIRMANTE:
Grupo Parlamentario Socialista
A la disposición final segunda
De modificación.
Se propone la siguiente redacción:
'Disposición final segunda. Título competencial.
1. Esta ley orgánica se dicta al amparo del artículo 149.1.1.ª de la
Constitución, que atribuye al Estado la competencia exclusiva para la
regulación de las condiciones básicas que garanticen la igualdad de todos
los españoles en el ejercicio de los derechos y en el cumplimiento de los
deberes constitucionales.
2. El Título VIII, el artículo 92, la disposición adicional cuarta y la
disposición transitoria tercera solo serán de aplicación a la
Administración General del Estado y a sus organismos públicos.
3. Las disposiciones finales tercera y cuarta se dictan al amparo de la
competencia que el artículo 149.1.6.ª de la Constitución atribuye al
Estado en materia de legislación procesal.'
MOTIVACIÓN
En coherencia con enmiendas anteriores.
ENMIENDA NÚM. 328
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final segunda bis (nueva)
De adición.
Se propone la inclusión de una nueva disposición final, con el contenido
siguiente:
'Disposición final segunda bis. Derechos de los menores ante Internet.
El Gobierno, en el plazo de un año desde la entrada en vigor de esta Ley
orgánica, remitirá al Congreso de los Diputados un proyecto de ley
dirigido específicamente a garantizar los derechos de los menores ante el
impacto de Internet, con el fin de garantizar su seguridad y luchar
contra la violencia que sobre los mismos es ejercida mediante las nuevas
tecnologías.'
MOTIVACIÓN
Se propone dar un plazo para suplir una laguna de regulación con
incidencia muy importante sobre la seguridad de los menores.
ENMIENDA NÚM. 329
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final segunda ter (nueva)
De adición.
Se propone la inclusión de una nueva disposición final, con el contenido
siguiente:
'Disposición final segunda ter. Limitaciones al tratamiento de datos
genéticos, biométricos o relativos a la salud.
El Gobierno, en el plazo de un año desde la entrada en vigor de esta ley
orgánica, remitirá al Congreso de los Diputados un proyecto de ley en el
que establecerá condiciones adicionales y, en su caso, limitaciones al
tratamiento de datos genéticos, biométricos o relativos a la salud.'
MOTIVACIÓN
Se propone dar un plazo para establecer normativa adecuada y acorde con
esta nueva regulación de protección de datos, en materia de tratamiento
de datos genéticos, biométricos o relativos a la salud.
ENMIENDA NÚM. 330
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final segunda quater (nueva)
De adición.
Se propone la inclusión de una nueva disposición final, con el contenido
siguiente:
'Disposición final segunda quater. Adecuación de la Ley 25/2007, de 18 de
octubre, a la jurisprudencia del TJUE.
'El Gobierno, en el plazo un año desde la entrada en vigor de esta ley
orgánica, remitirá al Congreso de los Diputados un proyecto de ley de
reforma de la Ley 25/2007, de 18 de octubre, de conservación de datos
relativos a las comunicaciones electrónicas, que la adecue a las
exigencias jurisprudenciales contenidas en las Sentencias del Tribunal de
Justicia de la Unión Europea de 8 de abril de 2014, en que se anuló la
Directiva 2006/24/CE de conservación de datos, y de 21 de diciembre de
2016, que concluyó que el Derecho de la Unión Europea se opone a una
normativa nacional que establezca la conservación generalizada e
indiferenciada de los datos de tráfico y localización de las
comunicaciones electrónicas.
De no aprobarse el proyecto de ley referido en el párrafo anterior, la Ley
25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas, quedará derogada al cumplirse un año desde
la entrada en vigor de la presente ley.'
MOTIVACIÓN
En España, la Ley 25/2007, de 18 de octubre, de conservación de datos
relativos a las comunicaciones electrónicas y a las redes públicas,
traspuso la Directiva 2006/24/CE, de 15 de marzo, de conservación de
datos:
- Imponiendo a las operadoras de telecomunicaciones la obligación general
de conservar 'los datos de todas las comunicaciones electrónicas'
necesarios para identificar el origen y destino de la comunicación, la
identidad de los usuarios o abonados, el momento y duración de la
comunicación, el equipo de comunicación empleado y su localización.
- Estableciendo un plazo general de conservación de 'doce meses' aunque,
reglamentariamente, pueda ampliarse o reducirse el plazo de conservación
para determinados datos o una categoría de datos hasta un máximo de dos
años o un mínimo de seis meses, tomando en consideración el coste del
almacenamiento y conservación de los datos, así como el interés de los
mismos para los fines de investigación, detección y enjuiciamiento de un
delito grave, previa consulta a los operadores.
- Obligando a la cesión de dichos datos a los agentes facultados, previa
autorización judicial, con fines de detección, investigación y
enjuiciamiento de 'delitos graves' contemplados en el Código Penal o en
las leyes penales especiales.
La Sentencia del Tribunal de Justicia de la Unión Europea de 8 de abril de
2014 (Casos 293/12 y 594112 Digital Rights/reiand y Seitlingery otros)
anuló la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15
de marzo de 2006, sobre conservación de datos de tráfico y localización
de comunicaciones electrónicas que perseguía garantizar la disponibilidad
de esos datos con fines de prevención, investigación, detección y
enjuiciamiento de delitos graves -la delincuencia organizada y el
terrorismo- y, a tal fin, obligaba a las compañías proveedoras de estos
servicios a conservar los datos de tráfico y de localización y los
necesarios para identificar al abonado o al usuario.
Para el TJUE, estos datos, considerados en su conjunto, podían
proporcionar indicaciones muy precisas sobre la vida privada de las
personas cuyos datos se conservasen: los hábitos de la vida cotidiana,
los lugares de residencia permanente o temporal, los desplazamientos
diarios u otros, las actividades realizadas, las relaciones sociales y
los medios sociales frecuentados. Por ello, el TJUE concluyó que la
conservación de datos prevista en la Directiva podía condicionar el
ejercicio de la libertad de expresión y posibilitar una extraordinaria
intromisión en la privacidad: la Directiva suponía una injerencia
especialmente grave en los derechos fundamentales a la vida privada y a
la protección de datos de carácter personal, generando en las personas
afectadas el sentimiento de que su vida privada es objeto de una
vigilancia constante.
Así mismo, la Sentencia del TJUE de 21 de diciembre de 2016 (Casos
C-203/15 Tele2 Sverige AB vs. Post-och telestyrelsen y C-698/15 Secretaty
of State far the Home Department vs. Tom Watson y otros) concluyó que el
Derecho de la Unión Europea se opone a una normativa nacional que
establece la conservación generalizada e indiferenciada de los datos de
tráfico y localización de las comunicaciones electrónicas que convierta
el almacenamiento de datos en regla general cuando debería ser la
excepción (en garantía de la confidencialidad de los datos relativos a
las comunicaciones electrónicas).
El TJUE entiende que, si bien es cierto que la eficacia de la lucha contra
la delincuencia grave, especialmente contra la delincuencia organizada y
el terrorismo, puede depender en gran medida del uso de técnicas modernas
de investigación, este objetivo de interés general, por muy fundamental
que sea, no puede por sí solo justificar que una normativa nacional que
establezca la conservación generalizada e indiferenciada de todos los
datos de tráfico y de localización deba ser considerada necesaria a los
efectos de dicha lucha.
En consecuencia, y a todas luces, las principales previsiones de la Ley
25/2007 han sido puestas en cuestión por las referidas Sentencias del
Tribunal de Justicia de la Unión Europea.
ENMIENDA NÚM. 331
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta bis (nueva)
De adición.
Se propone la adición de una nueva disposición final con las siguientes
modificaciones a la Ley Orgánica 5/1985, de 19 de junio, del Régimen
Electoral General:
Uno. El apartado 3 del artículo 39 queda redactado como sigue:
'3. Dentro del plazo anterior, cualquier persona podrá formular
reclamación dirigida a la Delegación Provincial de la Oficina del Censo
Electoral sobre sus datos censales, si bien solo podrán ser tenidas en
cuenta las que se refieran a la rectificación de errores en los datos
personales, a los cambios de domicilio dentro de una misma
circunscripción o a la no inclusión del reclamante en ninguna Sección del
Censo de la circunscripción pese a tener derecho a ello. También serán
atendidas las solicitudes de los electores que se opongan a su inclusión
en las copias del censo electoral que se faciliten a los representantes
de las candidaturas para realizar envíos postales de propaganda
electoral. No serán tenidas en cuenta para la elección convocada las que
reflejen un cambio de residencia de una circunscripción a otra, realizado
con posterioridad a la fecha de cierre del censo para cada elección,
debiendo ejercer su derecho en la sección correspondiente a su domicilio
anterior.'
Dos. Se añade un nuevo artículo 58 bis, con el contenido siguiente:
'Artículo 58 bis. Utilización de medios tecnológicos y datos personales en
las actividades electorales.
1. Conforme a lo establecido en el Considerando 56 del Reglamento (UE)
2016/679, se considera de interés público la recopilación y tratamiento
de datos personales sobre las opiniones políticas de las personas que
realicen los partidos políticos en el marco de sus actividades
electorales únicamente cuando se ofrezcan garantías adecuadas.
2. Cuando la difusión de propaganda electoral en redes sociales o medios
equivalentes se base en la elaboración sistemática y exhaustiva de
perfiles electorales de personas físicas, deberá realizarse una previa
evaluación de impacto relativa a la protección de datos personales en los
términos previstos en el artículo 35 del Reglamento (UE) 2016/679. Dicha
difusión no podrá realizarse cuando se identifique un alto riesgo para
los derechos y libertades de las personas y no se adopten las medidas
necesarias para impedirlo.
Quedan prohibidas las actividades de propaganda electoral basadas en la
elaboración de perfiles electorales en redes sociales o equivalentes
cuando no se informe a sus destinatarios sobre su finalidad, la identidad
del responsable o la entidad contratada para su realización y los
criterios de selección.
3. Los partidos políticos, coaliciones y agrupaciones electorales podrán
utilizar datos personales obtenidos en páginas web y otras fuentes de
acceso público para la realización de actividades políticas durante el
periodo electoral.
4. El envío de propaganda electoral por medios electrónicos o sistemas de
mensajería y la contratación de propaganda electoral en redes sociales o
medios equivalentes no tendrán la consideración de actividad o
comunicación comercial.
5. Las actividades divulgativas anteriormente referidas identificarán de
modo destacado su naturaleza electoral.
6. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio
del derecho de oposición.'
MOTIVACIÓN
Adecuar el Reglamento a las especificidades nacionales y establecer
salvaguardas para impedir casos como el que vincula a Cambridge Analytica
con el uso ilícito de datos de 50 millones de usuarios de Facebook para
mercadotecnia electoral.
ENMIENDA NÚM. 332
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta ter (nueva)
De adición.
Se propone la adición de una nueva disposición final, con el contenido
siguiente:
'Disposición final cuarta ter (nueva). Se modifica la Ley 19/2013, de 9 de
diciembre, de transparencia, acceso a la información pública y buen
gobierno, en los términos siguientes:
Uno. El artículo 15 queda redactado como sigue:
'Artículo 15. Protección de datos personales.
1. Si la información solicitada contuviera datos de carácter personal que
revelen la ideología, afiliación sindical, religión o creencias, el
acceso únicamente se podrá autorizar en caso de que se contase con el
consentimiento expreso y por escrito del afectado, a menos que dicho
afectado hubiese hecho manifiestamente públicos los datos con
anterioridad a que se solicitase el acceso.
2. Si la información incluyese datos personales que hagan referencia al
origen racial, a la salud o a la vida sexual, o contuviera datos
relativos a la comisión de infracciones penales o administrativas que no
conllevasen la amonestación pública al infractor, el acceso solo se podrá
autorizar en caso de que se cuente con el consentimiento expreso del
afectado o si aquél estuviera amparado por una norma con rango de Ley.'
Dos. Se introduce un nuevo artículo 26 bis, con el contenido siguiente:
'Artículo 26 bis. Conservación de la información.
1. Los datos electrónicos y los contenidos de los mensajes de correo
electrónico enviados y recibidos desde cuentas oficiales de quienes
ostenten la condición de alto cargo en la Ley 3/2015, de 30 de marzo,
reguladora del ejercicio del alto cargo de la Administración General del
Estado y en la legislación autonómica equivalente serán conservados por
un periodo de 20 años.
2. El borrado de los mensajes de correo electrónico por el usuario en
ordenadores o a través de servicios de acceso a internet en ningún caso
supondrá la desaparición de la información de la cual existirá siempre
una copia. Se garantizará la conservación íntegra y no manipulable de la
información conservada. Las obligaciones derivadas del párrafo anterior
se extenderán a los proveedores de servicios externos que hubieran
contratado con la administración para la provisión de servicios de correo
electrónico o equivalentes.
3. Las previsiones contenidas en los apartados anteriores no afectarán a
lo dispuesto en la legislación de protección de datos personales, en la
Ley 9/1968, de 5 de abril, sobre secretos oficiales, y en la Ley 16/1985,
de 25 de junio, del Patrimonio Histórico Español.''
MOTIVACIÓN
Adecuación a la nueva normativa de protección de datos. Necesidad de
establecer una regulación legal sobre la materia a efectos de unificar
los protocolos dispersos existentes, aproximando el tiempo de
conservación al tiempo de prescripción de los delitos más graves.
ENMIENDA NÚM. 333
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta quater (nueva)
De adición.
Se propone la adición de una nueva disposición final con el contenido
siguiente:
'Disposición final quater.
Se incluye una nueva letra l) en el apartado 1 del artículo 2 de la Ley
Orgánica 2/2006, de 3 de mayo, de Educación, que queda redactado como
sigue:
'Artículo 2. Fines.
1. [...]
l) La capacitación para garantizar la plena inserción del alumnado en la
sociedad digital y el aprendizaje de un uso seguro de los medios
digitales y respetuoso con la dignidad humana, los valores
constitucionales, los derechos fundamentales y, particularmente, con el
respeto y la garantía de la intimidad individual y colectiva.''
