Amedeo Maturo

Protección de Datos y Administración Electrónica

Privacidad y golpes de calor

Acabo de echarle un vistazo al primer borrador disponible de la nueva LOPD y creo que los redactores (o yo, o ambos), han/hemos sufrido un golpe de calor. Debe de ser esa la explicación a algunas cosas que no se entienden (bueno, yo no las entiendo, que tampoco es una novedad).

Al grano, que es gerundio (o algo así).

Novedades de las buenas

  • La nueva LOPD se aplicará también a los particulares.

Eso quiere decir que todas tus agendas, listines telefónicos, álbumes de fotos de la primera comunión, etc. deben someterse a la implacable legislación en materia de protección de datos. Pues, sí, así es. Para demostrarlo, hay que irse a leer el art. 2 del mencionado borrador, “Ámbito de aplicación“.

Por lo menos en la versión que yo tengo (Ministerio de Justicia, 8/6/17), desaparece la excepción del uso de datos personales dentro de la esfera doméstica. Ergo, vige la regla general según la cual “La presente ley orgánica se aplia a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al trataminto no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero“. Las excepciones previstas en el párrafo 2º siguen sin mencionar la famosa excepción doméstica.

¿Que se trata de un despiste? Lo deseo y hasta lo sospecho. De hecho, la excepción doméstica sí aparece en el art. 15.6, sobre el uso de vídeo cámaras por motivos de seguridad, cuando “se considera excluido de su (del GDPR) ámbito de aplicación el trataminto de imágenes llevado a cabo por una persona física en su propio domicilio“.

Hipótesis plausibles:

a. se han despistado (culpa del calor);

b. no han creído necesario reiterar la existencia de la excepción doméstica, prevista en el art. 2.2, GDPR.

Si es cierta la segunda, entonces, ¿por qué mencionarla cuando se trata de las imágenes de las vídeo cámaras? Cobra fuerza la hipótesis del golpe de calor.

  • Las Administraciones Públicas NO deberán nombrar a un DPO

El artículo 35 del borrador LOPD enumera a una serie de entidades que, bien como encargados del tratamiento, bien como responsables del mismo, están obligados a nombrar a un Delegado de Protección de Datos. Ya saben que yo prefiero Data Privacy Officer (DPO), que mola más, pero éste no es lugar ni tiempo para debatir este asunto.

Entre los obligados a nombrar al DPO no están las Administraciones Públicas, al no ser que se trate de centros sanitarios.

Bien; bueno, mal. El artículo 37.1.a), GDPR dice: “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial“.

¿En qué quedamos? En el Ayuntamiento de Somarriba de la Sierra, ¿estamos obligados o no a nombrar a un DPO? A quién atendemos, ¿al GDPR o a la LOPD? No me digan que, a estas alturas, me tengo que ir a estudiar otra vez las fuentes del Derecho

De la vergonzosa redacción del artículo 77 no quiero hablar, que se me llevan los demonios (a la cárcel)

Categoría: Data Privacy Officer, Datos personales, Delegado de Protección de Datos, DPO, GDPR, LOPD, Protección de Datos

Etiquetas: , , , , , ,

5 Comentarios

  1. Robert Madge dice:

    Como sabes, será el GDPR que prevalecerá sobre la LOPD, pero ¿qué haremos con el artículo 3.2 del GDPR (versión española) que dice que el reglamento “se aplica al tratamiento de datos personales de interesados que RESIDAN en la Unión” (las mayúsculas son mías)?

    • Sí, tenemos un problema de traducciones y, sí, tenemos un problema con las versiones. De ahí que las legislaciones nacionales de desarrollo (y no de copia/pega) podrían servir, si coordinadas, a aclarar estos asuntos.

  2. Robert Madge dice:

    En el anteproyecto de la nueva LOPD (al menos en la versión que tengo, que no lleva fecha), han corregido la excepción del caso de actividades personales o domésticas – artículo 2.2(a).

    En el artículo 35.1 de esta versión, las primeras palabras son “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679.” Por lo tanto, ahora cubre el caso que “el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.”

    Pienso que recibiste un borrado especial…. 😉

  3. Robert Madge dice:

    …borrador…

Deja un comentario

Archivos

Mi Twitter

Temas