A la espera de la publicación en el Boletín Oficial del Estado de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) después de su aprobación final por el Senado el 21 de noviembre ya es posible analizarla. Supone la adaptación del Reglamento Europeo de Protección de Datos (RGPD), en plena aplicación desde el 25 de mayo, a nuestro ordenamiento jurídico.
Se deroga la LOPD de 1999 y el real decreto de julio del 2018
En primer lugar, su alcance produce la derogación del Real Decreto de julio de este año de medida urgentes cuyo carácter era provisional, también de la ley orgánica de protección de datos (LOPD) del año 1999 a excepción de su artículo 22, hasta que se trasponga la Directiva 2016/680 sobre el tratamiento de protección de datos de las autoridades competentes, y sus artículos 23 y 24 relativos a las excepciones de los derechos de los interesados debido al ejercicio de intereses públicos del Estado. Asimismo, se derogan todas aquellas disposiciones de igual o inferior rango que no estén en línea con lo dispuesto en el RGPD y la nueva ley.
Continúa el tratamiento de los datos fundamentado en el interés público
El artículo 8.2 de la ley recoge la licitud del tratamiento de los datos personales cuando se realice para cumplir una misión «en interés público o en el ejercicio de poderes públicos conferidos al responsable» en los mismos términos que el artículo 6.1 e) del RGPD. Por tanto, encaja con el proceder del tratamiento de los datos personales que realizan las corporaciones colegiales de sus colegiados en relación a las funciones públicas que tienen atribuidas por ley.
Obligación de designar a un Delegado de Protección de Datos (DPD)
Con mayor detalle que en el artículo 37 del RGPD, el artículo 34.1 a) de la ley recoge la obligación de designar un Delegado de Protección de Datos (DPD) en «los colegios profesionales y sus consejos generales». Igualmente, la letra l) aclara que también habrán de contar con un DPD los centros sanitarios obligados legalmente a mantener las historias clínicas de los pacientes. No obstante, excluye de la obligación del DPD a los profesionales sanitarios que ejerzan por cuenta propia aunque hayan de guardar las historias clínicas. Con todo, sigue sin definirse con claridad el concepto de gran escala en el tratamiento de los datos.
Base para articular la colegiación de oficio
Por su parte, la ley remite en su artículo 18 al contenido del artículo 21 del RGPD sobre el derecho de oposición. Un artículo a tomar en consideración para articular desde las corporaciones colegiales la petición de datos personales a entidades públicas y privadas sobre los profesionales en situación de ejercicio irregular en sus plantillas e instarles así, a la colegiación de oficio. Concretamente, el RGPD sostiene que, aunque los interesados puedan oponerse al tratamiento de sus datos, el derecho del responsable será posible cuando «acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones».
Régimen sancionador aplicable a corporaciones de derecho público
Respecto a la cuestión de sanciones e infracciones, la ley establece un régimen aplicable a determinadas categorías de responsables o encargos del tratamiento. Así, el artículo 77.1 g) menciona a las corporaciones de derecho público «cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público». Por ende, las corporaciones colegiales estarían en este supuesto. Y conectado con este artículo, la disposición adicional primera señala que los responsables de tratamiento deberán aplicar las medidas de seguridad previstas en el Esquema Nacional de Seguridad.
Tratamiento de los datos de salud
En relación a los tratamientos de los datos de salud, la disposición adicional decimoséptima expone las leyes que lo amparan entre las que recoge la ley de ordenación de las profesiones sanitarias. Además, aborda los criterios para el tratamiento del que se puede señalar como ejemplo que «las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de especial relevancia y gravedad para la salud pública».
Protección de datos y transparencia
Otro apunte interesante se encuentra en la disposición adicional segunda que apunta que cuando haya datos personales, los principios de publicidad activa y el acceso a la información pública recogidos en la ley de transparencia, se someterán también a lo dispuesto en sus artículos 5.3 y 15.
Labor estadística y archivo en interés público
En cuanto a la elaboración de estadísticas de interés público que realizan las corporaciones colegiales se entiende amparada en el artículo 6.1 e) del RGPD según el artículo 25 de la ley. Y, a colación, el artículo 26 recoge como lícito el tratamiento de datos con fines de archivo en interés público.
Los datos de contacto de los profesionales liberales solo lo serán a tal efecto
De acuerdo al artículo 19.2 de la ley, los datos de contacto relativos a profesionales liberales solo podrán emplearse para dirigirse a estos como tales, y no como personas físicas. Esto se enmarca en el artículo 6.1 f) del RGPD que sostiene el interés legítimo del tercero excepto si hay prevalencia de los derechos y libertades fundamentales del interesado, en este caso, el profesional. En esta línea, también se cita el deber del secreto profesional en el artículo 5.2.
Solo los abogados y procurados pueden tratar datos de naturaleza penal
En su artículo 10.3, la ley otorga a los abogados y procuradores la exclusividad del tratamiento de datos sobre condenas, infracciones penales, procedimientos y medidas cautelares y de seguridad, cuando el cliente les haya facilitado la información para realizar las funciones de su acto o ejercicio profesional. Ello introduce mayor concreción sobre lo dispuesto en el RGPD.