Читать книгу Transferencias internacionales de datos: pasado, presente y futuro - Elena Davara Fernández de Marcos - Страница 18
3. LOPDGDD
ОглавлениеTerminamos el análisis de la normativa vigente en materia de protección de datos con la vigente Ley Orgánica65 de protección de datos y garantía de derechos digitales: la ya citada: LOPDGDD. Si bien, nos gustaría comenzar haciendo hincapié en que su aprobación definitiva no fue pacífica66 por cuanto eran muchos los intereses y agentes implicados y enfrentados y, creemos nosotros, además, porque su aprobación no era conditio sine qua non para que la normativa europea fuera de aplicación en España –por cuanto, como sabemos, el Reglamento europeo de protección de datos es de aplicación directa67 en España desde el 25 de mayo de 2018–.
Resumiendo, el proceso de creación y aprobación definitiva de la LOPDGDD destacamos los siguientes hitos: en un primer momento, el Consejo de Ministros, el 23 de junio de 2017, impulsó, a propuesta del ministro de Justicia, el Anteproyecto de Ley Orgánica de protección de datos. Meses más tarde, el 10 de noviembre de 2017, el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de protección de datos que adaptará la legislación española a las disposiciones de un Reglamento comunitario de 2016, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país.
Y tras varios meses de intensos debates68, el 6 de diciembre de 2018 –coincidiendo con el 40.º aniversario de nuestra Constitución–, se publicó en el BOE la Ley Orgánica de protección de datos Personales y garantía de los derechos digitales. Está compuesta por un preámbulo, 10 títulos, 22 disposiciones adicionales, 6 disposiciones transitorias, una única disposición derogatoria, 16 disposiciones finales y un total de 97 artículos.
Lo primero que llama la atención es la denominación de la propia norma por cuanto es la primera vez que una normativa de protección de datos contempla, algo más, que el derecho a la protección de datos en sentido estricto. A estos efectos, además de en la propia denominación de la norma, la LOPDGDD incorpora, en su título X, un listado de artículos cuya misión, según el preámbulo, es la de acometer la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. Entre estos derechos, destacamos: Derecho de acceso universal a Internet, Derecho a la seguridad digital, Derecho a la educación digital, Derecho de rectificación en Internet, Derecho a la actualización de informaciones en medios de comunicación digitales, Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, Derecho a la desconexión digital en el ámbito laboral, Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, Derecho al olvido en servicios de redes sociales y servicios equivalentes o el Derecho al testamento digital, entre otros.
Además de los derechos digitales, como novedades principales, la LOPDGDD incorpora, entre otras cuestiones: las medidas de responsabilidad activa, la figura del Delegado de protección de datos, el tratamiento de datos de personas fallecidas o los sistemas de denuncias internas en una entidad. Y, teniendo en cuenta el barrido histórico que hemos querido incorporar en esta obra, destacamos cómo hay varios aspectos que, en la LOPD del 99 no estaban contemplados y que, sin embargo, sí que aparecen contemplados en la LOPDGDD, a saber: el tratamiento con fines de videovigilancia; el tratamiento de datos de personas fallecidas, el tratamiento de datos en el sistema interno de denuncias en una empresa, las medidas de responsabilidad activa, el derecho de supresión y el derecho a la portabilidad de los datos y el Delegado de protección de datos.
Y, por supuesto, todas las cuestiones que incorpora el Reglamento europeo de protección de datos y que suponen un cambio de actitud –de una mentalidad reactiva a una mentalidad proactiva– y a las que, en muchos casos, se remite el texto de la LOPDGDD al Reglamento y no las regula extensamente.
Por último, en lo que a su contenido se refiere, simplemente recordar la normativa que, de manera expresa, queda derogada por la LOPDGDD, a saber:
– Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal69.
– El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
– Asimismo, cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
Finalizamos este Capítulo poniendo de manifiesto que, pese a la diferencia en lo que a impacto y presencia de las TIC se refiere y al nivel de globalización existente, lo cierto es que las transferencias internacionales de datos –y, por ende, todo lo referente a su regulación– han estado siempre bajo el paraguas de la normativa de protección de datos, aumentando su nivel de importancia y presencia según han ido avanzando los años. Debiéndose este aumento, en nuestra opinión, al propio aumento, importancia y, nos atrevemos a decir, necesidad en la sociedad de la información y las comunicaciones en la que vivimos del intercambio de datos personales con distintos fines.
