La norma consta de 97 artículos, organizados en 10
títulos;
El Título I, artículos 1 a 3, relativo a las disposiciones
generales, regula el objeto y el ámbito de aplicación de la ley y establece
que el derecho fundamental de las personas físicas a la protección de datos
personales, por el artículo 18.4 de la Constitución, se ejercerá con
arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
Incluye la regulación de los datos de las personas
fallecidas, pues, tras excluir del ámbito de aplicación de la ley su
tratamiento, se permite que las personas vinculadas al fallecido por razones
familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos,
así como su rectificación o supresión, en su caso con sujeción a las
instrucciones del fallecido.
El Título II (arts. 4 a 10) regula los principios
de protección de datos: exactitud de los datos; deber de confidencialidad;
el tratamiento basado en el consentimiento del afectado; el consentimiento de
los menores de edad; el tratamiento de datos por obligación legal,
interés público o ejercicio de poderes públicos; las categorías especiales de
datos y el tratamiento de datos de naturaleza penal.
El Título III, sobre los derechos de las
personas, se organiza en dos capítulos, el primero, “Transparencia
e información” (art. 11) recoge la denominada «información por capas» ya
generalmente aceptada en ámbitos como el de la video vigilancia o la
instalación de dispositivos de almacenamiento masivo de datos ( las
«cookies»), facilitando al afectado la información básica, si bien, indicándole
una dirección electrónica u otro medio que permita acceder de forma sencilla e
inmediata a la restante información. En el segundo Capítulo de este Título, “Ejercicio
de los derechos” (arts. 12 a 18), se contienen las disposiciones generales
sobre ejercicio de los derechos y se regula el ejercicio de los derechos de
acceso; rectificación; supresión.; a la limitación del tratamiento; a la
portabilidad y de oposición.
El Título IV (arts. 19 a 27), contiene las disposiciones
aplicables a un relación de tratamientos concretos que, según la exposición
de motivos, “en ningún caso debe considerarse exhaustiva de todos los
tratamientos lícitos”. Dentro de ellos se incluye, en primer lugar, aquellos
tratamientos respecto de los que el legislador establece una presunción del interés legítimo del responsable cuando se lleven a
cabo con una serie de requisitos, como el de los datos de contacto, de
empresarios individuales y de profesionales liberales; de los sistemas de
información crediticia
El Título V se ocupa del responsable y del
encargado del tratamiento y se divide en cuatro capítulos.
El
primero (“Disposiciones generales. Medidas de responsabilidad activa”),
arts. 28 a 32, regula las obligaciones generales del responsable y encargado
del tratamiento; los supuestos de corresponsabilidad; el representantes de los
responsables o encargados del tratamiento no establecidos en la Unión Europea;
el registro de las actividades de tratamiento y el cuestionado bloqueo de los
datos.
El Capítulo dos (“Encargado del tratamiento”),
consta de un único artículo con el mismo título.
El Capítulo tres (“Delegado de protección de
datos”, arts. 34 a 37), regula diversos aspectos de esta relevante figura,
como su designación; su cualificación; su posición dentro de las organizaciones
y su intervención en caso de reclamación ante las autoridades de protección de
datos.
Finalmente, el Capítulo cuatro de este Título
se ocupa de los “Códigos de conducta y certificación” (arts. 38 y 39).
En el Título VI (arts. 40 a 43) se contienen
las normas aplicables a las transferencias internacionales de datos,
adaptando lo previsto en el RGPD en cuanto a los procedimientos a través de los
cuales las autoridades de protección de datos pueden aprobar modelos
contractuales o normas corporativas vinculantes, supuestos de autorización de
una determinada transferencia, o información previa
El Título VII (“Autoridades de protección de
datos”) se estructura en dos capítulos.
El primero dedicado a la Agencia
Española de Protección de Datos, se divide en tres secciones. La
primera, (“Disposiciones generales”, arts. 44 a 50), regula su régimen
jurídico, presupuestario y de personal; sus funciones y potestades; la
Presidencia de la Agencia, su Consejo Consultivo y la publicidad de sus
actuaciones.
La Sección 2.ª (arts. 51 a 56), se refiere a las
potestades de investigación de la AEPD y sus planes de auditoría preventiva,
regulando su ámbito y personal; el deber de colaboración con ella; el alcance
de su actividad de investigación; sus planes de auditoría.
Y la Sección 3.ª de este Capítulo (arts. 55 y 56),
contempla las potestades de regulación y las Circulares de la AEPD, así como su
acción exterior.
Capítulo II regula las Autoridades autonómicas de protección de datos, en dos secciones. La primera (arts. 57 a 59), se dedica a las disposiciones generales que las regulan, a la cooperación institucional y a los tratamientos contrarios al Reglamento (UE) 2016/679. La segunda (arts. 60 a 62), regula la coordinación de sus actividades en el marco de los procedimientos establecidos en el Reglamento, como sucede en los casos de emisión de dictamen o de resolución de conflictos por el Comité Europeo de Protección de Datos; así como en caso de tratamientos transfronterizos.
El Título VIII (arts. 63 a 69), se refiere los procedimientos
sancionadores por vulneración de la normativa de protección de datos:
su régimen jurídico; la iniciación y duración del procedimiento; la admisión a
trámite de las reclamaciones; el alcance territorial; las actuaciones previas
de investigación y las medidas provisionales y de garantía de los derechos
aplicables. Destaca la importancia de la determinación, con carácter previo a
la tramitación de cualquier procedimiento, de si el tratamiento tiene o no carácter
transfronterizo y, en caso afirmativo, la autoridad de protección de datos que
ha de considerarse principal.
El Título IX regula el
fundamental régimen sancionador. En los arts. 70 a 78 se regulan los
sujetos responsables; se tipifican las infracciones y se identifican las muy
graves, graves y leves,
El Título X (arts.
79 a 97), denominado “Garantía de los derechos digitales”, a fin de
“reconocer y garantizar un elenco de derechos digitales de los ciudadanos
conforme al mandato establecido en la Constitución”.
No hay comentarios:
Publicar un comentario