MOTIVACIÓN
Incluir entre los fines a los que se orientará el sistema educativo
español la capacitación del alumnado en la sociedad digital.
ENMIENDA NÚM. 334
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta quinquies (nueva)
De adición.
Se propone la adición de una nueva disposición final con el contenido
siguiente:
'Disposición final cuarta quinquies.
Se incluye una nueva letra l) en el apartado 2 del artículo 46 de la Ley
Orgánica 6/2001, de 21 de diciembre, de Universidades, con el contenido
siguiente:
'2. [...]
l) La formación en el uso y seguridad de los medios digitales y en la
garantía de los derechos fundamentales en Internet.''
MOTIVACIÓN
Incluir entre los derechos y deberes de los estudiantes universitarios la
formación en el uso y seguridad de los medios digitales.
ENMIENDA NÚM. 335
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta sexies (nueva)
De adición.
Se propone la adición de una nueva disposición final con el contenido
siguiente:
'Disposición final cuarta sexies.
Se añade un nuevo artículo que será el 20 bis en el Real Decreto
Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto
refundido de la Ley del Estatuto de los Trabajadores y tendrá el
contenido siguiente:
'Artículo 20 bis. Derecho a la intimidad en el ámbito laboral. Derecho a
la desconexión laboral.
1. Los trabajadores y empleados públicos tendrán derecho a la protección
de su intimidad en el uso de los dispositivos digitales puestos a su
disposición por la empresa.
2. La empresa podrá acceder a los contenidos derivados del uso de medios
digitales facilitados a sus trabajadores a los solos efectos de controlar
el cumplimiento de las obligaciones laborales y de garantizar la
integridad de dichos dispositivos.
3. El acceso referido en el párrafo anterior requerirá del cumplimiento de
las siguientes reglas:
a) La empresa acordará con la representación de los trabajadores un
protocolo de utilización de los dispositivos digitales facilitados a los
trabajadores.
b) En defecto del acuerdo anterior, la empresa establecerá un protocolo de
utilización de los dispositivos digitales e informará directamente a los
trabajadores de su alcance y límites.
c) Los protocolos de utilización de dispositivos digitales acordados o
establecidos por la empresa deberán establecer con precisión el alcance
de la expectativa de privacidad del trabajador y, en todo caso, no
anularán las expectativas mínimas de protección de la intimidad de los
trabajadores acordes con los usos sociales y los derechos reconocidos
constitucional y legalmente. El acceso por la empresa al contenido de
dispositivos digitales sobre los que haya admitido usos de naturaleza
privada requerirá que el protocolo de utilización de dispositivos
digitales establezca de modo preciso los usos admitidos y garantías
previstas para preservar la intimidad de los trabajadores. Los
trabajadores serán directamente informados de la existencia y contenido
de los mencionados protocolos.
5. Los empleadores podrán tratar los datos obtenidos a través de sistemas
de cámaras, videocámaras o geolocalización para el ejercicio de las
funciones de control de los trabajadores previstas en el Estatuto de los
Trabajadores, siempre que estas funciones se ejerzan dentro de su marco
legal y con los límites inherentes al mismo.
En ningún caso se admitirá la instalación de sistemas audiovisuales en los
lugares de descanso o esparcimiento, tales como vestuarios, aseos,
comedores y análogos.
Con carácter previo, los empleadores habrán de informar de forma expresa,
clara e inequívoca a los trabajadores acerca de la existencia,
localización y características de estos dispositivos, así como del
alcance disciplinario que derive de los datos obtenidos de los mismos.
El empleador deberá informar de forma expresa, precisa e individualizada a
los trabajadores y a sus representantes laborales sobre los derechos de
acceso, rectificación y cancelación de datos.
6. Los trabajadores y los empleados públicos tendrán derecho a la
desconexión digital a fin de garantizar, fuera del tiempo de trabajo
legal o convencionalmente establecido, el respeto de su tiempo de
descanso y vacaciones, así como de su intimidad personal y familiar.
Las modalidades de ejercicio de este derecho atenderán a la naturaleza y
objeto de la relación laboral, potenciarán el derecho a la conciliación
de la actividad laboral y la vida personal y familiar
y serán acordadas por la empresa y la representación de los trabajadores
en el marco de la negociación colectiva.
La empresa, previa audiencia del comité de empresa o de los delegados de
personal, elaborará una política interna dirigida a trabajadores y
directivos en la que definirá las modalidades de ejercicio del derecho a
la desconexión y concretará acciones de formación y de sensibilización
sobre un uso razonable de dispositivos digitales que, además, evite el
riesgo de fatiga informática. En concreto, dicha política interna
preservará el derecho a la desconexión laboral en los supuestos de
realización total o parcial del trabajo a distancia y, especialmente, en
el domicilio del empleado vinculado al uso de dispositivos digitales con
finalidad laboral.''
MOTIVACIÓN
En coherencia con la enmienda por la que se introduce un nuevo título X en
la nueva normativa de protección de datos.
ENMIENDA NÚM. 336
FIRMANTE:
Grupo Parlamentario Socialista
Disposición final cuarta septies (nueva)
De adición.
Se propone la adición de una nueva disposición final con el contenido
siguiente:
'Disposición final cuarta septies.
Se añade una nueva letra j) bis en el artículo 14 del Real Decreto
Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto
refundido de la Ley del Estatuto Básico del Empleado Público, que quedará
redactada como sigue:
'j) bis A la intimidad en el uso de dispositivos digitales puestos a su
disposición y al derecho a la desconexión digital conforme a los
protocolos acordados con los representantes sindicales.''
MOTIVACIÓN
En coherencia con la enmienda por la que se introduce un nuevo título X en
la nueva normativa de protección de datos.
ENMIENDA NÚM. 337
FIRMANTE:
Grupo Parlamentario Socialista
A la Exposición de motivos, párrafo I
De modificación.
Se propone la siguiente redacción:
'I
La protección de las personas físicas en relación con el tratamiento de
datos personales es un derecho fundamental con fundamento en el artículo
18.4 de la Constitución Española. Nuestra Constitución fue pionera en la
incorporación de una garantía constitucional frente a los usos de la
informática, no sólo como garantía de los llamados derechos de la vida
privada sino también del entero sistema de derechos fundamentales.
Nuestra Carta Magna dispuso así que 'la ley limitará el uso de la
informática para garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio de sus derechos'. Con ello, se
hacía así eco de los trabajos desarrollados desde finales de la década de
1960 en el Consejo de Europa y en países de nuestro entorno como
Alemania, Suecia y Francia.
El primer desarrollo orgánico del artículo 18.4 de la Constitución
Española, la conocida LORTAD o Ley Orgánica 5/1992, de 29 de octubre,
reguladora del tratamiento automatizado de datos de carácter personal,
con motivo de la traslación a nuestro Ordenamiento del Convenio 108/1981
del Consejo de Europa para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal, precedería en muy
poco tiempo al primer pronunciamiento de nuestro Tribunal Constitucional
en esta materia.
La primera norma sentaría las bases de la futura configuración dogmática
del nuevo derecho fundamental identificando tanto los riesgos que la
norma debía afrontar como el bien jurídico protegido. Se trataba de tener
en cuenta cómo 'el progresivo desarrollo de las técnicas de recolección y
almacenamiento de datos y de acceso a los mismos' había expuesto a la
privacidad a una amenaza potencial antes desconocida. Y se subrayaba en
la LORTAD la diferencia entre privacidad y la intimidad señalando que
'aquélla es más amplia que ésta, pues en tanto la intimidad protege la
esfera en que se desarrollan las facetas más singularmente reservadas de
la vida de la persona -el domicilio donde realiza su vida cotidiana, las
comunicaciones en las que expresa sus sentimientos, por ejemplo-, la
privacidad constituye un conjunto, más amplio, más global, de facetas de
su personalidad que, aisladamente consideradas, pueden carecer de
significación intrínseca pero que, coherentemente enlazadas entre sí,
arrojan como precipitado un retrato de la personalidad del individuo que
éste tiene derecho a mantener reservado. Y si la intimidad, en sentido
estricto, está suficientemente protegida por las previsiones de los tres
primeros párrafos del artículo 18 de la Constitución y por las leyes que
los desarrollan, la privacidad puede resultar menoscabada por la
utilización de las tecnologías informáticas de tan reciente desarrollo'.
Este planteamiento, y la interpretación del Convenio 108/1981, sirvieron
de sustento al Tribunal Constitucional para el primer reconocimiento de
la garantía de la entonces llamada libertad informática. En su sentencia
254/1993, de 20 de julio, el Alto Tribunal señaló que nuestra
Constitución ha incorporado una nueva garantía, 'un instituto que es, en
sí mismo, un derecho o libertad fundamental, el derecho a la libertad
frente a las potenciales agresiones a la dignidad y a la libertad de la
persona provenientes de un uso ilegítimo del tratamiento mecanizado de
datos, lo que la Constitución llama la 'informática' '.
Posteriormente, en la sentencia 11/1998, de 13 de enero, afirmaría que el
párrafo cuarto del artículo 18 de la Constitución incorpora 'un derecho
fundamental autónomo a controlar el flujo de informaciones que conciernen
a cada persona -a la privacidad según la expresión utilizada en la
Exposición de motivos de la LORTAD-, pertenezcan o no al ámbito más
estricto de la intimidad, para así preservar el pleno ejercicio de sus
derechos'. Posición que consolidaría en sucesivos pronunciamientos, como
la sentencia 94/1998, de 4 de mayo, donde confirmaba que nos encontramos
ante un derecho fundamental a la protección de datos por el que se
garantiza a la persona el control sobre sus datos, cualesquiera datos
personales, y sobre su uso y destino, para evitar el tráfico ilícito de
los mismos o lesivo para la dignidad y los derechos de los afectados; de
esta forma, el derecho a la protección de datos se configura como una
facultad del ciudadano para oponerse a que determinados datos personales
sean usados para fines distintos a aquél que justificó su obtención. Por
su parte, en la sentencia 292/2000, de 30 de noviembre, lo considera como
un derecho autónomo e independiente que consiste en un poder de
disposición y
de control sobre los datos personales que faculta a la persona para
decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o
un particular, o cuáles puede este tercero recabar, y que también permite
al individuo saber quién posee esos datos personales y para qué, pudiendo
oponerse a esa posesión o uso.
La Ley Orgánica 5/1992 fue derogada por la Ley Orgánica 15/1999, de 5 de
diciembre, de protección de datos de carácter personal, a fin de
trasponer a nuestro Derecho a la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos. Esta ley orgánica
supuso un segundo hito en la evolución de la regulación del derecho
fundamental a la protección de datos en España y se complementó con una
cada vez más abundante jurisprudencia procedente de los órganos de la
jurisdicción contencioso-administrativa.
En segundo lugar, también se recoge en el artículo 8 de la Carta de los
Derechos Fundamentales de la Unión Europea; y en el artículo 16.1 del
Tratado de Funcionamiento de la Unión Europea. Anteriormente, a nivel
europeo, se había adoptado la Directiva 95/46/CE citada, cuyo objeto era
procurar que la garantía del derecho a la protección de datos de carácter
personal no supusiese un obstáculo a la libre circulación de los datos en
el seno de la Unión, estableciendo así un espacio común de garantía del
derecho que, al propio tiempo, asegurase que en caso de transferencia
internacional de los datos, su tratamiento en el país de destino
estuviese protegido por salvaguardas adecuadas a las previstas en la
propia Directiva.'
MOTIVACIÓN
El párrafo resulta impreciso en la determinación del nacimiento y
reconocimiento del derecho fundamental a la protección de datos en
nuestro sistema constitucional. Por otra parte, en la redacción se
utilizan términos que definen con imprecisión la realidad histórica de
los acontecimientos. Así la conocida como LORTAD no fue 'reemplazada',
sino que se inició su tramitación como proyecto de reforma para acabar
siendo una ley derogatoria. Esta defectuosa técnica legislativa fue
expresamente puesta de manifiesto en el debate de la norma en el Congreso
de los Diputados por el Grupo Socialista.
ENMIENDA NÚM. 338
FIRMANTE:
Grupo Parlamentario Socialista
A la Exposición de motivos, apartado V (nuevo)
De adición.
Se propone la adición de un nuevo apartado V con el contenido siguiente:
'V
Internet se ha convertido en una realidad omnipresente tanto en nuestra
vida personal como colectiva. Una gran parte de nuestra actividad
profesional, económica y privada se desarrolla en la Red y adquiere una
importancia fundamental tanto para la comunicación humana como para el
desarrollo de nuestra vida en sociedad. Ya en los años noventa, y
conscientes del impacto que iba a producir Internet en nuestras vidas,
los pioneros de la Red propusieron elaborar una Declaración de los
Derechos del Hombre y del Ciudadano en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el
mundo de las redes ofrece a la ciudadanía. Corresponde a los poderes
públicos impulsar políticas hagan efectivos los derechos de la ciudadanía
en Internet promoviendo la igualdad de los ciudadanos y de los grupos en
los que se integran para hacer posible el pleno ejercicio de los derechos
fundamentales en la realidad digital. La transformación digital de
nuestra sociedad es ya una realidad en nuestro
desarrollo presente y futuro tanto a nivel social como económico. En este
contexto, países de nuestro entorno ya han aprobado normativa que
refuerza los derechos digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances
tecnológicos provocarían en nuestra sociedad y, en particular, en el
disfrute de los derechos fundamentales. Una deseable futura reforma de la
Constitución debería incluir entre sus prioridades la actualización de la
Constitución a la era digital y, específicamente, elevar a rango
constitucional una nueva generación de derechos digitales. Pero, en tanto
no se acometa este reto, el legislador debe abordar el reconocimiento de
un sistema de garantía de los derechos digitales que, inequívocamente,
encuentra su anclaje en el mandato impuesto por el apartado cuarto del
artículo 18 de la Constitución Española y que, en algunos casos, ya han
sido perfilados por la jurisprudencia ordinaria, constitucional y
europea.