Por ello, en el siguiente Capítulo nos centraremos en el propio concepto de transferencia internacional de datos para, a continuación, analizar su regulación actual bajo el prisma del Reglamento europeo de protección de datos y la Ley Orgánica de protección de datos personales y garantía de derechos digitales.
1. Entendemos por informática, en una clásica definición, como “la ciencia del tratamiento automático de la información”.
2. Información es el resultado del tratamiento de un dato con un fin determinado.
3. Como curiosidad, el término “informática” es atribuible al ingeniero francés Philippe Dreyfus que utilizó “informatique” por primera vez en 1962, como acrónimo de las palabras “information” y “automatique”.
4. Indica Davara Rodríguez, que “las tecnologías tienen su verdadero interés en la unión (casi por naturaleza) con las telecomunicaciones y su apertura hacia el mundo exterior que, al no tener límites aparentes, plantea serias dudas en cuanto al respeto de los derechos básicos de los individuos y su estructuración en una diferente organización social, que permita no poner puertas al campo, con el paralelo respeto a los derechos de la persona y su desarrollo en libertad dentro de la convivencia”. Vid.: Davara Rodríguez, M.A., “Manual de Derecho Informático”, 11.ª edición, Thomson Aranzadi, Pamplona 2015. Ebook. Capítulo I, epígrafe 2.
5. Los derechos civiles y políticos, como, por ejemplo, el derecho al voto o el derecho a la huelga, son considerados como derechos humanos de primera generación. Los derechos culturales, económicos y sociales se asocian a la denominación de derechos humanos de segunda generación; por último, se habla de derechos humanos de tercera generación asociándolos a la solidaridad entendida como el apoyo o interés a una causa de otros.
6. Y, por supuesto, a través de su tratamiento no automatizado. Como sabemos, la norma-tiva de protección de datos es aplicable al tratamiento automatizado, no automatizado y mixto de datos personales.
7. Tal y como pone de manifiesto Zaballos Pulido, conviene tener en cuenta que “La Ley adoptada en Alemania, en el Land de Hesse, de 7 de octubre de 1970, que es la primera Ley específicamente dedicada a la protección de los datos personales, en este caso, en sus tratamientos por los organismos públicos. En cuando a leyes de ámbito nacional, la primera fue la Ley Sueca de 11 de mayo de 1973. Se trata de una norma cuyo ámbito abarca ya la totalidad de los tratamientos, tanto los llevados a cabo por el sector público como por el sector privado, y crea una autoridad nacional para la protección de datos personales. En EEUU, por su parte, el primer antecedente también data de esos años. Se trata de la ‘Privacy Act’, referida también exclusivamente a los tratamientos llevados a cabo por los organismos públicos”. Vid.: Zaballos Pulido, E.: “La protección de datos personales en España: evolución normativa y criterios de aplicación”, p. 88. ob.cit.
8. En este mismo sentido se expresa López Vilas al afirmar que “Constitución vigente” que sigue representando, 40 años después, una auténtica “lección de democracia” que “devolvió a los españoles la soberanía nacional y reconoció la diversidad de sus orígenes, culturas, lenguas y territorios (…)”. Vid.: López Vilas, R.: “La Constitución española de Juan Carlos I; por Ramón López Vilas, Académico de Número de la Real Academia de Jurisprudencia y Legislación de España”, Estudios y Comentarios, Diario del Derecho, 2018.
9. Recuerda Troncoso en este sentido que “La Constitución Española de 1978 es, como hemos señalado antes, después de la Constitución portuguesa de 1976, el segundo texto constitucional que reconoce un derecho fundamental a la protección de los ciudadanos frente a las tecnologías de la información. No obstante, el precepto constitucional español es más breve que el portugués y que aquellos otros artículos que se han introducido posteriormente a través de reformas constitucionales o en la Constitución europea”. Vid.: Troncoso Reigada, A.: “La protección de datos personales. Una reflexión crítica de la jurisprudencia constitucional”. Cuadernos de Derecho Público, núms. 19-20 (mayo-diciembre 2003). p. 245. Recuperado de https://revistasonline.inap.es/index.php/CDP/article/view/698/753. Consultado el 12 de mayo de 2020.
10. Nos recuerda –aunque el listado de los datos incluidos no es exactamente el mismo– esta expresión a lo que la doctrina denomina “datos sensibles”, si bien, en la normativa en la materia se ha denominado “datos especialmente protegidos” (art. 7 de la ya derogada LOPD) o “categorías especiales de datos” (art. 9 de la vigente LOPDGDD).
