Miguel Recio
En sus disposiciones finales, la Ley 11/2023 ha introducido modificaciones en materia de protección de datos en varias normas de nuestro ordenamiento relativas, respectivamente, a servicios de la sociedad de la información y comercio electrónico, reutilización de la información del Sector Público y protección de datos personales. Se trata de modificaciones relevantes cuyo alcance es necesario conocer en cada caso.
El pasado día 9 de mayo de 2023 se publicó en el Boletín Oficial del Estado la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos (en adelante, “Ley 11/2023”).
Aunque el título de esta Ley no lo mencione, incluye modificaciones relevantes en materia de protección de datos en diversas normas de nuestro ordenamiento jurídico. Son las siguientes: (i) Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSI”); (ii) Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del Sector Público (citada en lo sucesivo como “Ley 37/2007”), y (iii) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo “LOPDGDD”).
En el caso de la LSSI, la disposición final primera de la Ley 11/2023 modifica varios artículos:
- Asigna al Ministerio de Asuntos Económicos y Transformación Digital la potestad de controlar el cumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (“Reglamento de Gobernanza de Datos”) por parte de proveedores de servicios de intermediación de datos y organizaciones reconocidas de gestión de datos con fines altruistas incluidos en su ámbito de aplicación (art. 35.1.c) de la LSSI).
- Añade un nuevo artículo sobre el Registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas, que será establecido, mantenido y publicado por el Ministerio de Asuntos Económicos y Transformación Digital (art. 35 bis de la LSSI).
- Incluye como responsables sujetos al régimen sancionador a los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas incluidos en el ámbito de aplicación del Reglamento (UE) 2022/868 (art. 37.c) de la LSSI).
- Modifica tanto las infracciones (art. 38) como las sanciones (art. 39) previstas en las LSSI, incluyendo entre otras cuestiones varias referencias al Reglamento de Gobernanza de Datos.
La Ley 11/2023, mediante su disposición final cuarta, modifica también la Ley 37/2007 para introducir en esta una disposición adicional quinta que tiene por objeto el ya mencionado Reglamento de Gobernanza de Datos. Esta disposición adicional introduce diversas previsiones sobre el régimen sancionador en el ámbito de la Administración General del Estado; la posibilidad de que los sujetos previstos en los párrafos a) y b) del artículo 2 que permitan la reutilización de las categorías de datos protegidos (la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local (art. 2.a), así como os organismos y entidades del sector público institucional creados para satisfacer necesidades de interés general, que no tengan carácter industrial o mercantil (art. 2.b)) podrán exigir el pago de una tasa por la misma y cómo se calculará, así como algunos aspectos sobre el procedimiento de tramitación de solicitudes de datos protegidos.
La Ley 11/2023, en su disposición final novena, también ha modificado a la LOPDGDD. En concreto, se han modificado varios artículos relativos a la tramitación de algunos procedimientos de la Agencia Española de Protección de Datos (AEPD), así como a su Estatuto. Estas modificaciones son:
- Modifica lo relativo a la publicidad de la resolución, ya que en el caso de un apercibimiento no es una resolución sancionadora si no que pone fin al procedimiento específico (art. 50). Y modifica también la redacción del artículo 77.2 de la LOPDGDD para indicar ahora que la autoridad de protección de datos competente “dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”. Esta última modificación implica volver a la redacción dada en el artículo 46.1 de la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
- Incluye un nuevo artículo que permite realizar actuaciones de investigación de manera remota, a través de sistemas digitales, tales como la videoconferencia, que permitan la comunicación bidireccional y simultánea de imagen y sonido, así como garantizar la transmisión y recepción seguras de los documentos e información que se intercambien. Su uso se producirá cuando lo determine la AEPD y el inspeccionado esté conforme con esta opción, así como la fecha y hora de su desarrollo (art. 53 bis).
- La duración máxima del procedimiento sancionador se amplía a doce meses, frente a los nueve meses previstos hasta ahora. Y el plazo para las actuaciones previas de investigación pasa de doce a dieciocho meses.
- Introduce una disposición adicional vigésimo tercera, que prevé la creación de modelos de presentación de reclamaciones cuyo uso será obligatorio para los reclamantes.
- Introduce disposiciones específicas para los supuestos de ausencia, vacante o enfermedad de la persona titular de la Presidencia (art. 48.2).
Por último, a través de la Ley 11/2023 se ha incorporado una corrección de errores del Reglamento General de Protección de Datos (RGPD), que fue publicada en el Diario Oficial de la Unión Europea el 4 de marzo de 2021. Las correcciones se refieren a varios considerandos y artículos del RGDPD, lo que daba lugar a la necesidad hacer las correcciones oportunas en el articulado de la LOPDGDD. Una corrección importante es la que se refiere a que el apercibimiento es una medida adecuada que tienen las autoridades de protección de datos entre sus poderes correctivos ante incumplimientos y no una sanción, como contemplaba la LOPDGDD.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través del siguiente formulario.
_840x420.jpg?v=3)
.jpg?v=4)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.