Menú móvil

El Notario - Cerrar Movil
REVISTA81 PRINCIPAL

ENSXXI Nº 81
SEPTIEMBRE - OCTUBRE 2018

Por: JOSÉ AMÉRIGO ALONSO
Secretario General Técnico del Ministerio de Justicia


LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL

Difícilmente hemos podido abstraernos a la aplicación desde el 25 de mayo de 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (conocido como Reglamento General de Protección de Datos), considerando la avalancha de correos electrónicos recibidos con información acerca de la nueva política de privacidad de muchos de los responsables del tratamiento de nuestros datos.
Dicha norma europea, que se caracteriza por implantar un nuevo paradigma basado en el enfoque de riesgo y en la responsabilidad activa, esto es, en la necesaria evaluación por los propios responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental para, a partir de esa valoración, adoptar las medidas que resulten necesarias para mitigarlos en todo lo que sea posible, tiene -por su propia naturaleza- alcance general, es obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro (tal y como predica de cualquier reglamento el artículo 288 del Tratado de Funcionamiento de la Unión Europea). Sin embargo, el hecho de que, a diferencia de lo que sucede con las directivas, los reglamentos europeos no estén necesitados de transposición no significa que la actuación del legislador interno sea prescindible, dado que son frecuentes los llamamientos realizados en tales reglamentos a los ordenamientos nacionales como complemento o desarrollo de aspectos concretos. Ello es particularmente notorio en el Reglamento General de Protección de Datos, que, según contabilizó el Consejo de Estado en su dictamen 757/2017, de 26 de octubre, contiene al menos cincuenta y seis remisiones de diverso alcance al Derecho de los Estados miembros, permitiendo a éstos adaptar la regulación europea, en distintos casos, al contexto nacional, o fijar exenciones, derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos.

Lo anterior explica que se encuentre en tramitación parlamentaria un proyecto de ley orgánica de protección de datos personales cuyo objetivo principal consista en adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos y completar sus disposiciones, de modo que la suma de las normas europea y nacional de rango orgánico diseñen el marco para el ejercicio del derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución y recogido en los artículos 8 de la Carta de los Derechos Fundamentales de la Unión Europea y 16.1 del Tratado de Funcionamiento de la Unión Europea.
Sucedía que, desde la aplicación directa de la disposición comunitaria en mayo de este año, a falta de la adaptación pretendida a través de la aprobación de dicha ley orgánica, el panorama normativo presentaba incertidumbres difíciles de resolver.
En efecto, en virtud de los principios de primacía y efecto directo, el Reglamento General de Protección de Datos tiene virtualidad para desplazar aquellas previsiones del ordenamiento nacional incompatibles con él, pero no para derogarlas. La regulación a nivel interno se encuentra esencialmente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, constituyendo complejas operaciones jurídicas identificar los preceptos de estas disposiciones que han de entenderse desplazados y, sobre todo, encontrar en ellas los desarrollos y concreciones que la norma europea demanda, dado que fueron dictadas en un contexto normativo distinto (para la transposición de la derogada Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

“El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, ofrece una solución imprescindible y transitoria para la garantía del derecho fundamental”

Para atajar esta situación, el Gobierno dictó, a propuesta de la Ministra de Justicia, el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, ofreciendo así una solución imprescindible y transitoria para la garantía del derecho fundamental. Dicho real decreto-ley fue convalidado el 6 de septiembre de 2018 por el Congreso de los Diputados con un amplísimo consenso (339 votos favorables y 2 abstenciones, sin votos en contra).
Esta solución es, en primer lugar, indispensable. Como se ha expuesto, el Reglamento General de Protección de Datos resulta ya plenamente aplicable y precisa ser complementado en diversos aspectos. Ahora bien, debido a los límites propios del legislador de urgencia, el mismo no puede ofrecer un desarrollo completo de la norma europea, sino ceñido a aquellas cuestiones urgentes que no afecten a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la Constitución, tal y como exige su artículo 86.1. A este respecto, el real decreto-ley no entra en el terreno vedado al legislador de urgencia, en la medida en que no “afecta” al derecho a la protección de datos, de acuerdo con la interpretación que de dicha afectación ha realizado el Tribunal Constitucional en su Sentencia 111/83, de 2 de diciembre (cuya doctrina reitera la más reciente Sentencia 81/2015, de 30 de abril). Conforme a esta doctrina, no cabe sostener una idea tan restrictiva del decreto-ley que conduzca al vaciamiento de la figura y la haga inservible sobre la base de otorgar al verbo “afectar” un contenido literal amplísimo; por ende, la cláusula restrictiva del artículo 86.1 de la Constitución debe ser entendida de modo tal que no reduzca a la nada el decreto-ley, pero sin permitir que se utilice para regular el régimen general de los derechos, deberes y libertades del Título I, o de pie a que se vaya en contra del contenido o elementos esenciales de alguno de tales derechos, teniendo en cuenta la configuración constitucional del derecho concernido en cada caso.
Con dicho límite, el real decreto-ley analizado se circunscribe a tres cuestiones (inspección, régimen sancionador y procedimiento) que ni forman parte del contenido esencial del derecho fundamental, ni están reservadas al legislador orgánico, ni afectan a los pilares sobre los que se sustenta este derecho. Al contrario, se refieren a aspectos incidentales, aunque relevantes para la garantía efectiva del derecho, habida cuenta de que, sin proporcionar seguridad jurídica en cuanto a las potestades inspectora y sancionadora de las autoridades de control y el cauce procedimental para su ejercicio, el modelo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad.