11. El fundamento quinto de la STC 292/2000 confirma la interpretación relativa a que el art. 18.4 de CE incorpora un nuevo derecho fundamental a protección de datos señalando que: “Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE)”.
12. Castell, sobre este precepto, opina que: “En la mente y en la intención de los autores del 18.4, se denotaba la voluntad, no del todo explícita, de embridar una potente innovación tecnológica, que explotaba por doquier con creciente fuerza”. Vid.: Castell Arteche, J.M.: “La limitación informática” en: “Estudios sobre la Constitución Española”, Civitas, Madrid, 1991.
13. Podemos encontrar cierta similitud con el derecho de acceso previsto en la normativa en materia de protección de datos.
14. Traemos a colación una clasificación de los derechos fundamentales del Profesor Santamaría Ibeas en donde pone de manifiesto que “Si la primera generación de derechos fundamentales es consecuencia del paso del ‘Estado absolutista’ al ‘Estado liberal’ y la segunda generación lo es del paso del Estado liberal al ‘Estado social’, la tercera generación podríamos afirmar que es hija del ‘Estado del bienestar’”, de modo que la característica de estos derechos es, por una parte, la solidaridad y, por otra, la reacción contra la degradación paulatina sufrida en este final de siglo por los derechos fundamentales contenidos en las otras dos “generaciones”. Vid.: Santamaría Ibeas, J.J.: “La LORTAD: breve análisis de sus antecedentes”. Revista Informática y Derecho, Dialnet, 1994. P. 271.
15. En este sentido, Elvira Perales indica “Una primera interpretación llevó a considerar este derecho como una especificación del derecho a la intimidad, pero el Tribunal Constitucional ha interpretado que se trata de un derecho independiente, aunque obviamente estrechamente relacionado con aquél (…)En concreto, la STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquél que justificó su obtención”. Vid.: Elvira Perales, A.: “Sinopsis artículo 18”. Recuperado de https://app.congreso.es/consti/constitucion/indice/sinopsis/sinopsis.jsp?art=18&tipo=2. Consultado el 27 de noviembre de 2020.
16. En opinión de Villaverde Menéndez: “La remisión a la ley del apartado 4 del artículo18 tiene como función ordenar al legislador que sea él quien establezca qué usos públicos y privados de la informática son lícitos y cuáles no. Por consiguiente, la Constitución encomienda al legislador, sea este nacional o asuma el nacional lo hecho por el internacional, el establecimiento de un sistema de protección de datos personales frente a su gestión informatizada, que deberá tener en cuenta aquellos derechos a ser informado sobre la existencia y finalidad de los ficheros auto matizados y sobre los datos personales que contengan”. Vid.: Villaverde Menéndez, I.: “Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo, a propósito de la STC 254/1993” en Revista Española de Derecho Constitucional Año 14, Núm. 41, mayo-agosto 1994. P. 188.
17. Comentaremos aquí solo dos de las primeras sentencias del Tribunal Constitucional cuya importancia fue vital para la concreción del derecho fundamental a la protección de datos.
18. Sentencia del Tribunal Constitucional, de 20 de julio de 1993 (RTC 1993, 254), que resuelve el recurso de amparo núm. 1827/90. Su ponente es el magistrado Femando García-Man y González Reguera y el magistrado Miguel Rodríguez-Piñero y Bravo-Ferrer formuló un voto particular.
19. Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981. Publicado en el BOE núm. 274, de 15 de noviembre de 1985 (RCL 1985, 2704). En adelante, también, el Convenio 108.
20. Heredero Higueras señala que “El Convenio matiza lo dispuesto explícitamente por la Constitución, de forma que ya no se trata tanto de ‘limitar’ el uso de la Informática para garantizar al ciudadano la intimidad personal y el ejercicio de sus derechos, como de ‘garantizar’ el respeto de los derechos fundamentales en relación con la gestión informática de los datos personales, incluyendo el derecho a la vida privada; de modo que se hace una inversión de los términos transitando de lo genérico a lo concreto en vez de lo concreto a lo genérico”. Recuperado de www.unirioja.es%2Fservlet%2Farticu lo%3Fcodigo%3D250481&usg=AOvVaw3MNH4vT6N59nP6NIx9YxnQ. Consultado el 17 de diciembre de 2020.
21. El artículo 4 del Convenio –bajo la rúbrica de “obligaciones de las partes”–, indica que “1. Cada Parte adoptará en su derecho interno las medidas necesarias para dar cumplimiento a los principios fundamentales de protección de datos enunciados en el presente Capítulo. 2. Tales medidas deberán ser adoptadas lo más tarde en el momento en que el presente convenio entrare en vigor con respecto a la Parte”.