Por lo anteriormente reseñado, el título X de esta Ley acomete la tarea de
reconocer y garantizar un elenco de derechos digitales de los ciudadanos
conforme al mandato establecido en la Constitución. En particular, son
objeto de regulación los derechos y libertades predicables al entorno de
Internet como la neutralidad de la Red y el acceso universal o los
derechos a la seguridad y educación digital así como los derechos al
olvido, a la portabilidad y al testamento digital. Ocupa un lugar
relevante el reconocimiento del derecho a la desconexión digital en el
marco del derecho a la intimidad en el uso de dispositivos digitales en
el ámbito laboral y la protección de los menores en Internet. Finalmente,
resulta destacable la garantía de la libertad de expresión y la veracidad
informativa en la Red.'
MOTIVACIÓN
Asegurar la coherencia de la Exposición de motivos con el conjunto de
enmiendas propuestas en materia de derechos digitales.
A la Mesa de la Comisión de Justicia
El Grupo Parlamentario Popular en el Congreso, al amparo de lo dispuesto
en el artículo 110 y siguientes del Reglamento de la Cámara, presenta las
siguientes enmiendas al articulado del Proyecto de Ley Orgánica de
Protección de Datos de Carácter Personal.
Palacio del Congreso de los Diputados, 3 de abril de 2018.-Rafael Antonio
Hernando Fraile, Portavoz del Grupo Parlamentario Popular en el Congreso.
ENMIENDA NÚM. 339
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la Exposición de motivos
De modificación.
Se modifica el apartado I, párrafo cuarto, de la Exposición de motivos,
que tendrá la siguiente redacción:
'Por otra parte, también se recoge en el artículo 8 de la Carta de los
Derechos Fundamentales de la Unión Europea; y en el artículo 16.1 del
Tratado de Funcionamiento de la Unión Europea. Anteriormente, a nivel
europeo, se había adoptado la Directiva 95/46/CE citada, cuyo objeto era
procurar que la garantía del derecho a la protección de datos de carácter
personal no supusiese un obstáculo a la libre circulación de los datos en
el seno de la Unión, estableciendo así un espacio común de garantía del
derecho que, al propio tiempo, asegurase que en caso de transferencia
internacional de los datos, su tratamiento en el país de destino estuviese
protegido por salvaguardas adecuadas a las previstas en la propia
directiva.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 340
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la Exposición de motivos
De modificación.
Se modifica el apartado IV, párrafo tercero, de la Exposición de motivos,
que tendrá la siguiente redacción:
'Destaca la novedosa regulación de los datos referidos a las personas
fallecidas, pues, tras excluir del ámbito de aplicación de la ley su
tratamiento, se permite que los herederos puedan solicitar el acceso a
los mismos, así como su rectificación o supresión, en su caso con
sujeción a las instrucciones del fallecido, que por lo demás se podrán
incorporar a un registro. También excluye del ámbito de aplicación los
tratamientos que se rijan por disposiciones específicas, en referencia,
entre otras, a la normativa que transponga la citada Directiva (UE)
2016/680, previéndose en la disposición transitoria cuarta la aplicación
a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre,
hasta que se apruebe la citada normativa.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 341
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la Exposición de motivos
De modificación.
Se modifica el apartado IV, párrafo cuarto, de la Exposición de motivos,
que tendrá la siguiente redacción:
'En el Título II, 'Principios de protección de datos', se establece que a
efectos del Reglamento (UE) 2016/679 no serán imputables al responsable
del tratamiento, siempre que este haya adoptado todas las medidas
razonables para que se supriman o rectifiquen sin dilación, la
inexactitud de los datos obtenidos directamente del afectado, cuando
hubiera recibido los datos de otro responsable en virtud del ejercicio
por el afectado del derecho a la portabilidad, o cuando
el responsable obtuviese del mediador o intermediario cuando las normas
aplicables al sector de actividad al que pertenezca el responsable del
tratamiento establezcan la posibilidad de intervención de un
intermediario o mediador. También se recoge expresamente el deber de
confidencialidad, el tratamiento de datos amparado por la ley, las
categorías especiales de datos y el tratamiento de datos de naturaleza
penal, se alude específicamente al consentimiento, que ha de proceder de
una declaración o de una clara acción afirmativa del afectado, excluyendo
lo que se conocía como 'consentimiento tácito', se indica que el
consentimiento del afectado para una pluralidad de finalidades será
preciso que conste de manera específica e inequívoca que se otorga para
cada una de ellas, y se fija la edad a partir de la cual el menor puede
prestar su consentimiento en trece años para asimilar el sistema español
al de otros Estados de nuestro entorno.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 342
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la Exposición de motivos (párrafo nuevo)
De adición.
Se añade un nuevo párrafo séptimo al apartado IV de la Exposición de
motivos, que tendrá la siguiente redacción:
'También en relación con el tratamiento de categorías especiales de datos,
el artículo 9.2 consagra el principio de reserva de ley para su
habilitación en los supuestos previstos en el Reglamento (UE) 2016/679.
Dicha previsión no sólo alcanza a las disposiciones que pudieran
adoptarse en el futuro, sino que permite dejar a salvo las distintas
habilitaciones legales actualmente existentes, tal y como se indica
específicamente, respecto de la legislación sanitaria y aseguradora, en
la disposición adicional decimonovena. El Reglamento general de
protección de datos no afecta a dichas habilitaciones, que siguen
plenamente vigentes, permitiendo incluso llevar a cabo una interpretación
extensiva de las mismas, como sucede, en particular, en cuanto al alcance
del consentimiento del afectado o el uso de sus datos sin consentimiento
en el ámbito de la investigación biomédica.'
JUSTIFICACIÓN
En correlación con la enmienda relativa a la inclusión de una nueva
disposición adicional decimonovena se hace necesario clarificar en la
Exposición de motivos del Proyecto que ni el Reglamento (UE) 2016/679 ni
el propio texto suponen modificación alguna en el régimen actualmente
vigente en materia de sanidad, que se encontrarían amparadas en las
distintas habilitaciones legales establecidas en el artículo 9.2 del
Reglamento (UE) 2016/679.
ENMIENDA NÚM. 343
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 4
De modificación.
Se modifica el artículo 4, que tendrá la siguiente redacción:
'Artículo 4. Exactitud de los datos.
1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos
serán exactos y, si fuere necesario, actualizados.
2. A los efectos previstos en el artículo 5.1.d) del Reglamento (UE)
2016/679, no será imputable al responsable del tratamiento, siempre que
éste haya adoptado todas las medidas razonables para que se supriman o
rectifiquen sin dilación, los datos personales que sean inexactos con
respecto a los fines para los que se tratan:
a) La inexactitud de los datos obtenidos directamente del afectado.
b) La inexactitud de los datos que el responsable obtuviese del mediador o
intermediario cuando las normas aplicables al sector de actividad al que
pertenezca el responsable del tratamiento establezcan la posibilidad de
intervención de un intermediario o mediador que recoja en nombre propio
los datos de los afectados para su transmisión al responsable. El
mediador o intermediario asumirá las responsabilidades que pudieran
derivarse en el supuesto de comunicación al responsable de datos que no
se correspondan con los facilitados por el afectado.
c) La inexactitud de los datos que un responsable someta a tratamiento
cuando hubiera recibido los datos de otro responsable en virtud del
ejercicio por el afectado del derecho a la portabilidad conforme al
artículo 20 del Reglamento (UE) 2016/679 y el artículo 17 de esta Ley
Orgánica.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 344
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 2 del artículo 7
De modificación.
Se modifica el apartado 2 del artículo 7, que tendrá la siguiente
redacción:
'Artículo 7. Consentimiento de los menores de edad.
[...]
2. El tratamiento de los datos de los menores de trece años, fundado en el
consentimiento, solo será lícito si consta el del titular de la patria
potestad o tutela, con el alcance que determinen los titulares de la
patria potestad o tutela.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 345
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 20
De modificación.
Se modifica el apartado 1, letra d), del artículo 20, que tendrá la
siguiente redacción:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos
personales relativos al incumplimiento de obligaciones dinerarias,
financieras o de crédito por sistemas comunes de información crediticia
cuando se cumplan los siguientes requisitos:
[...]
d) Que los datos únicamente se mantengan en el sistema mientras persista
el incumplimiento, con el límite máximo de cinco años desde la fecha de
vencimiento de la obligación dineraria, financiera o de crédito.
[...]'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 346
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 20
De modificación.
Se modifica el apartado 1, letra e), del artículo 20, que tendrá la
siguiente redacción:
'Artículo 20. Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá licito el tratamiento de datos
personales relativos al incumplimiento de obligaciones dinerarias,
financieras o de crédito por sistemas comunes de información crediticia
cuando se cumplan los siguientes requisitos:
[...]
e) Que los datos referidos a un deudor determinado solamente puedan ser
consultados en los supuestos previstos en la Ley 16/2011, de 24 de junio,
de Contratos de Crédito al Consumo, así como cuando quien consulte el
sistema mantuviese una relación contractual con el afectado que implique
el abono de una cuantía pecuniaria o este le hubiera solicitado la
celebración de un contrato que suponga financiación, pago aplazado o
facturación periódica.
Cuando se hubiera ejercitado ante el sistema el derecho a la limitación
del tratamiento de los datos impugnando su exactitud conforme a lo
previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema
informará a quienes pudieran consultarlo con arreglo al párrafo anterior
acerca de la mera existencia de dicha circunstancia, sin facilitar los
datos concretos respecto de los que se hubiera ejercitado el derecho, en
tanto resuelve sobre la solicitud del afectado.'
JUSTIFICACIÓN
El ejercicio por parte de un deudor cierto de su derecho de limitación del
tratamiento como complementario del ejercicio del derecho de cancelación
podría implicar que datos referidos a adeudas ciertas, vencidas,
exigibles e impagadas pudieran temporalmente no ser accesibles por las
entidades legalmente habilitadas para acceder al sistema de información
crediticia.
El artículo 18.2 del Reglamento (UE) 2016/679 excepciona de la limitación
del tratamiento los supuestos en los que el ejercicio del derecho pudiera
perjudicar los derechos de otra persona física o jurídica.
Se opta por no establecer una regla general de prohibición de la
limitación del tratamiento, mostrando los datos respecto de los que se
hubiera ejercido el derecho, pero permitiendo que quienes consulten el
sistema puedan conocer que existen datos respecto de los cuales se ha
solicitado la mencionada limitación, garantizando así el principio de
minimización en el tratamiento.
ENMIENDA NÚM. 347
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 5 del artículo 22
De modificación.
Se modifica el apartado 5 del artículo 22, que tendrá la siguiente
redacción:
'Artículo 22. Tratamientos con fines de videovigilancia.
5. Los empleadores podrán tratar los datos obtenidos a través de sistemas
de cámaras o videocámaras para el ejercicio de las funciones de control
de los trabajadores previstas en el artículo 20.3 del Estatuto de los
Trabajadores, siempre que estas funciones se ejerzan dentro de su marco
legal y con los límites inherentes al mismo. Los empleadores habrán de
informar a los trabajadores acerca de esta medida.
En el supuesto de que las imágenes hayan captado la comisión flagrante de
un acto ilícito por los trabajadores bastará haber facilitado la
información a la que se refiere el apartado anterior.'
JUSTIFICACIÓN
La reciente sentencia del Tribunal Europeo de Derecho Humanos de 9 de
enero de 2018 (asunto López Ribalda y otros contra España) viene a
consolidar la jurisprudencia ya mantenida por el Tribunal Constitucional
y el Tribunal Supremo en el sentido de que el tratamiento de las imágenes
de los empleados
a través de sistemas de videocámaras solo será posible cuando los mismos
hayan sido informados acerca de aquel, aun cuando fuera de forma
genérica.
Generalmente, cuando el empleador pretenda llevar a cabo este tratamiento
en el marco de las potestades de control que le atribuye el artículo 20.3
del Estatuto de los Trabajadores, les habrá facilitado previamente la
información exigida por el citado precepto.
No obstante, es posible que en ocasiones las cámaras, no instaladas con
una finalidad de control laboral, sino con la de preservar la seguridad e
integridad de las personas e instalaciones, capten actuaciones de los
empleados que supongan una flagrante vulneración de sus obligaciones. En
este caso, y de conformidad con la citada sentencia del Tribunal Europeo
de Derecho Humanos solo será posible el tratamiento de las imágenes si
existe cuando menos una previa información genérica a la que haya podido
tener acceso el empleado.
De este modo, es necesario reemplazar el texto actual del párrafo segundo
del artículo 22.5 del Proyecto de Ley Orgánica, en que no se prevé esta
previa información, en el sentido de considerar necesario que el empleado
haya podido tener conocimiento de la información que, con carácter
general, exige el artículo 22.4; es decir, que exista un dispositivo
informativo en lugar suficientemente visible.
Al propio tiempo, y desde el punto de vista de técnica normativa, la
legislación reguladora de protección de datos no parece la adecuada para
determinar el valor probatorio de las imágenes que hubiesen sido objeto
de tratamiento, debiendo limitarse a regular los requisitos en que dicho
tratamiento deberá tener lugar.
ENMIENDA NÚM. 348
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 4 del artículo 23
De modificación.
Se modifica el apartado 4 del artículo 23, que tendrá la siguiente
redacción:
'Artículo 23. Sistemas de exclusión publicitaria.
[...]
4. Quienes pretendan realizar comunicaciones comerciales, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran
afectar a su actuación, excluyendo del tratamiento los datos de los
afectados que hubieran manifestado su oposición o negativa al mismo. A
estos efectos, para considerar cumplida la obligación anterior será
suficiente la consulta de los sistemas de exclusión publicitaria
incluidos en la relación publicada por la Agencia Española de Protección
de Datos.
