LA REGULACIÓN EUROPEA DE PROTECCIÓN DE DATOS: DE LA DIRECTIVA AL RGPD (*)

 

 

Regulacion-Europea-de-Proteccion-de-Datos-Personales-1-750x365

 

“No es de extrañar que Alphabet (Google) ya no hurgue en nuestros correos electrónicos personales para mostrarnos anuncios personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más información (…) Es decir, en la medida en que el entorno normativo se vuelva más problemático y/o el mercado publicitario se desacelere (…) la compañía tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA), tanto a ciudadanos como a gobiernos”

(Evgeny Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave, 2018 pp. 23-24)

La derogación de la Directiva 95/46/CE y su sustitución por el RGPD Reglamento UE 2016/679) no es una operación normativa menor. El cambio de instrumento regulador obedece a razones de contexto y a la necesidad objetiva de regular esta materia en un Reglamento (UE) que, como es sabido, es una disposición normativa europea que tiene un alcance general, es obligatoria en todos sus elementos y directamente aplicable.

No cabe duda que, frente al fenómeno del acelerado proceso de revolución tecnológica y de digitalización, así como consecuencia de sus enormes impactos sobre los datos personales), la única solución viable es la regulación. El proceso de mercantilización de los datos al cual contribuimos nosotros mismos “sin quererlo” revelando enormes cantidades de información, implica que, tal como se ha dicho, nuestras vidas se están datificando.

Toda esa actividad intrusiva sobre datos convenientemente “cocinados” puede, sin duda, afectar (y de hecho afecta, aunque con consecuencias aún imprevisibles) a los derechos fundamentales de las personas físicas y ya no solo a la intimidad o a la privacidad, sino a la inmensa mayoría de aquellos derechos. Es bien cierto, no obstante, que la Administración Pública y las entidades de su sector público no tienen ni de lejos el comportamiento mercantilista que puedan mostrar determinadas grandes empresas tecnológicas, pero también lo es que pueden tratar (y de hecho tratan) gran cantidad de datos personales (un volumen considerable) que, en determinados contextos, pueden ser causa o provocar situaciones de riesgo evidente.

Asimismo, es también obvio que el sector público trata en no pocas ocasiones “categorías especiales de datos” (datos sensibles), por utilizar la terminología del Reglamento UE. Todo ello requiere por parte de los responsables y encargados del tratamiento en el sector público especial diligencia en tales procesos, pero en particular fomentar una cultura y actividad preventiva tanto en el diseño de los procesos de tratamiento como por defecto (esto es, de manera permanente, deberán analizar en cada caso y circunstancia la necesidad de tales tratamientos), aplicando todas las medidas técnicas y organizativas que estén a su alcance para salvaguardar los derechos fundamentales de las personas físicas (pues no otro es el objetivo central o la finalidad del RGPD).

Por consiguiente, la regulación que se ha llevado a cabo a través del Reglamento (UE) 2016/679 es particularmente importante por lo que afecta al sector público. Pero de inmediato cabe afirmar que, sin perjuicio de que se aplique también a lo que el Reglamento denomina “autoridades y organismos públicos”, no es menos cierto que el foco central de preocupación de esa disposición normativa de la Unión Europea es el riesgo que para la protección de los derechos fundamentales y, en especial, para la protección de datos de las personas físicas, se pueda producir como consecuencia del tratamiento masivo de datos, del cruce entre estos datos que tenga el objetivo de elaborar “perfiles” o de llevar a cabo observaciones masivas derivadas de esos datos. Y esto es algo que, también en principio, potencialmente, lo están llevando a cabo las grandes empresas tecnológicas y todas aquellas empresas que de una u otra forma participan en esos procesos de recogida, tratamiento y comercialización futura de tales datos. El RGPD establece una redefinición de la noción de dato personal y una noción de tratamiento amplia y exhaustiva (artículo 4).

La entrada en vigor del Reglamento (UE) 2016/679, como es sabido, se produjo a los veinte días de su publicación en el DOUE, pero su plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).

