Acabo de echarle un vistazo al primer borrador disponible de la nueva LOPD y creo que los redactores (o yo, o ambos), han/hemos sufrido un golpe de calor. Debe de ser esa la explicación a algunas cosas que no se entienden (bueno, yo no las entiendo, que tampoco es una novedad).

Al grano, que es gerundio (o algo así).

Novedades de las buenas

  • La nueva LOPD se aplicará también a los particulares.

Eso quiere decir que todas tus agendas, listines telefónicos, álbumes de fotos de la primera comunión, etc. deben someterse a la implacable legislación en materia de protección de datos. Pues, sí, así es. Para demostrarlo, hay que irse a leer el art. 2 del mencionado borrador, «Ámbito de aplicación«.

Por lo menos en la versión que yo tengo (Ministerio de Justicia, 8/6/17), desaparece la excepción del uso de datos personales dentro de la esfera doméstica. Ergo, vige la regla general según la cual «La presente ley orgánica se aplia a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al trataminto no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero«. Las excepciones previstas en el párrafo 2º siguen sin mencionar la famosa excepción doméstica.

¿Que se trata de un despiste? Lo deseo y hasta lo sospecho. De hecho, la excepción doméstica sí aparece en el art. 15.6, sobre el uso de vídeo cámaras por motivos de seguridad, cuando «se considera excluido de su (del GDPR) ámbito de aplicación el trataminto de imágenes llevado a cabo por una persona física en su propio domicilio«.

Hipótesis plausibles:

a. se han despistado (culpa del calor);

b. no han creído necesario reiterar la existencia de la excepción doméstica, prevista en el art. 2.2, GDPR.

Si es cierta la segunda, entonces, ¿por qué mencionarla cuando se trata de las imágenes de las vídeo cámaras? Cobra fuerza la hipótesis del golpe de calor.

  • Las Administraciones Públicas NO deberán nombrar a un DPO

El artículo 35 del borrador LOPD enumera a una serie de entidades que, bien como encargados del tratamiento, bien como responsables del mismo, están obligados a nombrar a un Delegado de Protección de Datos. Ya saben que yo prefiero Data Privacy Officer (DPO), que mola más, pero éste no es lugar ni tiempo para debatir este asunto.

Entre los obligados a nombrar al DPO no están las Administraciones Públicas, al no ser que se trate de centros sanitarios.

Bien; bueno, mal. El artículo 37.1.a), GDPR dice: «El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial«.

¿En qué quedamos? En el Ayuntamiento de Somarriba de la Sierra, ¿estamos obligados o no a nombrar a un DPO? A quién atendemos, ¿al GDPR o a la LOPD? No me digan que, a estas alturas, me tengo que ir a estudiar otra vez las fuentes del Derecho

De la vergonzosa redacción del artículo 77 no quiero hablar, que se me llevan los demonios (a la cárcel).

Eso sí, siempre podemos hablar del asunto por email.