No será necesario realizar la consulta a la que se refiere el párrafo
anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en
esta Ley Orgánica, su consentimiento para recibir la comunicación a quien
pretenda realizarla.'
JUSTIFICACIÓN
La existencia de sistemas de exclusión de publicidad y la obligación de su
consulta no debe afectar a la posibilidad de que las empresas puedan
remitir comunicaciones comerciales a aquellas personas que previamente
les hubieran prestado el consentimiento para ello, siempre que el
consentimiento cumpla los requisitos previstos en la propia norma.
ENMIENDA NÚM. 349
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 4 del artículo 24
De modificación.
Se modifica el apartado 4 del artículo 24, que tendrá la siguiente
redacción:
'Artículo 24. Sistemas de información de denuncias internas en el sector
privado.
[...]
4. Los datos de quien formule la comunicación y de los empleados y
terceros deberán conservarse en el sistema de denuncias únicamente
durante el tiempo imprescindible para decidir sobre la procedencia de
iniciar una investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos,
deberá procederse a su supresión del sistema de denuncias, salvo que la
finalidad de la conservación sea dejar evidencia del funcionamiento del
modelo de prevención de la comisión de delitos por la persona jurídica;
en tal supuesto, las denuncias a las que no se haya dado curso solamente
podrán constar de forma anonimizada, sin que sea de aplicación la
obligación de bloqueo prevista en el artículo 32 de esta ley orgánica,
Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán
seguir siendo tratados, por el órgano al que corresponda conforme al
apartado 2 la investigación de los hechos denunciados, no conservándose
en el propio sistema de información de denuncias internas, sin perjuicio
de la obligación de denuncia prevista en la Ley de Enjuiciamiento
Criminal ante la autoridad competente.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 350
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 34
De modificación.
Se modifica el apartado 1, letra ñ), del artículo 34, que tendrá la
siguiente redacción:
'Artículo 34. Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar un
delegado de protección de datos en los supuestos previstos en el artículo
37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las
siguientes entidades:
[...]
ñ) Quienes desempeñen las actividades reguladas por el Capítulo I del
Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.'
JUSTIFICACIÓN
Procede distinguir entre las empresas de seguridad privada, a las que se
refiere el Capítulo I del Título II de la Ley de Seguridad Privada y los
despachos de detectives, contemplados en el Capítulo II del mismo título.
Para estos últimos, formados mayoritariamente por autónomos, la
obligación de designar un delegado de protección de datos puede no estar
siempre justificada, ya que su actividad no tiene por qué suponer un
tratamiento de datos a gran escala ni la realización de seguimientos
regulares y sistemáticos. De esta forma, la modificación propuesta acota
el ámbito de aplicación de la norma a las empresas de seguridad privada,
evitando extender a los despachos de detectives la obligación de designar
un delegado de protección de datos.
ENMIENDA NÚM. 351
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 2 del artículo 41
De modificación.
Se modifica el apartado 2 del artículo 41, que tendrá la siguiente
redacción:
'Artículo 41. Supuestos de adopción por la Agencia Española de Protección
de Datos.
[...]
2. La Agencia Española de Protección de Datos podrá aprobar normas
corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del
Reglamento (UE) 2016/679.
El procedimiento se iniciará a instancia de una entidad situada en España
y tendrá una duración máxima de nueve meses. Quedará suspendido como
consecuencia de la remisión del expediente al Comité Europeo de
Protección de Datos para que emita el dictamen al que se refiere el
artículo 64.1.f) del Reglamento (UF) 2016/679, y continuará tras su
notificación a la Agencia Española de Protección de Datos.'
JUSTIFICACIÓN
El procedimiento de aprobación de las normas corporativas vinculantes como
habilitadoras de las transferencias internacionales de datos suele
requerir la existencia de trámites, normalmente informales, de
comunicación entre las distintas autoridades de control de los Estados
Miembros que cuentan con establecimientos y empresas del Grupo. El
carácter informal del procedimiento imposibilita su suspensión salvo
cuando el expediente hubiera de remitirse al Comité Europeo de Protección
de Datos. De este modo, si bien es posible una reducción del plazo de un
año inicialmente previsto en el Proyecto éste no debería ser inferior a
nueve meses.
ENMIENDA NÚM. 352
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 42
De modificación.
Se modifica el apartado 1 letra b) del artículo 42, que tendrá la
siguiente redacción:
'Artículo 42. Supuestos sometidos a autorización previa de las autoridades
de protección de datos.
1. Las transferencias internacionales de datos a países u organizaciones
internacionales que no cuenten con decisión de adecuación aprobada por la
Comisión o que no se amparen en alguna de las garantías previstas en el
artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679,
requerirán una previa autorización de la Agencia Española de Protección
de Datos o, en su caso, autoridades autonómicas de protección de datos,
que podrá otorgarse en los siguientes supuestos:
[...]
b) Cuando la transferencia se lleve a cabo por alguno de los responsables
o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y
se funde en disposiciones incorporadas a acuerdos internacionales no
normativos con otras autoridades u organismos públicos de terceros
Estados, que incorporen derechos efectivos y exigibles para los
afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de seis meses.'
JUSTIFICACIÓN
Se reduce a la mitad del que consta en el Proyecto el plazo para la
autorización de transferencias internacionales en los supuestos previstos
en el artículo 42, a fin de conciliar la dificultad en la tramitación del
procedimiento con el principio de celeridad en la actuación
administrativa.
ENMIENDA NÚM. 353
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 49
De modificación.
Se introduce una nueva letra h) en el apartado 1 del artículo 49, y se
renumeran las siguientes letras, con la siguiente redacción:
'Artículo 49. Consejo Consultivo de la Agencia.
1. El Presidente de la Agencia Española de Protección de Datos estará
asesorado por un Consejo Consultivo compuesto por los siguientes
miembros:
[...]
h) Un representante de las organizaciones que agrupan a los Consejos
Generales, Superiores y Colegios Profesionales de ámbito estatal de las
diferentes profesiones colegiadas, propuesto por el Ministro de
Justicia.'
JUSTIFICACIÓN
Se introduce una nueva letra h) en el apartado 1, con el correspondiente
cambio de letras en los siguientes supuestos.
Las profesiones colegiadas conforman un subsector del sector servicios,
que está caracterizado por la pertenencia a un Colegio Profesional cuyos
fines son la ordenación y control del ejercicio profesional de aquellas
profesiones cuyas actividades afectan a los derechos de los ciudadanos,
especialmente en los ámbitos de la salud y la seguridad en todos los
órdenes. Por tanto, estos fines son de interés general y se corresponden
con las funciones públicas que los Colegios Profesionales y sus Consejos
Generales tienen atribuidas por la ley.
El artículo 36 de la Constitución Española, recoge que:
'La ley regulará las peculiaridades propias del régimen jurídico de los
Colegios Profesionales y el ejercicio de las profesiones tituladas. La
estructura interna y el funcionamiento de los Colegios deberán ser
democráticos.'
Esta previsión constitucional recogida en la Sección de Derechos y Deberes
de los ciudadanos, y la extensa doctrina jurisprudencial del Tribunal
Constitucional sitúan a los Colegios Profesionales y sus Consejos
Generales como Administraciones Públicas en la medida que ejercen
funciones públicas atribuidas ex-lege.
El ejercicio profesional de las profesiones colegiadas se produce
característicamente en ámbitos de privacidad, de secreto profesional y
deontología para la facilitación del ejercicio por los ciudadanos de los
Derechos Fundamentales y los derivados de ellos, lo que implica el
tratamiento de datos sensibles y por ello supone un riesgo notable,
frecuentemente alto, lo cual requiere una específica participación de una
representación en el Consejo Consultivo que asesore a la Agencia Española
de Protección de Datos (AEPD).
Los Consejos Generales de Colegios Profesionales y los Colegios
Profesionales de ámbito estatal, como entidades que ordenan el ejercicio
profesional conforman organizaciones colegiales que pueden y deben ser
prescriptores de conductas conducentes al cumplimiento de la normativa de
protección de datos, trasladando pautas, guías, advertencias y
herramientas específicas en toda su estructura para que todos los
profesionales asuman el cumplimiento proactivo de la norma, así como la
aportación al Consejo Consultivo de elementos de hecho y problemáticas
reales que conforman la labor consultiva.
ENMIENDA NÚM. 354
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 64
De modificación.
Se modifica el artículo 64, que tendrá la siguiente redacción:
'Artículo 64. Forma de iniciación del procedimiento y duración.
1. Cuando el procedimiento se refiera exclusivamente a la falta de
atención de una solicitud de ejercicio de los derechos establecidos en
los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por
acuerdo de admisión a trámite, que se adoptará conforme a lo establecido
en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a
contar desde la fecha en que hubiera sido notificado al reclamante el
acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado
podrá considerar estimada su reclamación.
2. Cuando el procedimiento tenga por objeto la determinación de la posible
existencia de una infracción de lo dispuesto en el Reglamento (UE)
2016/679 y la presente ley orgánica, se iniciará mediante acuerdo de
inicio adoptado por propia iniciativa o como consecuencia de reclamación.
Si el procedimiento se fundase en una reclamación formulada ante la
Agencia Española de Protección de Datos, con carácter previo, ésta
decidirá sobre su admisión a trámite, conforme a lo dispuesto en el
artículo 65 de esta ley orgánica.
Cuando fuesen de aplicación las normas establecidas en el artículo 60 del
Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la
adopción del proyecto de acuerdo de inicio de procedimiento sancionador,
del que se dará conocimiento formal al interesado a los efectos previstos
en el artículo 75 de esta ley orgánica.
Admitida a trámite la reclamación así como en los supuestos en que la
Agencia Española de Protección de Datos actúe por propia iniciativa, con
carácter previo al acuerdo de inicio, podrá existir una fase de
actuaciones previas de investigación, que se regirá por lo previsto en el
artículo 67 de esta ley orgánica.
El procedimiento tendrá una duración máxima de nueve meses a contar desde
la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de
inicio. Transcurrido ese plazo se producirá su caducidad, y en
consecuencia, el archivo de actuaciones.
3. El procedimiento podrá también tramitarse como consecuencia de la
comunicación a la Agencia Española de Protección de Datos por parte de la
autoridad de control de otro Estado miembro de la Unión Europea de la
reclamación formulada ante la misma, cuando la Agencia Española de
Protección de Datos tuviese la condición de autoridad de control
principal para la tramitación de un procedimiento conforme a lo dispuesto
en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso
de aplicación lo dispuesto en el apartado 1 y en los párrafos primero,
tercero, cuarto y quinto del apartado 2.
4. Los plazos de tramitación establecidos en este artículo así como los de
admisión a trámite regulado por el artículo 65.5 y de duración de las
actuaciones previas de investigación previsto en el artículo 67.2,
quedarán automáticamente suspendidos cuando deba recabarse información,
consulta, solicitud de asistencia o pronunciamiento preceptivo de un
órgano u organismo de la Unión Europea o de una o varias autoridades de
control de los Estados miembros conforme con lo establecido en el
Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la
notificación del pronunciamiento a la Agencia Española de Protección de
Datos.'
JUSTIFICACIÓN
El Reglamento (UE) 2016/679 introduce un régimen especialmente complejo en
la regulación de los procedimientos que habrán de tramitarse por las
autoridades de control en caso de apreciarse la existencia de una posible
contravención de sus normas.
Así, por una parte, se establece un régimen específico aplicable a los
supuestos en los que se plantee ante dicha autoridad un reclamación
referida a dicha vulneración, lo que englobaría tanto aquellos
procedimientos en los que, al amparo del artículo 18 de la vigente Ley
Orgánica 15/1999 simplemente se solicite la tutela de uno de los derechos
establecidos en las normas de protección de datos, como los de carácter
propiamente sancionador.
Asimismo, los artículos 56 y 60 del Reglamento establecen determinados
procedimientos de cooperación y coherencia en los supuestos en los que,
de una u otra forma, sean varias las autoridades de protección de datos
de los distintos Estados Miembros las afectadas por la decisión final que
pudiera adoptarse. Así, se distingue entre procedimientos nacionales,
procedimientos puramente transfronterizos y procedimientos
transfronterizos con relevancia local, en que las autoridades de control
pueden tener la condición de autoridad principal, autoridad del
reclamante o autoridad interesada.
Todo ello hace difícilmente aplicables a estos procedimientos las normas
del procedimiento administrativo común, que como prevé el artículo 63 del
Proyecto será únicamente de aplicación subsidiaria, y no supletoria, a
estos procedimientos. Al propio tiempo, ello exige clarificar de forma
nítida los trámites del procedimiento, empezando por su propia
iniciación, así como sus plazos de duración, que deberán variar
atendiendo a la naturaleza de lo solicitado, cuando existiera una
reclamación.
Por este motivo, se hace preciso que el texto legal clarifique los
distintos modos de iniciación del procedimiento y los plazos de duración
de los mismos, para lo cual se distingue entre los procedimientos de
atención de los derechos (los actuales procedimientos de tutela), que
tendrán una duración lógicamente menor y no serán precedidos de una fase
previa de actuaciones de investigación, los procedimientos
propiamente sancionadores, diferenciando los supuestos en que existe o no
reclamación y los procedimientos procedentes de reclamaciones formuladas
ante otras autoridades de control en que la autoridad española tenga la
condición de autoridad principal.
Del mismo modo, será preciso incluir, dentro de los supuestos de
suspensión del procedimiento no sólo aquéllos en los que sea exigible la
emisión de un dictamen por el Comité Europeo de Protección de Datos,
creado por el Reglamento, sino también de los supuestos en que el
artículo 60 de dicha norma impone la adopción de un proyecto de decisión,
sometido al parecer de las restantes autoridades de control, que podrán
emitir en relación con el mismo las correspondientes objeciones
pertinentes y motivadas.
ENMIENDA NÚM. 355
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A los apartados 1, 4 y 5 del artículo 65
De modificación.
Se modifican los apartados 1, 4 y 5 del artículo 65 en los siguientes
términos:
'Artículo 65. Admisión a trámite de las reclamaciones.