En los Considerandos 9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado el cambio de instrumento normativo. Entre los que caben citar los siguientes:

  • La aplicación de la Directiva 95/46/CE ha sido fragmentaria y desigual, mientras que los riesgos para la protección de datos, tal como se ha visto, son cada vez mayores. Y lo serán conforme el tiempo avance.
  • Se quiere garantizar un nivel uniforme y elevado de protección de datos personales, y que sea además equivalente en todos los Estados miembros. La aplicación de las normas de protección de datos se pretende que sea coherente y homogénea. La Directiva 95/46/CE no garantizaba eso y esa fue una de las causas por las que se impulsó ese profundo cambio de instrumento normativo.
  • La protección efectiva de los datos personales exige reforzar las obligaciones de quienes los tratan, reconocer poderes equivalentes para supervisar y garantizar su cumplimiento, así como que las infracciones se castiguen con sanciones equivalentes. El endurecimiento del régimen sancionador es uno de los presupuestos de apoyo de tal normativa, aunque se modula en su aplicación a las “autoridades y organismos públicos” en función de lo que determine la legislación de cada Estado miembro.
  • Hay base jurídica para esta regulación en el artículo 16. 2 del TFUE. Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
  • Era, por tanto, necesario regular esta materia por un Reglamento que proporcionara seguridad jurídica y transparencia.

El Consejo de Estado, en su dictamen 757/2017, de 26 de octubre de 2017, sintetizó en una serie de ideas-fuerza el recurso al instrumento normativo del Reglamento, norma obligatoria en todos sus elementos y directamente aplicable en todos los Estados miembros (artículo 288 TFUE), como medio necesario para llevar a cabo esa reducción de las divergencias normativas que se habían producido con la aplicación de la Directiva 95/46/CE.

Por qué se ha elegido el instrumento del Reglamento UE frente a la Directiva para regular la protección de datos: Ideas-fuerza del Dictamen 757/2017 del Consejo de Estado:

  • “Esa aplicabilidad directa de los Reglamentos exige su entrada en vigor y su aplicación sin necesidad de ninguna medida de incorporación al Derecho nacional”.
  • “Los Estados miembros están obligados (…) a no obstaculizar el efecto directo propio de los Reglamentos, siendo el ‘respeto escrupuloso de este deber’ una condición indispensable ‘para la aplicación simultánea y uniforme’ de las reglas contenidas en los Reglamentos de la Unión en el conjunto de esta.“
  • El Reglamento 2016/679 pasa así a ser la norma principal para la regulación de datos en la Unión Europea, directamente aplicable en todos los Estados miembros sin necesidad de normas internas de trasposición.”
  • “De esta forma, un derecho fundamental protegido por el artículo 18.4 de la Constitución española va a ser directa y principalmente regulado en una norma europea, con un papel únicamente de desarrollo o complemento de las normas nacionales.”
  • “Ello implica también un traslado parcial del canon constitucional de protección del derecho fundamental que, en cuanto se refiere a actividades regidas por el Derecho de la Unión, deberá regirse por la Carta de Derechos Fundamentales de la Unión Europea y por la interpretación que realice el Tribunal de Justicia de la Unión.”
  • La legislación nacional en materia de protección de datos, por tanto, debe necesariamente modificarse para adaptarla a este nuevo contexto normativo europeo antes de la entrada en vigor del Reglamento, que se producirá el 25 de mayo de 2018”.
  • Esa adaptación implica, por motivos de seguridad jurídica, la necesaria derogación de las normas nacionales que sean incompatibles con el nuevo Reglamento (y) llevar a cabo una segunda tarea de depuración del ordenamiento nacional, del que deben igualmente eliminarse cuantas disposiciones hayan devenido redundantes como consecuencia del efecto directo de aquél, en la medida en que puedan poner en cuestión esa aplicación directa del Reglamento”.
  • “En fin, la adaptación de la legislación nacional puede también exigir, en algunos casos puntuales, la adopción de nuevas disposiciones llamadas a completar o aclarar la regulación europea. La aplicabilidad directa del Reglamento no excluye, en efecto, esa labor puntual de complemento de la normativa de los Estados miembros”.
  • “Así lo hace el Reglamento general de protección de datos. Pese a su intensa vocación armonizadora, el Reglamento contiene el menos 56 remisiones de diverso alcance al Derecho de los Estados miembros, permitiendo a estos adaptar la regulación europea, en distintos casos, al contexto nacional, o fijar exenciones, derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos”.