22. Dados los múltiples cambios y avances, así como el impacto de las Tecnologías de la Información y las Comunicaciones en relación a los datos de carácter personal “el Consejo de Europa promovió este Protocolo de Enmienda, aprobado el 18 de mayo de 2018 por el Comité de Ministros del Consejo de Europa y abierto a la firma en Estrasburgo el 10 de octubre de 2018. España lo firmó ad referéndum en dicha fecha, firma efectuada por el Embajador Representante Permanente en el Consejo de Europa, previa autorización del Ministro de Asuntos Exteriores, Unión Europea y Cooperación”. Recuperado de http://www.cepymearagon.es/?p=12004. Consultado el 15 de diciembre de 2020.
23. Junto con Alemania, Francia, Reino Unido, Rusia, Portugal y Uruguay. Recuperado de https://www.lavanguardia.com/politica/20181010/452291023498/espana-y–20-paises-firmanprotocolo-para-el-convenio-de-proteccion-de-datos.html. Consultado el 27 de noviembre de 2020.
24. Traemos a colación una interesante tabla comparativa de ambos Convenios –el publicado en 1981 y el publicado en 2018– en la que se pone de manifiesto los cambios más relevantes que han sido introducidos tras 37 años en vigor. La tabla se puede consultar en el siguiente enlace https://rm.coe.int/cahdata-convention-108-table-e–april2018/16808ac958. Consultado el 28 de diciembre de 2020.
25. El texto del Convenio 108+ consta de un preámbulo, 40 artículos y un Apéndice.
26. En esta misma línea, destacamos lo expuesto por el Considerando 32 del Reglamento europeo de protección de datos donde se afirma que “(…)Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.
27. A día de hoy, la normativa en materia de protección de datos es aplicable tanto a los tratamientos automatizados como a los no automatizados –también denominados manuales estructurados– y a los mixtos.
28. Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. Publicada en BOE núm. 262, de 31 de octubre de 1992 (RCL 1992, 2347). En adelante, también, LORTAD.
29. En este sentido traemos a colación, por analogía, la siguiente reflexión: “Conforme a las Directrices de Técnica Normativa aprobadas por Resolución de 28 de julio 2005, que da publicidad al Acuerdo del Consejo de Ministros de 22 de julio de 2005, el contenido de la parte expositiva de un anteproyecto de Ley cumplirá la función de describir su contenido, indicando su objeto y finalidad, sus antecedentes y las competencias y habilitaciones en cuyo ejercicio se dicta. Si es preciso, resumirá sucintamente el contenido de la disposición, a fin de lograr una mejor comprensión del texto, pero no contendrá partes del texto del articulado. Se evitarán las exhortaciones, las declaraciones didácticas o laudatorias u otras análogas”. Recuperado de http://www.legaltoday.com/practica-juridica/social-laboral/laboral/en-una-ley-para-que-sirve-la-exposicion-de-motivos. Consultado el 27 de noviembre de 2020.
30. Estaba compuesta por 48 artículos, 3 disposiciones adicionales, una disposición transitoria y una disposición derogatoria de la disposición transitoria primera de la, ya citada, Ley Orgánica 1/1982.
31. Recuperado de https://eticalegislacionyprofesion.wordpress.com/2014/02/16/lortad-ley-organica-de-regulacion-del-tratamiento-automatizado-de-los-datos-de-caracter-personal-y–la-actual-lopdproteccion-de-datos-de-caracter-personal/. Consultado el 18 de diciembre de 2020.
32. La LORTAD tuvo que ser derogada ante la necesidad de la adecuación de nuestro ordenamiento jurídico a la Directiva 95/46, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos.
33. Consideramos de interés hacer una llamada de atención en este punto a una propuesta, realizada por Conde, de “7 reglas” que resumen el contenido de la LORTAD, a saber: Reglas de licitud, Regla de privacidad, Regla de congruencia, Regla de parcialidad, Regla de temporalidad, Regla de consentimiento y Regla de inscripción. Recuperado de https://www.computerworld.es/archive/la-lortad-un-analisis-critico-en-once-reglas. Consultado el 20 de diciembre de 2020.
34. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a “la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”, publicada en el Diario Oficial de las Comunidades Europeas, serie L, número 281, de 23 noviembre 1995 (LCEur 1995, 2977).