1. Cuando se presentase ante la Agencia Española de Protección de datos
una reclamación, ésta deberá evaluar su admisibilidad a trámite, de
conformidad con las previsiones de este artículo.
[...]
4. Cuando las reclamaciones no se hayan formulado previamente ante el
delegado de protección de datos designado por el encargado o responsable
del tratamiento o ante el organismo de supervisión establecido para la
aplicación de los códigos de conducta, la Agencia podrá remitírselas,
antes de resolver sobre la admisión a trámite, a los efectos previstos en
los artículos 37 y 38.2 de esta ley orgánica.
La Agencia Española de Protección podrá igualmente remitir la reclamación
al responsable o encargado del tratamiento cuando no se hubiera designado
un delegado de protección de datos ni estuviera adherido a mecanismos de
resolución extrajudicial de conflictos, en cuyo caso el responsable o
encargado deberá dar respuesta a la reclamación en el plazo de un mes.
5. La decisión sobre la admisión o inadmisión a trámite, así como la que
determine, en su caso, la remisión de la reclamación a la Autoridad de
control principal que se estime competente, deberá notificarse al
reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se
produjera dicha notificación, se entenderá que prosigue la tramitación de
la reclamación con arreglo a lo dispuesto en este título a partir de la
fecha en que se cumpliesen tres meses desde que la reclamación tuvo
entrada en la Agencia Española de Protección de Datos.'
JUSTIFICACIÓN
Se trata de varias mejoras técnicas, que tienen en cuanta las distintas
fases que podría tener el procedimiento: admisión a trámite,
investigación e instrucción y resolución. Con la redacción establecida
para el apartado primero se trata de poner claramente de manifiesto que
el enjuiciamiento de la admisibilidad deberá ser previa a la realización
de cualquier otra actuación, incluso de investigación, lo que no aparece
suficientemente claro en la redacción actual, que parece permitir el
análisis de la admisibilidad incluso con durante la realización de esas
actuaciones de investigación.
Por su parte, la modificación del apartado cuarto permite a la Agencia
remitir las reclamaciones a responsables o encargados que no tuvieran
designado un delegado de protección de datos ni estuvieran adheridos a
mecanismos de resolución extrajudicial de conflictos. Con ello se
garantiza que no queden en peor situación las pequeñas y medianas
empresas que llevasen a cabo tratamientos cuyo nivel de riesgo no
exigiera la designación de un delegado de protección de datos,
permitiéndoles garantizar de una forma más rápida el derecho del afectado
que hubiera planteado la reclamación.
Del mismo modo, la modificación introducida en el apartado 5 tiene por
objeto clarificar que con posterioridad al transcurso del plazo de tres
meses previsto en el precepto sería posible la realización de actividades
de investigación tendentes a valorar los hechos y obtener las evidencias
que resulten necesarias para la prosecución del procedimiento, si bien
esas actuaciones no podrían en ningún caso exceder del plazo de doce
meses a contar desde el día en que se cumpliesen tres meses desde la
recepción de la reclamación.
Una interpretación distinta, como la que podría derivarse del tenor
literal artículo 66.5 del Proyecto en su dicción actual podría impedir la
realización de esas actividades de investigación, con el consiguiente
quebranto del derecho fundamental a la protección de datos de las
personas que hubieran presentado la reclamación, al privarse a la
autoridad de control y la posibilidad de llevar a cabo actuaciones de
investigación.
ENMIENDA NÚM. 356
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 66
De modificación.
Se modifica el artículo 66, que tendrá la siguiente redacción:
'Artículo 66. Determinación de la competencia territorial.
1. Salvo en los supuestos a los que se refiere el artículo 64.3 de esta
ley orgánica, la Agencia Española de Protección de Datos deberá, con
carácter previo a la realización de cualquier otra actuación, incluida la
admisión a trámite de una reclamación o el comienzo de actuaciones
previas de investigación, examinar su competencia y determinar el
carácter nacional o transfronterizo, en cualquiera de sus modalidades,
del procedimiento a seguir.
2. Si la Agencia considera que no tiene la condición de autoridad de
control principal para la tramitación del procedimiento remitirá, sin más
trámite, la reclamación formulada a la Autoridad de control principal que
considere competente, a fin de que por la misma se le dé el curso
oportuno. La Agencia notificará esta circunstancia a quien, en su caso,
hubiera formulado la reclamación.
El acuerdo por el que se resuelva la remisión a la que se refiere el
párrafo anterior implicará el archivo provisional del procedimiento, sin
perjuicio de que por la Agencia se dicte, en caso de que así proceda, la
resolución a la que se refiere el apartado 8 del artículo 60 del
Reglamento (UE) 2016/679.'
JUSTIFICACIÓN
La determinación de la competencia de una determinada autoridad de control
en materia de protección de datos así como si la misma ostenta o no la
condición de autoridad principal en el procedimiento se configura como un
elemento esencial en el régimen establecido en el Reglamento (UE)
2016/679, condicionando sustancialmente el ítem que deberá seguirse con
carácter previo a la realización de
cualquier actuación, en que la autoridad de control deberá bien admitir a
trámite la reclamación o comenzar las actuaciones de investigación, bien
remitir la reclamación a la autoridad que haya de tramitar el
procedimiento en su condición de autoridad principal.
La reforma planteada tiene por objeto poner de manifiesto que esta
valoración, que lógicamente no será necesaria cuando se haya remitido a
la Agencia Española de Protección de Datos la reclamación por haber sido
considerada autoridad de control principal, deberá llevarse a cabo
siempre con anterioridad a la admisión a trámite y a la realización de
cualquier actividad de investigación. Igualmente, en el apartado segundo,
se prevé que la remisión del asunto a la autoridad que se considere
principal deberá ser objeto de notificación a la persona que, en su caso,
hubiese formulado la reclamación, y el acuerdo implicará el archivo
provisional del procedimiento.
ENMIENDA NÚM. 357
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 67
De modificación.
Se modifica el artículo 67, que tendrá la siguiente redacción:
'Artículo 67. Actuaciones previas de investigación.
1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez
admitida a trámite la reclamación si la hubiese, la Agencia Española de
Protección de Datos podrá llevar a cabo actuaciones previas de
investigación a fin de lograr una mejor determinación de los hechos y las
circunstancias que justifican la tramitación del procedimiento.
2. Las actuaciones previas de investigación se someterán a lo dispuesto en
la Sección 2.a del Capítulo I del Título VII de esta ley orgánica y no
podrán tener una duración superior a doce meses a contar desde la fecha
del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se
decida su iniciación cuando la Agencia actúe por propia iniciativa o como
consecuencia de la comunicación que le hubiera sido remitida por la
autoridad de control de otro Estado miembro de la Unión Europea, conforme
al artículo 64.3 de esta ley orgánica.'
JUSTIFICACIÓN
Se propone la introducción de mejoras en la redacción del precepto que no
afectan a su contenido material.
Así, en primer lugar, se clarifica que la realización de actuaciones de
investigación sólo tendrá lugar cuando se haya producido la admisión a
trámite, bien mediante resolución expresa bien como consecuencia del
cumplimiento del plazo de tres meses al que se refiere el artículo 65.5
del texto en la redacción propuesta en la enmienda a dicho precepto.
Asimismo, se clarifica que las actuaciones de investigación se 'llevan a
cabo' y no se 'incoan', dado que este término debe reservarse a la
iniciación del procedimiento sancionador que se producirá al término de
dichas actuaciones.
Finalmente se clarifica el objeto de las actuaciones de investigación que
no sólo consiste en determinar si concurren las circunstancias que
justifican la apertura del procedimiento sancionador, sino clarificar
cuáles son los hechos y conocer las circunstancias concurrentes en el
caso para determinar la apertura del procedimiento.
El apartado segundo tiene por objeto establecer el dies a quo del plazo de
doce meses previsto para estas actuaciones, teniendo en cuenta las
distintas modalidades que ya se analizan en el artículo 64; esto
es, que exista o no reclamación o que las actuaciones hayan sido
comunicadas por ora autoridad de control al considerarse que la Agencia
Española tiene la condición de autoridad principal en un procedimiento
transfronterizo.
ENMIENDA NÚM. 358
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
De adición (artículo nuevo).
Se adiciona un nuevo artículo, que pasará a ser el artículo 68,
modificándose la numeración de los siguientes artículos.
El nuevo artículo 68 tendrá la siguiente redacción:
'Artículo 68. Acuerdo de inicio del procedimiento para el ejercicio de la
potestad sancionadora.
1. Concluidas, en su caso, las actuaciones a las que se refiere el
artículo anterior, corresponderá al Presidente de la Agencia Española de
Protección de Datos, cuando así proceda, dictar acuerdo de inicio de
procedimiento para el ejercicio de la potestad sancionadora, en que se
concretarán los hechos, la identificación de la persona o entidad contra
la que se dirija el procedimiento, la infracción que hubiera podido
cometerse y su posible sanción.
2. Cuando la Agencia Española de Protección de Datos ostente la condición
de autoridad de control principal y deba seguirse el procedimiento
previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de
acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto
en el mismo.'
JUSTIFICACIÓN
Los procedimientos a los que se refiere este título se componen de tres
momentos esenciales: la admisión a trámite, la realización de actuaciones
de investigación y el procedimiento sancionador propiamente dicho. A
diferencia de los dos primeros éste último, que constituye efectivamente
el procedimiento no se encuentra específicamente regulado en el texto.
Ello hace necesario que se clarifique en el mismo este tercer momento
mediante la inclusión de un precepto referido a la iniciación del
procedimiento a través del acuerdo de inicio.
En este precepto se establece el contenido mínimo de dicho acuerdo, en
términos similares a los establecidos por la normativa reguladora del
procedimiento administrativo común.
Asimismo, se prevé que, de conformidad con lo dispuesto en el Reglamento
(UE) 2016/679 deberá someterse al procedimiento coordinado establecido en
el artículo 60 de dicha norma de Derecho de la Unión la adopción del
citado Acuerdo, dado que en caso de no existir consenso entre las
autoridades implicadas sería preciso acudir al Comité Europeo de
Protección de Datos.
ENMIENDA NÚM. 359
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al artículo 68
De modificación.
Se modifican los apartados 1 y 3 del artículo 68, que como consecuencia de
la enmienda anterior se renumeraría como 69. Los apartados 1 y 3 tendrán
la siguiente redacción:
'Artículo 69. Medidas provisionales.
1. Durante la realización de las actuaciones previas de investigación o
iniciado un procedimiento para el ejercicio de la potestad sancionadora,
la Agencia Española de Protección de Datos podrá acordar motivadamente
las medidas provisionales necesarias y proporcionadas para salvaguardar
el derecho fundamental a la protección de datos y, en especial, las
previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo
cautelar de los datos y la obligación inmediata de atender el derecho
solicitado.
2. En los casos en que la Agencia Española de Protección de Datos
considere que la continuación del tratamiento de los datos de carácter
personal, su comunicación o transferencia internacional comportara un
menoscabo grave del derecho a la protección de datos de carácter
personal, podrá ordenar a los responsables o encargados de los
tratamientos el bloqueo de los datos y la cesación de su tratamiento y,
caso de incumplirse por éstos dichos mandatos, proceder a su
inmovilización.
3. Cuando se hubiese presentado ante la Agencia Española de Protección de
Datos una reclamación que se refiriese, entre otras cuestiones, a la
falta de atención en plazo de los derechos establecidos en los artículos
15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección
de Datos podrá acordar en cualquier momento, incluso con anterioridad a
la iniciación del procedimiento para el ejercicio de la sancionadora,
mediante resolución motivada y previa audiencia del responsable del
tratamiento, la obligación de atender el derecho solicitado,
prosiguiéndose el procedimiento en cuanto al resto de las cuestiones
objeto de la reclamación.'
JUSTIFICACIÓN
El artículo propuesto no es sino el artículo 68 del Proyecto que es objeto
de reubicación y en el que se introducen dos mejoras de redacción.
En el apartado primero, por los mismos fundamentos que se señalaron en
relación con el artículo 67, se suprime la referencia a la 'incoación' de
actuaciones previas de investigación, dado que sólo el acuerdo de inicio
del procedimiento es el que determina dicha incoación.
En el apartado 3 se establece la posibilidad de disgregar los
procedimientos procedentes de una única reclamación cuando contengan una
solicitud de tutela de un derecho desatendido y al propio tiempo pongan
de manifiesto la existencia de una vulneración de las normas de
protección de datos. El texto formulado pretende que esta disgregación
pueda tener lugar en cualquier momento y no sólo con anterioridad al
acuerdo de inicio del procedimiento sancionador, a fin de que, sea cual
sea el momento en que se detecte la posible causa de separación de ambas
pretensiones ésta se lleve a cabo, garantizando una más rápida atención
del derecho del reclamante.
ENMIENDA NÚM. 360
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la disposición adicional decimosegunda
De modificación.
Se modifica la disposición adicional decimosegunda, que tendrá la
siguiente redacción:
'Disposición adicional decimosegunda. Tratamiento de datos de carácter
personal en relación con la notificación de incidentes de seguridad.
Cuando, de conformidad con lo dispuesto en la legislación nacional que
resulte de aplicación, deban notificarse incidentes de seguridad, las
autoridades públicas competentes, equipos de respuesta a emergencias
informáticas (CERT), equipos de respuesta a incidentes de seguridad
informática (CSIRT), proveedores de redes y servicios de comunicaciones
electrónicas y proveedores de tecnologías y servicios de seguridad,
podrán tratar los datos de carácter personal contenidos en tales
notificaciones, exclusivamente durante el tiempo y alcance necesarios
para su análisis, detección, protección y respuesta ante incidentes y
adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de
riesgo determinado.'
JUSTIFICACIÓN
Es preciso coordinar el proyecto con la futura Ley sobre seguridad de las
redes y sistemas de información, para la transposición de la Directiva
(UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de
2016, relativa a las medidas destinadas a garantizar un elevado nivel
común de seguridad de las redes y sistemas de información en la Unión
(conocida como Directiva NIS).
