El informe jurídico de la AEPD sobre el Anteproyecto de Ley Orgánica de Protección de Datos de carácter personal aborda la adaptación del ordenamiento jurídico español al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Este informe destaca varios puntos clave:
1. **Adaptación al RGPD**: El Anteproyecto busca completar el régimen regulador del derecho fundamental a la protección de datos, vinculando su aplicación al RGPD y a la garantía del ejercicio del derecho fundamental a la protección de datos de carácter personal, consagrado por el artículo 18.4 de la Constitución y el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
2. **Principios de Protección de Datos**: Se adapta el derecho interno a los principios consagrados por el RGPD, como la minimización de datos, la exactitud de los datos y la seguridad y confidencialidad. Se introduce una regla más restrictiva sobre la minimización de datos, exigiendo que los datos sean «limitados a los necesarios» para los fines del tratamiento.
3. **Legitimación para el Tratamiento de Datos**: Se regula la legitimación para el tratamiento de datos, diferenciando entre el consentimiento y otros supuestos como el cumplimiento de una obligación legal, una misión de interés público o el ejercicio de un poder público. Se mantiene el principio de que el acceso a los datos por parte del encargado del tratamiento no precisa de una legitimación adicional a la que justifica el tratamiento de los mismos por el responsable.
4. **Derechos de las Personas**: Se adapta el ordenamiento español a lo establecido en el Capítulo III del RGPD, regulando el derecho de las personas a ser informadas acerca del tratamiento (principio de transparencia e información), los restantes derechos regulados en los artículos 15 a 22 del RGPD y la obligación de bloqueo de los datos.
5. **Autoridades de Protección de Datos**: Se regula el régimen de las autoridades de protección de datos, destacando la «total independencia» con la que el RGPD inviste a las autoridades, conforme a las exigencias contenidas en la Carta de Derechos y Libertades Fundamentales de la Unión Europea. Se mantiene el régimen peculiar de la Agencia Española de Protección de Datos, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
6. **Procedimientos y Sanciones**: Se establece un régimen sumamente complejo en cuanto a la tramitación de los procedimientos en caso de presentación de una reclamación contra un responsable o encargado del tratamiento. Se tipifican las conductas y se establecen las sanciones, diferenciando entre infracciones muy graves, graves y leves, con plazos de prescripción de tres, dos y un año respectivamente.
7. **Transferencias Internacionales de Datos**: Se regula el régimen de las transferencias internacionales de datos, estableciendo los supuestos en los que será precisa la intervención de la autoridad de protección de datos de carácter personal.
8. **Medidas de Responsabilidad Activa**: Se introduce un enfoque basado en el riesgo, exigiendo a los responsables y encargados del tratamiento que evalúen los riesgos que su actividad puede generar en el derecho fundamental para, a partir de dicha valoración, adoptar las medidas necesarias para mitigarlos en todo lo posible.
9. **Delegado de Protección de Datos**: Se regula la figura del delegado de protección de datos, creado por el RGPD, que se configura como una figura esencial en el nuevo marco establecido en el mismo. Se establece que el delegado de protección de datos puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.
10. **Mecanismos de Autorregulación y Certificación**: Se regula los mecanismos de autorregulación y certificación en materia de protección de datos de carácter personal, adaptando al derecho español lo previsto en la Sección 5 del Capítulo IV del RGPD.
En resumen, el informe jurídico de la AEPD sobre el Anteproyecto de Ley Orgánica de Protección de Datos de carácter personal busca adaptar el ordenamiento jurídico español al RGPD, garantizando el ejercicio del derecho fundamental a la protección de datos y estableciendo un régimen claro y detallado para la protección de datos personales en España.