Por Laura del Carre
El pasado 9 de mayo se publicaba en el Boletín Oficial del Estado la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos (en adelante, la “Ley 11/2023”).
Dicha ley ha supuesto la modificación tanto de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD") como de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSI”), en distintos aspectos, que se analizan a continuación:
1. Los cambios en la LOPDGDD
Si bien el titular sobre la modificación de la LOPDGDD es llamativo, los diez cambios introducidos por la Ley 11/2023 han afectado esencialmente a la tramitación de algunos procedimientos de la Agencia Española de Protección de Datos (en adelante “AEPD”) y a su Estatuto. En particular cabe resaltar los siguientes elementos:
En la antigua redacción de la LOPDGDD, este mecanismo se configuraba como uno más de los medios sancionadores previstos en caso de incumplimiento y, hasta que no se modificó el texto original del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”), todo iba bien.
Sin embargo, a raíz de la publicación de la corrección de errores del RGPD cinco años más tarde, la LOPDGDD se quedó en este punto, no tanto obsoleta, como desalineada. Ahora el apercibimiento no se consideraba más una sanción, sino más bien como un mecanismo alternativo específico, flexible y más rápido, cuyo fin es agilizar la respuesta a las reclamaciones presentadas por los ciudadanos. Esta adaptación tan necesaria tuvo que esperar dos años más.
No es ningún secreto que la AEPD asume cada vez más carga procedimental y una complejidad en aumento. Esto se explica, al menos en parte, por el uso del mecanismo de “ventanilla única” que exige una cooperación sistemática entre las distintas autoridades de protección de datos de la Unión Europea. En este sentido, y a pesar del particular interés en agilizar los procedimientos, otra de las aportaciones de la Ley 11/2023 es aumentar algunos plazos de resolución que han resultado ser demasiado encorsetados.
Así, la duración máxima del procedimiento sancionador pasa de nueve a doce meses (artículo 64 LOPDGDD), y de doce a dieciocho meses para las actuaciones previas de investigación (artículo 67 LOPDGDD).
Uno de los cambios que se introducen tiene que ver con las circunstancias bajo las que la AEPD puede no admitir a trámite una reclamación. Esta circunstancia podría darse, por ejemplo, si el responsable alinea el tratamiento con los requerimientos del RGPD y aporta evidencias de ello, antes de que la AEPD haya resuelto sobre la admisión de dicha reclamación.
Por otro lado, otra de las medidas introducidas es la posibilidad de emplear modelos estándar de presentación de reclamaciones ante la AEPD, aplicable en todos los ámbitos en los que la AEPD tenga competencia y de uso obligatorio para los interesados, independientemente de que estén obligados o no a relacionarse electrónicamente con las Administraciones Públicas.
Estas medidas, llevan aparejadas claramente una intención generalizada de agilidad, simplificación de los procesos y en este sentido, una mejora sustancial del funcionamiento interno de la AEPD.
Resulta sorprendente que con el tiempo que llevan ya funcionando las tecnologías en el ámbito de las relaciones con las Administraciones Públicas, con entidades privadas y, a todos los efectos, a nivel particular, la AEPD no tuviera aún en marcha mecanismos que permitiesen realizar sus actuaciones de investigación por vía telemática, de forma segura.
Con la redacción del nuevo artículo 53.bis esto ya es una realidad:
“las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado”.
Como decíamos, en el ámbito privado, hace ya años que las auditorías de cumplimiento se han adaptado y se benefician de las ventajas de la tecnología y celebramos que la AEPD se haya unido a las filas del progreso.
Llegados a este punto, va a resultar muy interesante monitorizar los próximos informes jurídicos y sanciones de la AEPD para comprobar hasta qué punto se materializan la flexibilidad y agilidad que prometen estas modificaciones.
2. Los cambios en la LSSI
Quizás con menor impacto mediático, la LSSI también ha resultado modificada con la aprobación de la Ley 11/2023. Por un lado, la disposición adicional quinta se deroga, quedando su contenido recogido en el artículo 2.2, epígrafes g), h) e i). Por otro, se modifican seis artículos y se añade contenido a tres.
En términos generales, los cambios han afectado a la ampliación del alcance de supervisión y control que asume el Ministerio de Asuntos Económicos y Transformación Digital; a la lista de responsables sometidos al régimen sancionador de la LSSI; a la tipología de infracciones consideradas leves y graves y a su régimen sancionador y a la creación de un Registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
Puede consultar la ley de modificación aquí.