El objetivo es que las autoridades y la industria tengan las herramientas
necesarias para resolver incidentes de seguridad, logrando así
consistencia con el artículo 30 del actual anteproyecto de transposición
de la Directiva NIS.
ENMIENDA NÚM. 361
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Disposición adicional (nueva)
De adición.
Se añade una nueva disposición adicional decimoctava, que tendrá la
siguiente redacción:
'Disposición adicional decimoctava. Requerimiento de información por parte
de la Comisión Nacional del Mercado de Valores.
Cuando no haya podido obtener por otros medios la información necesaria
para realizar sus labores de supervisión o inspección, la Comisión
Nacional del Mercado de Valores podrá recabar de los operadores que
presten servicios de comunicaciones electrónicas disponibles al público y
de los prestadores de servicios de la sociedad de la información, los
datos que obren en su poder relativos a la comunicación electrónica o
servicio de la sociedad de la
información proporcionados por dichos prestadores que sean distintos a su
contenido y resulten imprescindibles para el ejercicio de dichas labores.
La cesión de estos datos requerirá la previa obtención de autorización
judicial otorgada conforme a las normas procesales.
Quedan excluidos de lo previsto en este apartado los datos de tráfico que
los operadores estuviesen tratando con la exclusiva finalidad de dar
cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de
octubre, de conservación de datos relativos a las comunicaciones
electrónicas y a las redes públicas de comunicaciones.'
JUSTIFICACIÓN
Se propone la incorporación de una disposición adicional decimoctava en el
Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, por
la cual se faculta a la Comisión Nacional del Mercado de Valores a
solicitar autorización judicial, con el fin de poder requerir la
información necesaria para realizar sus labores de supervisión o
inspección, cuando no haya podido conseguirlos por otros medios de
información.
Con el fin de cumplir con lo establecido Directiva 2014/65/UE del
Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los
mercados de instrumentos financieros y por la que se modifican la
Directiva 2002/92/CE y la Directiva 2011/61/UE, concretamente en lo
relativo a los registros telefónicos y de tráfico de datos procedentes de
empresas de servicios de inversión en los que se ejecutan y documentan
las operaciones, se propone la incorporación de esta disposición
adicional al Proyecto de Ley Orgánica de Protección de Datos de Carácter
Personal.
La habilitación se refiere exclusivamente a los 'metadatos' de las
comunicaciones, pertenecientes al ámbito de protección de los datos de
carácter personal, y no al contenido de las comunicaciones, cuyo ámbito
de protección es el de la confidencialidad y el secreto de las
comunicaciones. Se trata de esferas de protección diferentes que afectan
a bienes jurídicos también diferentes y que requieren, por tanto, una
correcta delimitación en la norma.
La decisión de acceso por la Comisión Nacional del Mercado de Valores está
sujeta a reserva de ley orgánica y requerirá con carácter general la
previa obtención de autorización judicial. En cuanto a las reglas
procedimentales para la conformación de la decisión judicial, se remite
las normas procesales aplicables.
En consecuencia, mediante esta disposición se faculta a la Comisión
Nacional del Mercado de Valores a solicitar autorización judicial para
poder requerir los metadatos necesarios para poder cumplir con sus
labores de supervisión o inspección, como exige la directiva citada,
concretamente en su artículo 69, apartado 2, letra r).
ENMIENDA NÚM. 362
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Disposición adicional (nueva)
De adición.
Se añade una nueva disposición adicional decimonovena, que tendrá la
siguiente redacción:
'Disposición adicional decimonovena. Tratamientos de datos de salud.
Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del
Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la
salud y de datos genéticos que estén regulados en las siguientes leyes y
sus disposiciones de desarrollo:
a) La Ley 14/1986, de 25 de abril, General de Sanidad.
b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía
del paciente y de derechos y obligaciones en materia de información y
documentación clínica.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema
Nacional de Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones
sanitarias.
f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia
de las entidades aseguradoras y reaseguradoras.
i) El texto refundido de la Ley de garantías y uso racional de 105
medicamentos y productos sanitarios, aprobado por Real Decreto
Legislativo 1/2015, de 24 de julio.'
JUSTIFICACIÓN
El artículo 6 del proyecto de ley orgánica, al exigir un consentimiento
específico e inequívoco para cada uno de los tratamientos de datos
personales que pretendan llevarse a cabo, no supone un obstáculo para el
desarrollo de la investigación biomédica en nuestro país. A este
respecto, hay que señalar que el artículo 9.2 j) del Reglamento (UE)
2016/679 permite estos tratamientos con fines de investigación científica
sobre la base del Derecho de los Estados miembros, en una clara
habilitación al legislador nacional. A ello hay que añadir que, también
sobre la base de los ordenamientos nacionales, el artículo 9.2 citado
permite el tratamiento de datos de salud y genéticos cuando sea necesario
por razones de un interés público esencial (letra g', para fines de
medicina preventiva o laboral, evaluación de la capacidad laboral del
trabajador, diagnóstico médico, prestación de asistencia o tratamiento de
tipo sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social (letra h', o por razones de interés público
en el ámbito de la salud pública o para garantizar elevados niveles de
calidad y de seguridad de la asistencia sanitaria y de los medicamentos o
productos sanitarios [letra i)].
Además, el Reglamento (UE) 20161679 permite una interpretación más amplia
y flexible de los fines de investigación para los que debe prestarse el
consentimiento o de los supuestos en que excepcionalmente la norma no lo
exige, como resulta de sus considerandos:
- El considerando 33 permite que los interesados den su consentimiento
'para determinados ámbitos de investigación científica que respeten las
normas éticas reconocidas para la investigación científica', y no para
cada investigación concreta.
- El considerando 53 recuerda que las categorías especiales de datos
personales deben tratarse con fines relacionados con la salud no solo
'cuando sea necesario para lograr dichos fines en beneficio de las
personas físicas', sino también en beneficio 'de la sociedad en su
conjunto'.
- Y finalmente el considerando 159 aclara que el tratamiento de datos
personales con fines de investigación científica debe interpretarse de
manera amplia, que incluya, el desarrollo tecnológico, la investigación
fundamental, la investigación aplicada, y la investigación financiada por
el sector privado.
En conclusión, el nuevo régimen en materia de protección de datos no sólo
no establece requisitos adicionales para la prestación del consentimiento
en el ámbito de la investigación biomédica, sino que permite realizar una
interpretación más flexible del alcance del consentimiento prestado o de
los supuestos en que el mismo no será necesario, como sucede en los
supuestos de investigaciones de interés general autorizadas por los
comités de ética de investigación, tal y como aclaró la Directora de la
Agencia de Protección de Datos en su comparecencia parlamentaria el día
27 de febrero de 2018 y ha sido reflejado en informe de esta autoridad
administrativa independiente de 2 de marzo siguiente.
Con todo, para evitar cualquier duda a este respecto, en aras de la
seguridad jurídica, se incorpora una disposición adicional que constate
la cobertura que las letras g), h), i) y j) del artículo 9.2 del
Reglamento (UE) 2016/679 proporciona a los tratamientos de datos
relacionados con la salud y de datos genéticos que están regulados en las
leyes sanitarias y de investigación biomédica en vigor, así como en sus
disposiciones de desarrollo.
ENMIENDA NÚM. 363
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Disposición adicional (nueva)
De adición.
Se añade una nueva disposición adicional vigésima, que tendrá la siguiente
redacción:
'Disposición adicional vigésima. Prácticas agresivas en materia de
protección de datos.
A los efectos previstos en el artículo B de la Ley 3/1991, de 10 de enero,
de Competencia Desleal, se consideran prácticas agresivas las siguientes:
a) Actuar con intención de suplantar la identidad de la Agencia Española
de Protección de Datos o de una autoridad autonómica de protección de
datos en la realización de cualquier comunicación a los responsables y
encargados de los tratamientos o a los interesados.
b) Generar la apariencia de que se está actuando en nombre, por cuenta o
en colaboración con la Agencia Española de Protección de Datos o una
autoridad autonómica de protección de datos en la realización de
cualquier comunicación a los responsables y encargados de los
tratamientos en que la remitente ofrezca sus productos o servicios.
c) Realizar prácticas comerciales en las que se coarte el poder de
decisión de los destinatarios mediante la referencia a la posible
imposición de sanciones por incumplimiento de la normativa de protección
de datos de carácter personal.
d) Ofrecer cualquier tipo de documento por el que se pretenda crear una
apariencia de cumplimiento de las disposiciones de protección de datos de
forma complementaria a la realización de acciones formativas sin haber
llevado a cabo las actuaciones necesarias para verificar que dicho
cumplimiento se produce efectivamente.
e) Asumir, sin designación expresa del responsable o el encargado del
tratamiento, la función de delegado de protección de datos y comunicarse
en tal condición con la Agencia Española de Protección de Datos o las
autoridades autonómicas de protección de datos.'
JUSTIFICACIÓN
Se han detectado conductas gravemente perjudiciales para la protección de
datos que han de ser erradicadas. Se trata de prácticas comerciales
agresivas que se aprovechan de los esfuerzos de los responsables y
encargados de tratamiento por dar cumplimiento a la normativa aplicable
para ofrecer soluciones irreales. Para combatir estas conductas, procede
identificarlas expresamente como prácticas agresivas a los efectos de la
legislación de competencia desleal, con la protección que la misma
proporciona.
ENMIENDA NÚM. 364
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la disposición transitoria tercera
De modificación.
Se modifica el apartado 1 de la disposición transitoria tercera que tendrá
la siguiente redacción:
'Disposición transitoria tercera. Régimen transitorio de los
procedimientos.
1. Los procedimientos ya iniciados a la entrada en vigor de esta ley
orgánica se regirán por la normativa anterior, salvo que esta ley
orgánica contenga disposiciones más favorables para el interesado.
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 365
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la disposición transitoria quinta
De modificación.
Se modifica la disposición transitoria quinta, que tendrá la siguiente
redacción:
'Disposición transitoria quinta. Contratos de encargado del tratamiento.
Los contratos de encargado del tratamiento suscritos con anterioridad a[
25 de mayo de 2018 a[ amparo de lo dispuesto en e[ artículo 12 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en
los mismos y en caso de haberse pactado de forma indefinida, hasta el 25
de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la
modificación del contrato a fin de que el mismo resulte conforme a lo
dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo
II del Título V de esta Ley Orgánica.'
JUSTIFICACIÓN
Se clarifica la fecha límite de adaptación de los contratos de encargo del
tratamiento, que será [a de 25 de mayo de 2022, en que se cumplen cuatro
años de la entrada en vigor del Reglamento (UE) 2016/679. Igualmente y a
fin de clarificar el régimen transitorio debería suprimirse el segundo
párrafo de [a disposición transitoria en su redacción actual.
No obstante, dado que el régimen de derechos y obligaciones de las partes
en [a relación existente entre el responsable y el encargado del
tratamiento viene impuesto de forma clara e inequívoca por el Reglamento
y el propio Proyecto de Ley Orgánica, debería recogerse la posibilidad de
que cualquiera de las partes pueda compeler a la otra a modificar el
contrato, introduciendo las novedades que establece esta nueva
regulación, que serán en todo caso obligatorias para ambas partes.
ENMIENDA NÚM. 366
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la disposición derogatoria única
De modificación.
Se modifica la disposición derogatoria única, que tendrá la siguiente
redacción:
'Disposición derogatoria única. Derogación normativa.
1. Sin perjuicio de lo previsto en la disposición adicional decimoséptima
y en la disposición transitoria cuarta, quedan derogadas la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal.
2. Asimismo quedan derogadas cuantas disposiciones de igual o inferior
rango contradigan, se opongan, o resulten incompatibles con lo dispuesto
en el Reglamento (UE) 2016/679 y la presente ley orgánica.'
JUSTIFICACIÓN
Mejora técnica.
ENMIENDA NÚM. 367
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
A la disposición final primera
De modificación.
Se modifica la disposición final primera, que tendrá la siguiente
redacción:
'Disposición final primera. Naturaleza de la presente ley.
La presente ley tiene el carácter de ley orgánica, a excepción del Titulo
IV, el Título VII, salvo el artículo 52, el Título VIII, el Título IX,
las disposiciones adicionales,salvo las disposiciones adicionales segunda
y decimoctava, las disposiciones transitorias y las disposiciones
finales, salvo esta disposición final primera y la tercera.'
JUSTIFICACIÓN
En coherencia con las enmiendas dirigidas a la introducción de las
disposiciones adicional decimoctava (sobre los requerimientos de
información por parte de la Comisión Nacional del Mercado de Valores) y
final tercera (modificativa de la Ley Orgánica 6/1985, de 1 de julio, del
Poder Judicial). De ambas disposiciones resulta predicable el rango
orgánico.
ENMIENDA NÚM. 368
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Disposición final (nueva)
De adición.
Se introduce una nueva disposición final tercera, y se reenumeran las
siguientes disposiciones finales, con la redacción que se expone a
continuación:
'Disposición final tercera. Modificación de la Ley Orgánica 6/1985, de 1
de julio, del Poder Judicial.
La Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial queda modificada
como sigue:
Uno. Se añade un último párrafo al artículo 58:
'Tercero. De la solicitud de autorización judicial de conformidad de una
decisión de la Comisión Europea en materia de transferencia internacional
de datos, de acuerdo con la legislación específica, cuando sea formulada
por el Consejo General del Poder Judicial.'
Dos. Se añade una letra f) al artículo 66:
'f) De la solicitud de autorización judicial de conformidad de una
decisión de la Comisión Europea en materia de transferencia internacional
de datos, de acuerdo con la legislación específica, cuando sea formulada
por la Agencia Española de Protección de Datos.'