“El real decreto-ley analizado se circunscribe a tres cuestiones (inspección, régimen sancionador y procedimiento) que ni forman parte del contenido esencial del derecho fundamental, ni están reservadas al legislador orgánico, ni afectan a los pilares sobre los que se sustenta este derecho”

Por lo que se refiere a la actividad inspectora (Capítulo I, artículos 1 y 2, del Real Decreto-ley 5/2018, de 27 de julio), se especifica el personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. Así, dicha actividad se llevará a cabo por los funcionarios de la Agencia Española de Protección de Datos o por funcionarios ajenos a ella habilitados expresamente por su Director, a los que se atribuye en ambos casos la consideración de agentes de la autoridad en el ejercicio de sus funciones, quedando obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. En los casos de actuaciones conjuntas de investigación en España con autoridades de control de otros países miembros, el personal de dichas autoridades que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta. Asimismo, se precisa el alcance de la actividad de investigación, habilitando a quienes la desarrollen a recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
Respecto del régimen sancionador (Capítulo II, artículos 3 a 6, de dicho real decreto-ley), a diferencia de la precedente Directiva 95/46/CE, que remitía a la legislación de los Estados miembros la regulación de dicho régimen, el Reglamento General de Protección de Datos ya no efectúa una remisión genérica a las normativas nacionales, sino que opta, en su lugar, por establecer directamente en el artículo 83 unas condiciones generales para la imposición de las multas administrativas por parte de las autoridades de control de los Estados miembros.
Para articular el novedoso régimen sancionador establecido en el Reglamento General de Protección de Datos, el real decreto-ley comienza por reemplazar los tipos infractores contenidos en la Ley Orgánica 15/1999, de 13 de diciembre, por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento. Ahora bien, no se queda ahí, puesto que adicionalmente aborda dos cuestiones sobre las que era ineludible la adopción de disposiciones por el Derecho interno que garantizasen la efectividad de este régimen sancionador y la seguridad jurídica en su aplicación:
- La primera se refiere a la necesaria delimitación de los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicación de dicho régimen sancionador, a saber: los responsables y encargados de los tratamientos, los representantes de unos y otros no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta, quedando, en cambio, excluidos los delegados de protección de datos.
- La segunda reviste aún mayor importancia y se refiere a la necesidad de determinar los plazos de prescripción de las infracciones y sanciones previstas en el Reglamento General de Protección de Datos, cuestiones sobre las que el reglamento guarda silencio y que, sin embargo, son configuradoras del régimen sancionador. De acuerdo con el artículo 5 del real decreto-ley, prescribirán a los tres años aquellas infracciones que pueden ser castigadas, con arreglo a la norma europea, con multas administrativas de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, mientras que prescribirán a los dos años las conductas infractoras para las que dichos umbrales se fijan en 10 millones de euros y el 2%, respectivamente.

“Se aprecia la extraordinaria y urgente necesidad que ha conducido a la aprobación del real decreto-ley, el cual está llamado a hacer posible el ejercicio por la Agencia de sus potestades investigadoras y sancionadoras a través del cauce procedimental apropiado y en un marco de seguridad jurídica”