35. Afirma Carrascosa González, en este sentido, la adecuación del instrumento jurídico de Directiva para la materia por cuanto “existían Estados con regulación específica en la materia y otros que carecían de ella”. Vid.: Carrascosa González, J.: “Protección de la intimidad y tratamiento automatizado de datos de carácter personal en Derecho Inter-nacional Privado”, en Revista Española de Derecho Internacional, Vol. XLIV, núm. 2, 1992. P. 419.
36. Llama mucho la atención cómo el Reglamento europeo ha seguido, casi 20 años después, esta misma línea y, basándose en el principio de legitimación, en el artículo 6 del Reglamento europeo se ofrecen seis bases legitimadoras.
37. Curioso es que la denominación que ha llegado hasta nuestros días y que consta, tanto en el Reglamento europeo de protección de datos como en la LOPDGDD es la de “medidas técnicas y organizativas” y no “medidas técnicas y de organización”.
38. Matiza y concluye el artículo 16 de la Directiva respecto a la seguridad del tratamiento “en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales”.
39. Si bien es cierto que no ofrece una definición de lo que es una transferencia internacional de datos, tal y como comentaremos en el Capítulo III en el que abordamos esta cuestión.
40. Nótese que intimidad y protección de datos son derechos diferenciados pero nos hemos ceñido a la literalidad de la norma.
41. Indica el Considerando 7 “Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales (…)”.
42. Mandato impuesto por el artículo 32 de la Directiva 95/46/CE.
43. Podemos calificar como una “suerte de” excepciones el listado de tratamientos que incorpora la LOPD y cuya regulación remite a su normativa específica, a saber: electoral, tratamientos con fines exclusivamente estadísticos y regulados en la normativa sobre función estadística pública, los tratamientos que tengan por objeto los informes personales de calificación a que se refiere la legislación del régimen de personal de las Fuerzas Armadas, los derivados del Registro Civil y del Registro Central de penados y rebeldes así como los procedentes de imágenes y sonidos obtenidos por videocámaras utilizadas por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
44. Indica el primer apartado del artículo 33 de la LOPD: “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que solo podrá otorgarla si se obtienen garantías adecuadas”.
45. Son funciones de la Agencia, entre otras: atender las peticiones y reclamaciones formuladas por los interesados, proporcionar a los afectados información acerca de sus derechos en materia de protección de datos y ejercer la potestad sancionadora en los términos previstos en la propia LOPD, por citar solo algunas.
46. En este sentido, en nota de prensa emitida por el Consejo de Ministros se afirmaba que “El Reglamento europeo establece un régimen sancionador aplicable en España, pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos y proteger de manera efectiva los derechos de los ciudadanos. De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador, lo que también debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general” Consultado el 15 de diciembre de 2020.
47. Publicado en el Boletín Oficial del Estado número 183, de 30 de julio de 2018 (RCL 2018, 1123).
48. Ley que finalmente se publicó el 6 de diciembre de 2018 bajo la denominación Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de derechos digitales.
49. Hubo que esperar casi cinco meses –desde el 30 de julio– hasta el 6 de diciembre.
50. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; b) los derechos de los interesados a tenor de los artículos 12 a 22; c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49; d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX; e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1. 6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
51. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43; c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
52. Respecto a la admisión de denuncias, también resulta importante señalar que el Real Decreto Ley establece que, antes de resolver sobre la admisión a trámite de la reclamación, la AEPD podrá remitir la reclamación al Delegado de Protección de Datos designado por el responsable o el encargado del tratamiento para que pueda dar, en su caso, contestación en el plazo de un mes.
53. Y, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
54. En concreto, el segundo apartado de la Disposición derogatoria única de la LOPDGDD establece que: “2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos”.
55. Aunque, como curiosidad, traemos a colación cómo, en el propio texto del Reglamento de la LOPD se establece que, además de a cuestiones de protección de datos, atiende también a algunas particularidades de la Ley de comercio Electrónico y de la Ley General de Telecomunicaciones.
56. Publicado en el Boletín Oficial del Estado número 17, del 19 de enero (RCL 2008, 150). En adelante, también, el Reglamento de desarrollo de la LOPD o el RLOPD.
57. En este sentido, la propia Introducción del RLOPD indica que las definiciones resultan particularmente necesarias en un “ámbito tan tecnificado como el de la protección de datos personales”.