Tres. Se añade un apartado 7 al artículo 74:
'7. Conocerán de la solicitud de autorización de conformidad de una
decisión de la Comisión Europea en materia de transferencia internacional
de datos, de acuerdo con la legislación especifica, cuando sea formulada
por la autoridad de protección de datos de la Comunidad Autónoma
respectiva. '
Cuatro. Se añade un nuevo apartado 7 al artículo 90:
'7. Corresponde a los Juzgados Centrales de lo Contencioso-administrativo
autorizar, mediante auto, el requerimiento de información por parte de
autoridades administrativas independientes a los operadores que presten
servicios de comunicaciones electrónicas disponibles al público y de los
prestadores de servicios de la sociedad de la información, cuando ello
sea necesario de acuerdo con la legislación específica.''
JUSTIFICACIÓN
Por razones derivadas del principio de reserva de ley orgánica cualificada
dispuesto en el artículo 122.1 Constitución Española, tal y como ha sido
apuntado en sus informes por el Consejo General del Poder Judicial,
procede introducir en la Ley Orgánica 6/1985, de 1 de julio, del Poder
Judicial la atribución de competencia a los órganos judiciales de lo
contencioso-administrativo. Ello incluye: i) las competencias resultantes
del nuevo procedimiento diseñado en la disposición adicional quinta del
proyecto para dar cumplimiento a la Sentencia del Tribunal de Justicia de
la Unión Europea de 6 de octubre de 2015 (asunto Schrems) y que motiva
también la modificación de la Ley 29/1998, de 13 de julio, reguladora de
la Jurisdicción Contencioso-Administrativa en la disposición final
tercera, que se renumera como cuarta; y ii) la competencia de los
Juzgados Centrales de lo Contencioso-administrativo para autorizar,
mediante auto, el requerimiento de información por parte de autoridades
administrativas independientes a los operadores que presten servicios de
comunicaciones electrónicas disponibles al público y de los
prestadores de servicios de la sociedad de la información, cuando ello sea
necesario de acuerdo con la legislación específica (en conexión con el
artículo 52 y la nueva disposición adicional decimoctava).
ENMIENDA NÚM. 369
FIRMANTE:
Grupo Parlamentario Popular en el Congreso
Al apartado 2 del artículo 77
De modificación.
Se modifica el apartado 2 del artículo 77. El apartado 2 tendrá la
siguiente redacción:
'Artículo 77. Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento.
[...]
2. Cuando los responsables o encargados enumerados en el apartado 1
cometiesen alguna de las infracciones a las que se refieren los artículos
72 a 74 de esta ley orgánica, la autoridad de protección de datos que
resulte competente dictará resolución sancionando a las mismas con
apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la
infracción que se hubiese cometido. La resolución se notificará al
responsable o encargado del tratamiento, al órgano del que dependa
jerárquicamente, en su caso, y a los afectados que tuvieran la condición
de interesado, en su caso.'
JUSTIFICACIÓN
Mejora técnica.
ÍNDICE DE ENMIENDAS AL ARTICULADO
A la generalidad del Proyecto de Ley
- Enmienda núm. 69, del G.P. Ciudadanos.
- Enmienda núm. 70, del G.P. Ciudadanos.
- Enmienda núm. 247, del G.P. Socialista.
A la rúbrica
- Enmienda núm. 246, del G.P. Socialista.
Exposición de motivos.
- Enmienda núm. 337, del G.P. Socialista, apartado I.
- Enmienda núm. 339, del G.P. Popular, apartado I, párrafo cuarto.
- Enmienda núm. 340, del G.P. Popular, apartado IV, párrafo tercero.
- Enmienda núm. 341, del G.P. Popular, apartado IV, párrafo cuarto.
- Enmienda núm. 342, del G.P. Popular, apartado IV, párrafo nuevo.
- Enmienda núm. 338, del G.P. Socialista, apartado nuevo.
Título I
Artículo 1
- Enmienda núm. 248, del G.P. Socialista.
- Enmienda núm. 96, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 2, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 2.
- Enmienda núm. 32, del G.P. Vasco (EAJ-PNV), apartado 2.
- Enmienda núm. 97, del Sr. Campuzano i Canadés (GMx), apartado 2.
Artículo 2
- Enmienda núm. 249, del G.P. Socialista, apartados 1 y 2.
- Enmienda núm. 98, del Sr. Campuzano i Canadés (GMx), apartado 3.
- Enmienda núm. 181, del G.P. Esquerra Republicana, apartado 3.
Artículo 3
- Enmienda núm. 71, del G.P. Ciudadanos.
- Enmienda núm. 99, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 250, del G.P. Socialista.
- Enmienda núm. 33, del G.P. Vasco (EAJ-PNV), apartado nuevo.
Título II
Artículo 4
- Enmienda núm. 72, del G.P. Ciudadanos.
- Enmienda núm. 100, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 251, del G.P. Socialista.
- Enmienda núm. 343, del G.P. Popular.
Artículo 5
- Sin enmiendas.
Artículo 6
- Enmienda núm. 3, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 34, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 73, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 252, del G.P. Socialista, apartado 2.
Artículo 7
- Enmienda núm. 4, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 253, del G.P. Socialista.
- Enmienda núm. 344, del G.P. Popular, apartado 2.
Artículo 8
- Enmienda núm. 180, del G.P. Esquerra Republicana.
- Enmienda núm. 254, del G.P. Socialista, a la rúbrica.
- Enmienda núm. 101, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 74, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 102, del Sr. Campuzano i Canadés (GMx), apartado 2.
Artículo 9
- Enmienda núm. 5, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1.
- Enmienda núm. 6, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 2.
- Enmienda núm. 75, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 103, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 104, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 182, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 183, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 184, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 255, del G.P. Socialista, apartado 2.
- Enmienda núm. 7, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado nuevo.
Artículo 10
- Enmienda núm. 185, del G.P. Esquerra Republicana.
- Enmienda núm. 256, del G.P. Socialista.
- Enmienda núm. 105, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 106, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
Título III
Capítulo I
Artículo 11
- Enmienda núm. 35, del G.P. Vasco (EAJ-PNV), apartado 1.
- Enmienda núm. 107, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 186, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 187, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 76, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 108, del Sr. Campuzano i Canadés (GMx), apartado 2, letra
c).
- Enmienda núm. 188, del G.P. Esquerra Republicana, apartado 3
Capítulo II
Artículo 12
- Enmienda núm. 36, del G.P. Vasco (EAJ-PNV), apartado 3.
- Enmienda núm. 109, del Sr. Campuzano i Canadés (GMx), apartado 4.
- Enmienda núm. 189, del G.P. Esquerra Republicana, apartado 4.
- Enmienda núm. 77, del G.P. Ciudadanos, apartado nuevo.
- Enmienda núm. 110, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
- Enmienda núm. 111, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
- Enmienda núm. 257, del G.P. Socialista, apartado nuevo.
Artículo 13
- Enmienda núm. 112, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 190, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 258, del G.P. Socialista, apartado 1.
- Enmienda núm. 113, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 191, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 78, del G.P. Ciudadanos, apartado nuevo.
Artículo 14
- Sin enmiendas.
Artículo 15
- Enmienda núm. 259, del G.P. Socialista, apartado 1.
- Enmienda núm. 8, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado nuevo.
Artículo 16
- Enmienda núm. 260, del G.P. Socialista, apartado 2.
Artículo 17
- Sin enmiendas.
Artículo 18
- Sin enmiendas.
TÍTULO IV
- Enmienda núm. 261, del G.P. Socialista.
Artículo 19
- Enmienda núm. 9, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 79, del G.P. Ciudadanos.
- Enmienda núm. 262, del G.P. Socialista.
- Enmienda núm. 114, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 192, del G.P. Esquerra Republicana, apartado 1.
Artículo 20
- Enmienda núm. 10, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 80, del G.P. Ciudadanos.
- Enmienda núm. 115, del Sr. Campuzano i Canadés (GMx), apartado 1, letras
b) y c).
- Enmienda núm. 193, del G.P. Esquerra Republicana, apartado 1, letra b).
- Enmienda núm. 116, del Sr. Campuzano i Canadés (GMx), apartado 1, letra
d).
- Enmienda núm. 194, del G.P. Esquerra Republicana, apartado 1, letra d).
- Enmienda núm. 263, del G.P. Socialista, apartado 1, letra d).
- Enmienda núm. 345, del G.P. Popular, apartado 1, letra d).
- Enmienda núm. 117, del Sr. Campuzano i Canadés (GMx), apartado 1, letra
e).
- Enmienda núm. 346, del G.P. Popular, apartado 1, letra e).
- Enmienda núm. 119, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 118, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
- Enmienda núm. 120, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
Artículo 21
- Enmienda núm. 264, del G.P. Socialista, a la rúbrica.
- Enmienda núm. 11, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1, párrafo nuevo.
Artículo 22
- Enmienda núm. 81, del G.P. Ciudadanos.
- Enmienda núm. 265, del G.P. Socialista.
- Enmienda núm. 121, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 195, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 12, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 2.
- Enmienda núm. 37, del G.P. Vasco (EAJ-PNV), apartado 2.
- Enmienda núm. 13, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 5.
- Enmienda núm. 122, del Sr. Campuzano i Canadés (GMx), apartado 5.
- Enmienda núm. 196, del G.P. Esquerra Republicana, apartado 5.
- Enmienda núm. 197, del G.P. Esquerra Republicana, apartado 5.
- Enmienda núm. 347, del G.P. Popular, apartado 5.
- Enmienda núm. 38, del G.P. Vasco (EAJ-PNV), apartado 6.
- Enmienda núm. 198, del G.P. Esquerra Republicana, apartado 6.
- Enmienda núm. 123, del Sr. Campuzano i Canadés (GMx), apartado 6 y 8.
- Enmienda núm. 14, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 7.
Artículo 23
- Enmienda núm. 39, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 124, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 199, del G.P. Esquerra Republicana.
- Enmienda núm. 125, del Sr. Campuzano i Canadés (GMx), apartado 4.
- Enmienda núm. 266, del G.P. Socialista, apartado 4.
- Enmienda núm. 348, del G.P. Popular, apartado 4.
Artículo 24
- Enmienda núm. 15, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 267, del G.P. Socialista.
- Enmienda núm. 126, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 127, del Sr. Campuzano i Canadés (GMx), apartado 1,
párrafo nuevo.
- Enmienda núm. 200, del G.P. Esquerra Republicana, apartado 1, párrafo
nuevo.
- Enmienda núm. 349, del G.P. Popular, apartado 4.
Artículo 25
- Enmienda núm. 128, del Sr. Campuzano i Canadés (GMx), apartado 3.
Artículo 26
- Enmienda núm. 40, del G.P. Vasco (EAJ-PNV).
Artículo 27
- Enmienda núm. 41, del G.P. Vasco (EAJ-PNV), apartado 2.
- Enmienda núm. 129, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 201, del G.P. Esquerra Republicana, apartado 2.
Título V
Capítulo I
Artículo 28
- Enmienda núm. 42, del G.P. Vasco (EAJ-PNV), apartado 2.
- Enmienda núm. 130, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 202, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 276, del G.P. Socialista, apartado 2, letra nueva.
Artículo 29
- Enmienda núm. 131, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 203, del G.P. Esquerra Republicana.
Artículo 30
- Enmienda núm. 132, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 204, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 133, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 205, del G.P. Esquerra Republicana, apartado 2.
Artículo 31
- Enmienda núm. 134, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 206, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 135, del Sr. Campuzano i Canadés (GMx), apartado 2.
Artículo 32
- Enmienda núm. 82, del G.P. Ciudadanos.
- Enmienda núm. 277, del G.P. Socialista.
- Enmienda núm. 136, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 278, del G.P. Socialista, apartados nuevos.
Capítulo II
Artículo 33
- Enmienda núm. 43, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 137, del Sr. Campuzano i Canadés (GMx).
Capítulo III
Artículo 34
- Enmienda núm. 138, del Sr. Campuzano i Canadés (GMx), apartado 1.
- Enmienda núm. 279, del G.P. Socialista, apartado 1 y apartado nuevo.
- Enmienda núm. 207, del G.P. Esquerra Republicana, apartado 1, letra b).
- Enmienda núm. 83, del G.P. Ciudadanos, apartado 1, letra d).
- Enmienda núm. 208, del G.P. Esquerra Republicana, apartado 1, letra j).
- Enmienda núm. 209, del G.P. Esquerra Republicana, apartado 1, letra k).
- Enmienda núm. 210, del G.P. Esquerra Republicana, apartado 1, letra 1).
- Enmienda núm. 16, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1, letra n).
- Enmienda núm. 211, del G.P. Esquerra Republicana, apartado 1, letra n).
- Enmienda núm. 350, del G.P. Popular, apartado 1, letra ñ).
- Enmienda núm. 212, del G.P. Esquerra Republicana, apartado 4, párrafo
segundo.
- Enmienda núm. 44, del G.P. Vasco (EAJ-PNV), apartado nuevo.
Artículo 35
- Enmienda núm. 17, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 84, del G.P. Ciudadanos.
- Enmienda núm. 139, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 213, del G.P. Esquerra Republicana.
- Enmienda núm. 280, del G.P. Socialista.
Artículo 36
- Enmienda núm. 18, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartados 1 y 2.
- Enmienda núm. 214, del G.P. Esquerra Republicana, apartado 1.
- Enmienda núm. 85, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 215, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 281, del G.P. Socialista, apartado 2.
- Enmienda núm. 140, del Sr. Campuzano i Canadés (GMx), apartado 4.
Artículo 37
- Enmienda núm. 141, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 216, del G.P. Esquerra Republicana.
- Enmienda núm. 45, del G.P. Vasco (EAJ-PNV), apartado 2.
Capítulo IV
Artículo 38
- Enmienda núm. 217, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 282, del G.P. Socialista, apartados 2 y 3.
- Enmienda núm. 143, del Sr. Campuzano i Canadés (GMx), apartado 5.
- Enmienda núm. 219, del G.P. Esquerra Republicana, apartado 5.
