Hemos analizado el nuevo proyecto que ha sido publicado recientemente y observamos los cambios con respecto a la versión del 24 de noviembre de 2017.
En este sentido, la nueva versión del Proyecto de Ley Orgánica de Protección de Datos resulta novedosa ya que, además de introducir algunos cambios dedicados a la transposición del RGPD, introduce un nuevo título relativo a los “nuevos derechos digitales”, en el que son objeto de regulación los derechos y libertades asociados al entorno de Internet como la neutralidad de la Red y el acceso universal, o los derechos a la seguridad y educación digital, así como los derechos al olvido, a la portabilidad y al testamento digital. Destaca particularmente el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de los dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Asimismo, destaca la garantía de la libertad de expresión y el derecho a la rectificación de informaciones en medios de comunicación digitales.
En relación con los cambios dedicados a la transposición del RGPD, destacamos los siguientes:
* Se amplía el elenco de responsables y encargados que tendrán la obligación de designar un Delegado de Protección de Datos, pasando a incluir a las federaciones deportivas cuando traten datos de menores. Conviene destacar, respecto a los centros sanitarios, que se exceptúa a los profesionales que ejerzan su actividad a título individual.
* La edad para prestar el consentimiento se fija a partir de los 14 años y no 13 como en la anterior redacción.
* Se habilita la información mediante un sistema de información por capas en cualquier entorno, tal y como recomendaba la AEPD en su Guía sobre el deber de informar.
* Se define en qué debe consistir el bloqueo de datos. Según el nuevo texto, se trata de la “identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas”.
* Respecto a la forma de iniciar el procedimiento sancionador y su duración, se diferencian tres supuestos:
- los relativos a la falta de atención de una solicitud de ejercicio de los derechos;
- los de determinación de la posible existencia de una infracción de lo dispuesto en el RGPD;
- cuando el procedimiento se tramite como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la reclamación formulada ante la misma.
* Se añade como infracción muy grave la reversión intencional de un procedimiento de anonimización.
* Contempla como atenuante para la graduación de la sanción que el responsable disponga de un DPO, así como el sometimiento a mecanismos de resolución alternativa de conflictos.