Por consiguiente, el operador jurídico o técnico debe ser plenamente consciente de que, en este nuevo contexto normativo de protección de datos personales y a diferencia del marco normativo anterior (en el que la LOPD era la referencia determinante), deberá trabajar con dos herramientas normativas “en paralelo”: una de carácter principal, reforzada además por la primacía del Derecho de la Unión Europea frente al Derecho de los Estados miembros, como es el Reglamento (UE) 2016/679, mientras que la otra será la futura LOPD (actualmente en proceso de tramitación parlamentaria) que se limitará a “completar o aclarar” la regulación europea, así como a establecer determinadas excepciones solo cuando esté habilitada específicamente para ello por la normativa europea.

El resultado, como se dirá en su momento, es bien obvio: el Reglamento (UE) 2016/679 se convierte en la norma de cabecera en materia de protección de datos y la (futura) LOPD será una disposición normativa, por mucho que se califique de “orgánica”, de carácter complementario o de desarrollo. Es más, si la Ley Orgánica está llamada a desarrollar los derechos fundamentales y libertades públicas recogidos en la sección primera del capítulo segundo del título primero de la Constitución, en este caso el desarrollo de este derecho fundamental, con la base jurídica que le da el propio TFUE y la CDFUE, se ha llevado a cabo por el propio Reglamento UE y no por la LOPD, cuyo proyecto realiza un mero reenvío, al menos en lo que a las dimensiones del derecho a la protección de datos respecta, a lo establecido en la disposición normativa europea.

Ello no implica que la actualmente vigente LOPD (Ley Orgánica 15/1999, de 30 de diciembre), así como su Reglamento de desarrollo (Real Decreto 1720/2007, de 21 de diciembre), ya no sean normas vigentes, sino que una parte relevante de su contenido ha quedado afectado por la nueva regulación recogida en el RGPD y, por consiguiente, ya no resulta de aplicación, al tener primacía aplicativa la normativa recogida en el Reglamento (UE) 2016/679. Por ello urgía la aprobación de una nueva LOPD, aunque el legislador español ha estado poco atento a esa exigencia y el 25 de mayo de 2018, que ya está literalmente encima, no tendrá adaptada la normativa interna a las previsiones del nuevo marco normativo europeo. Y por ello también es necesaria la adaptación del Reglamento que la desarrolla (Real Decreto 1720/2007), algo que cabe presumir tardará bastante más tiempo.

La pereza una vez más de un legislador falto de reflejos tendrá consecuencias sobre la falta de seguridad jurídica y el incremento de la incertidumbre ante los cambios que se avecinan. La indolencia ha hecho mella en el funcionamiento de nuestras instituciones, que dormitan plácidamente como si nada cambiara en su entorno. Ni siquiera se dan por aludidas con un plazo tan largo como el que les dio el RGPD para la necesaria adecuación del marco normativo de protección de datos. Mientras tanto, para los operadores del sector público, responsables, funcionarios y resto de empleados públicos, se abre un escenario no exento de dificultades aplicativas en algunos casos, que habrá de sortearse como mejor se pueda. En todo caso, parece que en unos pocos meses estará aprobada la nueva LOPD, lo que al menos dotará de una mayor seguridad jurídica a determinadas actuaciones. Pero el trabajo que queda por hacer es mucho, aunque todos nos estemos despertando del plácido sueño como viene siendo habitual en el último minuto.       

(*) El presente texto es un fragmento, con algunas modificaciones para facilitar su lectura, del libro La aplicación del Reglamento (UE) de protección de datos a la Administración Pública: especial referencia a los entes locales, editado electrónicamente en abierto por el IVAP/HAEE (Oñati, 2018), en su página Web: http://www.ivap.euskadi.eus/r61-veds20me/es/s20aWar/novedadesJSP/s20ainicio.do?CgaIdioma=es. Puede consultarse, no obstante, el PDF del citado libro en el siguiente enlace: Aplicacioìn Reglamento(UE) DIG(3)

Anuncios

2 comments

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s