- Enmienda núm. 142, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
- Enmienda núm. 218, del G.P. Esquerra Republicana, apartado nuevo.
Artículo 39
- Enmienda núm. 46, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 144, del Sr. Campuzano i Canadés (GMx).
Título VI
Artículo 40
- Enmienda núm. 47, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 146, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 220, del G.P. Esquerra Republicana.
Artículo 41
- Enmienda núm. 48, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 147, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 221, del G.P. Esquerra Republicana.
- Enmienda núm. 86, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 283, del G.P. Socialista, apartado 2.
- Enmienda núm. 351, del G.P. Popular, apartado 2.
Artículo 42
- Enmienda núm. 87, del G.P. Ciudadanos, apartado 1, letra b).
- Enmienda núm. 284, del G.P. Socialista, apartado 1, letra b).
- Enmienda núm. 352, del G.P. Popular, apartado 1, letra b).
Artículo 43
- Enmienda núm. 148, del Sr. Campuzano i Canadés (GMx).
Título VII
Capítulo I
Sección 1.a
Artículo 44
- Enmienda núm. 49, del G.P. Vasco (EAJ-PNV), apartado 2.
Artículo 45
- Sin enmiendas.
Artículo 46
- Enmienda núm. 285, del G.P. Socialista.
Artículo 47
- Enmienda núm. 149, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 222, del G.P. Esquerra Republicana, apartado 1.
Artículo 48
- Enmienda núm. 88, del G.P. Ciudadanos.
- Enmienda núm. 286, del G.P. Socialista.
- Enmienda núm. 19, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartados 2 y 3.
Artículo 49
- Enmienda núm. 89, del G.P. Ciudadanos.
- Enmienda núm. 287, del G.P. Socialista.
- Enmienda núm. 353, del G.P. Popular, apartado 1, letra h).
Artículo 50
- Sin enmiendas.
Sección 2.a
Artículo 51
- Sin enmiendas.
Artículo 52
- Sin enmiendas.
Artículo 53
- Sin enmiendas.
Artículo 54
- Enmienda núm. 288, del G.P. Socialista.
Sección 3.a
Artículo 55
- Enmienda núm. 50, del G.P. Vasco (EAJ-PNV).
Artículo 56
- Enmienda núm. 51, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 150, del Sr. Campuzano i Canadés (GMx), apartado 2.
- Enmienda núm. 223, del G.P. Esquerra Republicana, apartado 2.
- Enmienda núm. 151, del Sr. Campuzano i Canadés (GMx), apartado 3.
- Enmienda núm. 224, del G.P. Esquerra Republicana, apartado 3.
- Enmienda núm. 289, del G.P. Socialista, apartado 3, letra b).
- Enmienda núm. 152, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
Capítulo II
Sección 1.a
Artículo 57
- Enmienda núm. 52, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 153, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 225, del G.P. Esquerra Republicana.
Artículo 58
- Enmienda núm. 154, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 226, del G.P. Esquerra Republicana.
- Enmienda núm. 290, del G.P. Socialista.
Artículo 59
- Enmienda núm. 53, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 155, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 227, del G.P. Esquerra Republicana.
- Enmienda núm. 291, del G.P. Socialista.
Sección 2.a
Artículo 60
- Sin enmiendas.
Artículo 61
- Enmienda núm. 156, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 228, del G.P. Esquerra Republicana.
- Enmienda núm. 54, del G.P. Vasco (EAJ-PNV), apartado 1.
- Enmienda núm. 292, del G.P. Socialista, apartado 1.
Artículo 62
- Sin enmiendas.
Título VIII
Artículo 63
- Sin enmiendas.
Artículo 64
- Enmienda núm. 354, del G.P. Popular.
Artículo 65
- Enmienda núm. 355, del G.P. Popular, apartados 1, 4 y 5.
- Enmienda núm. 90, del G.P. Ciudadanos, apartado 2.
- Enmienda núm. 293, del G.P. Socialista, apartado 2.
- Enmienda núm. 157, del Sr. Campuzano i Canadés (GMx), apartado 3.
- Enmienda núm. 158, del Sr. Campuzano i Canadés (GMx), apartado 4.
- Enmienda núm. 229, del G.P. Esquerra Republicana, apartado 4.
Artículo 66
- Enmienda núm. 55, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 356, del G.P. Popular.
Artículo 67
- Enmienda núm. 357, del G.P. Popular.
- Enmienda núm. 20, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1, párrafo segundo.
Artículo 68
- Enmienda núm. 359, del G.P. Popular, apartados 1 y 3.
Artículo 69
- Enmienda núm. 91, del G.P. Ciudadanos, apartado 1.
Título IX
Artículo 70
- Enmienda núm. 21, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 2.
- Enmienda núm. 230, del G.P. Esquerra Republicana, apartado 2.
Artículo 71
- Sin enmiendas.
Artículo 72
- Enmienda núm. 159, del Sr. Campuzano i Canadés (GMx), apartado 1,
párrafo primero.
- Enmienda núm. 232, del G.P. Esquerra Republicana, apartado 1, párrafo
primero.
- Enmienda núm. 56, del G.P. Vasco (EAJ-PNV), apartado 1, letra f).
- Enmienda núm. 160, del Sr. Campuzano i Canadés (GMx), apartado 1, letra
f).
- Enmienda núm. 231, del G.P. Esquerra Republicana, apartado 1, letra f).
- Enmienda núm. 22, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1, letra nueva.
Artículo 73
- Enmienda núm. 57, del G.P. Vasco (EAJ-PNV), letra d).
- Enmienda núm. 161, del Sr. Campuzano i Canadés (GMx), letra d).
- Enmienda núm. 233, del G.P. Esquerra Republicana, letra d).
Artículo 74
- Enmienda núm. 162, del Sr. Campuzano i Canadés (GMx), párrafo primero.
- Enmienda núm. 234, del G.P. Esquerra Republicana, párrafo primero.
- Enmienda núm. 163, del Sr. Campuzano i Canadés (GMx), letra c).
- Enmienda núm. 235, del G.P. Esquerra Republicana, letra c).
- Enmienda núm. 294, del G.P. Socialista, letras c), m) y n).
Artículo 75
- Enmienda núm. 164, del Sr. Campuzano i Canadés (GMx), a la rúbrica.
- Enmienda núm. 295, del G.P. Socialista, párrafo segundo.
Artículo 76
- Enmienda núm. 92, del G.P. Ciudadanos, apartado 2, letra nueva.
- Enmienda núm. 236, del G.P. Esquerra Republicana, apartado 2, letras
nuevas.
- Enmienda núm. 296, del G.P. Socialista, apartado 2, letras nuevas.
- Enmienda núm. 58, del G.P. Vasco (EAJ-PNV), apartado 4.
- Enmienda núm. 167, del Sr. Campuzano i Canadés (GMx), apartado 4.
- Enmienda núm. 237, del G.P. Esquerra Republicana, apartado 4.
- Enmienda núm. 165, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
- Enmienda núm. 166, del Sr. Campuzano i Canadés (GMx), apartado nuevo.
Artículo 77
- Enmienda núm. 297, del G.P. Socialista.
- Enmienda núm. 23, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea, apartado 1, letras h) y j).
- Enmienda núm. 168, del Sr. Campuzano i Canadés (GMx), apartado 1, letra
h).
- Enmienda núm. 238, del G.P. Esquerra Republicana, apartado 1, letra h).
- Enmienda núm. 59, del G.P. Vasco (EAJ-PNV), apartado 2, párrafo segundo.
- Enmienda núm. 369, del G.P. Popular, apartado 2.
- Enmienda núm. 169, del Sr. Campuzano i Canadés (GMx), apartado 5.
- Enmienda núm. 239, del G.P. Esquerra Republicana, apartado 5.
- Enmienda núm. 170, del Sr. Campuzano i Canadés (GMx), apartado 6.
Artículo 78
- Sin enmiendas.
Artículos nuevos
- Enmienda núm. 145, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 268, del G.P. Socialista.
- Enmienda núm. 269, del G.P. Socialista.
- Enmienda núm. 270, del G.P. Socialista.
- Enmienda núm. 271, del G.P. Socialista.
- Enmienda núm. 272, del G.P. Socialista.
- Enmienda núm. 273, del G.P. Socialista.
- Enmienda núm. 274, del G.P. Socialista.
- Enmienda núm. 275, del G.P. Socialista.
- Enmienda núm. 298, del G.P. Socialista.
- Enmienda núm. 299, del G.P. Socialista.
- Enmienda núm. 300, del G.P. Socialista.
- Enmienda núm. 301, del G.P. Socialista.
- Enmienda núm. 302, del G.P. Socialista.
- Enmienda núm. 303, del G.P. Socialista.
- Enmienda núm. 304, del G.P. Socialista.
- Enmienda núm. 305, del G.P. Socialista.
- Enmienda núm. 306, del G.P. Socialista.
- Enmienda núm. 307, del G.P. Socialista.
- Enmienda núm. 308, del G.P. Socialista.
- Enmienda núm. 309, del G.P. Socialista.
- Enmienda núm. 310, del G.P. Socialista.
- Enmienda núm. 311, del G.P. Socialista.
- Enmienda núm. 312, del G.P. Socialista.
- Enmienda núm. 313, del G.P. Socialista.
- Enmienda núm. 358, del G.P. Popular.
Disposición adicional primera
- Enmienda núm. 314, del G.P. Socialista.
Disposición adicional segunda
- Enmienda núm. 171, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 240, del G.P. Esquerra Republicana.
- Enmienda núm. 315, del G.P. Socialista.
Disposición adicional tercera
- Sin enmiendas.
Disposición adicional cuarta
- Sin enmiendas.
Disposición adicional quinta
- Sin enmiendas.
Disposición adicional sexta
- Enmienda núm. 60, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 172, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 241, del G.P. Esquerra Republicana.
Disposición adicional séptima
- Enmienda núm. 93, del G.P. Ciudadanos.
- Enmienda núm. 173, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 317, del G.P. Socialista.
Disposición adicional octava
- Enmienda núm. 24, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 174, del Sr. Campuzano i Canadés (GMx).
Disposición adicional novena
- Enmienda núm. 318, del G.P. Socialista.
Disposición adicional décima
- Enmienda núm. 61, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 175, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 242, del G.P. Esquerra Republicana.
Disposición adicional undécima
- Enmienda núm. 25, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 319, del G.P. Socialista.
Disposición adicional decimosegunda
- Enmienda núm. 320, del G.P. Socialista.
- Enmienda núm. 360, del G.P. Popular.
Disposición adicional decimotercera
- Enmienda núm. 176, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 243, del G.P. Esquerra Republicana.
Disposición adicional decimocuarta
- Sin enmiendas.
Disposición adicional decimoquinta
- Enmienda núm. 177, del Sr. Campuzano i Canadés (GMx).
Disposición adicional decimosexta
- Sin enmiendas.
Disposición adicional decimoséptima
- Sin enmiendas.
Disposiciones adicionales nuevas
- Enmienda núm. 26, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 27, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 28, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 29, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 94, del G.P. Ciudadanos.
- Enmienda núm. 316, del G.P. Socialista.
- Enmienda núm. 321, del G.P. Socialista.
- Enmienda núm. 322, del G.P. Socialista.
- Enmienda núm. 323, del G.P. Socialista.
- Enmienda núm. 361, del G.P. Popular.
- Enmienda núm. 362, del G.P. Popular.
- Enmienda núm. 363, del G.P. Popular.
Disposición transitoria primera
- Sin enmiendas.
Disposición transitoria segunda
- Sin enmiendas.
Disposición transitoria tercera
- Enmienda núm. 364, del G.P. Popular.
Disposición transitoria cuarta
- Sin enmiendas.
Disposición transitoria quinta
- Enmienda núm. 325, del G.P. Socialista.
- Enmienda núm. 365, del G.P. Popular.
Disposición transitoria sexta
- Enmienda núm. 95, del G.P. Ciudadanos.
Disposiciones transitorias nuevas
- Enmienda núm. 30, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
- Enmienda núm. 178, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 244, del G.P. Esquerra Republicana.
- Enmienda núm. 324, del G.P. Socialista.
Disposición derogatoria única
- Enmienda núm. 366, del G.P. Popular.
Disposición final primera
- Enmienda núm. 326, del G.P. Socialista.
- Enmienda núm. 367, del G.P. Popular.
Disposición final segunda
- Enmienda núm. 179, del Sr. Campuzano i Canadés (GMx).
- Enmienda núm. 245, del G.P. Esquerra Republicana.
- Enmienda núm. 327, del G.P. Socialista.
- Enmienda núm. 62, del G.P. Vasco (EAJ-PNV), apartado 2.
- Enmienda núm. 63, del G.P. Vasco (EAJ-PNV), apartado 3.
- Enmienda núm. 64, del G.P. Vasco (EAJ-PNV), apartado nuevo.
- Enmienda núm. 65, del G.P. Vasco (EAJ-PNV), apartado nuevo.
Disposición final tercera. Modificación de la Ley 1/2000, de 7 de enero,
de Enjuiciamiento Civil
- Sin enmiendas.
Disposición final cuarta. Modificación de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-Administrativa.
- Sin enmiendas.
Disposición final quinta
- Enmienda núm. 31, del G.P. Confederal de Unidos Podemos-En Comú Podem-En
Marea.
Disposiciones finales nuevas
- Enmienda núm. 66, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 67, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 68, del G.P. Vasco (EAJ-PNV).
- Enmienda núm. 328, del G.P. Socialista.
- Enmienda núm. 329, del G.P. Socialista.
- Enmienda núm. 330, del G.P. Socialista.
- Enmienda núm. 331, del G.P. Socialista.
- Enmienda núm. 332, del G.P. Socialista.
- Enmienda núm. 333, del G.P. Socialista.
- Enmienda núm. 334, del G.P. Socialista.
- Enmienda núm. 335, del G.P. Socialista.
- Enmienda núm. 336, del G.P. Socialista.
- Enmienda núm. 368, del G.P. Popular.