58. Cuando se publicó el RLOPD, todavía seguía existiendo la Agencia de Protección de Datos de la Comunidad de Madrid, por lo que, el responsable del fichero debía ver si tenía que cumplir con la obligación de notificar los ficheros ante la Agencia Española de Protección de Datos, ante la Agencia Catalana de Protección de Datos, ante la Agencia Vasca de Protección de Datos o ante la –ya extinta– Agencia de Protección de Datos de la Comunidad de Madrid.
59. La existencia de una autoridad independiente que vele por este derecho está pre-vista en el Convenio 108 del Consejo de Europa, de 1981, el primer texto internacional sobre la materia, que seguía el criterio organizativo y funcional de atribuir a una autoridad independiente la función de velar por el cumplimiento de la normativa de protección de datos. La Agencia Española de Protección de Datos goza de esa naturaleza de ente independiente, con presupuesto propio y plena autonomía funcional. La AEPD se creó en 1992 y comenzó a funcionar en 1994. Recuperado de https://www.aepd.es/agencia/transparencia/historia.html. Consultado el 22 de diciembre de 2020.
60. Como pueden ser el de exención del deber de información al interesado o el de auto-rización de conservación de datos para fines históricos, estadísticos o científicos.
61. Así lo ha indicado la propia AEPD. Recuperado de https://sedeagpd.gob.es/sede-electronicaweb/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00014. Consultado el 30 de diciembre de 2020.
62. Conviene recordar que el Reglamento entró en vigor a los veinte días de su publicación –el 25 de mayo de 2016– y es de directa aplicación y de obligado cumplimiento desde el 25 de mayo de 2018.
63. En adelante, también, DPD. Asimismo, es conocido también por las siglas en inglés “DPO” que responden a Data Protection Officer.
64. En este sentido se expresa el texto europeo, en su Considerando 7 al afirmar “Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de gene-rar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”.
65. Si bien no es orgánica en su totalidad. Así lo indica en disposición final 1 donde atribuye el “carácter de ley ordinaria” a buena parte de su contenido, en concreto: el Título IV, el Título VII, salvo los artículos 52 y 53 que tienen carácter orgánico, el Título VIII, el Título IX, los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X, las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico, las disposiciones transitorias, y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico. Recuperado de http://noticias.juridicas.com/actualidad/noticias/13507-estructura-y–contenido-de-la-nuevaley-organica-de-proteccion-de-datos-personales-y–garantia-de-los-derechos-digitales/. Consultado el 28 de noviembre de 2020.
66. En este sentido se expresa Carlos B. Fernández al afirmar que “El proyecto fue objeto de sucesivas prórrogas para la presentación de enmiendas, que se prolongaron hasta comienzos de abril de 2018. El resultado fue más de 360 propuestas de modificación que afectaban a la práctica totalidad de su articulado. La moción de censura que el 1 de junio de ese año derribó al Gobierno de Mariano Rajoy provocó un cambio importante en la tramitación del proyecto de Ley, pues el PP dejó, de hecho, la dirección de la misma al PSOE, el cual incorporó numerosas novedades al texto, en su mayoría pactadas con el PP y el resto de grupos políticos. Ello determinó el nada habitual resultado de que el texto final del Proyecto fuese aprobado por unanimidad de la Cámara el 26 de octubre. Remitido al Senado, donde se presentaron 32 enmiendas que fueron rechazadas en la votación final, la Ley quedó fue finalmente aprobada el pasado 21 de noviembre, con solo el voto en contra del grupo parlamentario de Podemos”. Recuperado de http://noticias.juridicas.com/actualidad/noticias/13507-estructura-y–contenido-de-la-nueva-ley-organica-de-proteccion-de-datos-personales-y–garantia-de-los-derechos-digitales/. Consultado el 28 de noviembre de 2020.
67. Pese a que el Reglamento europeo es de aplicación directa en todos los Estados Miembros de la Unión, en el preámbulo de la LOPDGDD se indica que “La adaptación al Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual. En esta labor se han preservado los principios de buena regulación, al tratarse de una norma necesaria para la adaptación del ordenamiento español a la citada disposición europea y proporcional a este objetivo, siendo su razón última procurar seguridad jurídica”.
68. Valga como ejemplo de los mismos las enmiendas propuestas por el Senado al Proyecto de nueva LOPD y garantía de derechos digitales, publicado el 14 de noviembre de 2018. Recuperado de http://www.senado.es/legis12/publicaciones/pdf/senado/bocg/BOCG_D_12_298_2271.PDF. Consultado el 27 de octubre de 2020.
69. No obstante, la Disposición adicional decimocuarta de la LOPDGDD indica que “Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas”.