Por último, el Capítulo III (artículos 7 a 14) contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos. En este punto, no hay que olvidar que en la norma europea conviven diferentes tipos de tratamientos en función de su alcance territorial, lo que tiene impacto en las normas procedimentales aplicables. Y ello por cuanto, junto a los tratamientos exclusivamente nacionales, se contemplan los tratamientos transfronterizos (los cuales a su vez pueden tener relevancia local en un Estado miembro), de forma que la existencia de intereses afectados en varios países de la Unión conlleva la previsión de trámites específicos, como los necesarios para determinar la competencia de la autoridad de control principal o los que permiten la adopción de una decisión consensuada en el procedimiento entre las autoridades de control de diversos Estados. Para conseguir este objetivo, la norma europea impone a la autoridad de control principal el sometimiento de los distintos proyectos de decisión a las restantes autoridades interesadas, previéndose la intervención en última instancia del Comité Europeo de Protección de Datos para el supuesto de que no llegara a alcanzarse un acuerdo entre todas ellas.
Estas especialidades procedimentales han de tener adecuado reflejo en el Derecho nacional en aras de la eficacia de la actuación administrativa. Particular relevancia adquiere a estos efectos la posibilidad de suspender el procedimiento durante el tiempo necesario para recabar el parecer de las autoridades de otros Estados miembros o del referido comité (artículo 8.4 del Real Decreto-ley 5/2018, de 27 de julio), pues, en ausencia de dicha posibilidad, habría existido un riesgo elevado de caducidad de los procedimientos, con las consecuencias negativas que ello habría acarreado, no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal.
Como corolario de lo expuesto, se aprecia la extraordinaria y urgente necesidad que ha conducido a la aprobación del real decreto-ley, el cual está llamado a hacer posible el ejercicio por la Agencia de sus potestades investigadoras y sancionadoras a través del cauce procedimental apropiado y en un marco de seguridad jurídica, elementos indispensables para que pueda velar por la aplicación de la normativa de protección de datos y, con ello, por la efectividad de este derecho.

“Las previsiones contenidas en el real decreto-ley están directamente inspiradas en el proyecto de ley orgánica en tramitación parlamentaria”

Finalmente, la solución ofrecida es transitoria, puesto que está concebida para cubrir las lagunas existentes en los tres planos analizados (inspección, régimen sancionador y procedimientos) en el periodo que transcurra hasta la vigencia de dicha legislación orgánica, como prevé expresamente la disposición final única del real decreto-ley. Esta disposición dota de carácter temporal a la norma, al establecer el término final de su vigencia, de modo que, llegado el mismo, se producirá su caducidad.
En coherencia con ello, es fácil constatar que las previsiones contenidas en el real decreto-ley están directamente inspiradas en el proyecto de ley orgánica en tramitación parlamentaria. Es decir, para regular con carácter coyuntural las cuestiones urgentes para las que la norma europea precisa desarrollo, se han incorporado al real decreto-ley las herramientas jurídicas contenidas en el proyecto, atendiendo a su estado de negociación en la ponencia de la Comisión de Justicia del Congreso de los Diputados.
Para concluir, interesa remarcar que la aprobación del Real Decreto-ley 5/2018, de 27 de julio, en nada empece la necesidad de completar la adaptación de nuestro ordenamiento al Reglamento General de Protección de Datos a través de la ley orgánica actualmente en tramitación en las Cortes Generales. El legislador de urgencia se ha limitado a adelantar algunas previsiones precisas para la inspección y sanción de las conductas infractoras a través de pautas procedimentales acordes a la norma europea, pero dicha adaptación exige una revisión global de nuestro Derecho interno en materia de protección de datos, labor que solamente puede ser acometida en sede parlamentaria por el legislador orgánico, depurando el ordenamiento mediante la derogación expresa de la Ley Orgánica 15/1999, de 13 de diciembre, y su sustitución por otra norma de igual rango que, partiendo del contenido esencial del derecho fundamental, cohoneste la regulación de su ejercicio con el Reglamento General de Protección de Datos.

Palabras clave: Protección de datos, Reglamento europeo, Adaptación del Derecho español.
Keywords: Data protection, European regulations, Adaptation of spanish law.

Resumen

Con la aprobación del Real Decreto-ley 5/2018, de 27 de julio, el legislador de urgencia ha adelantado algunas previsiones precisas para la inspección y sanción de las conductas infractoras a través de pautas procedimentales acordes a la norma europea, lo que resulta indispensable para velar por la efectividad del derecho fundamental a la protección de datos personales. Con todo, dicha adaptación exige una revisión global de nuestro Derecho interno en materia de protección de datos, labor que solamente puede ser acometida en sede parlamentaria por el legislador orgánico, depurando el ordenamiento mediante la derogación expresa de la Ley Orgánica 15/1999, de 13 de diciembre, y su sustitución por otra norma de igual rango que, partiendo del contenido esencial del derecho fundamental, cohoneste la regulación de su ejercicio con el Reglamento General de Protección de Datos.

Abstract

With the approval of Royal Decree-Law 5/2018 of 27 July, the emergency legislative procedure has anticipated some provisions necessary for the inspection and penalisation of infringements by means of procedural guidelines consistent with European regulations. This is essential to ensure the effectiveness of the fundamental right to the protection of personal data. However, this adaptation requires a comprehensive review of Spanish national law concerning data protection. This task can only be undertaken in parliament by the organic legislative body, refining the law by specifically repealing Organic Law 15/1999, of 13 December, and replacing it with another law of equal standing, which reconciles the regulation of its exercise with the General Data Protection Regulations based on the essential content of constitutional law.