Ley Orgánica de Protección de Datos de Carácter Personal en España en España
Aquí se ofrecen, respecto al derecho español, referencias cruzadas, comentarios y análisis sobre Ley Orgánica de Protección de Datos de Carácter Personal. [aioseo_breadcrumbs][rtbs name=»derecho-home»]
Legislación de Derecho Civil sobre Ley Orgánica de protección de datos de carácter personal
Frente a la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos, por la que se transpuso la Directiva 95/46 al ordenamiento español y que tiene por objeto «garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar» (artículo 1), la nueva Ley Orgánica precisa con rigor que tiene por objeto «adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 (…) y completar sus disposiciones».
El Reglamento 2016/679 pasa así a ser la norma principal para la regulación de datos en la Unión Europea, directamente aplicable en todos los Estados miembros sin necesidad de normas internas de transposición. De esta forma, un derecho fundamental protegido por el artículo 18.4 de la Constitución española va a ser directa y principalmente regulado en una norma europea, con un papel únicamente de desarrollo o complemento de las normas nacionales. Ello implica también un traslado parcial del canon constitucional de protección el derecho fundamental, que, en cuanto se refiere a actividades regidas por el Derecho de la Unión, deberá regirse por la Carta de Derechos Fundamentales de la Unión Europea y por la interpretación que realice el Tribunal de Justicia de la Unión (STJUE de 26 de febrero de 2013, Melloni, C-399/11).
La legislación nacional en materia de protección de datos, por tanto, debe necesariamente modificarse para adaptarla a este nuevo contexto normativo europeo antes de la entrada en vigor del Reglamento, que se producirá el 25 de mayo de 2018.
Por una parte, esa adaptación implica, por motivos de seguridad jurídica, la necesaria derogación de las normas nacionales que sean incompatibles con el nuevo Reglamento; en efecto, como ha señalado el propio Tribunal de Justicia de la Unión, «la incompatibilidad de una legislación nacional con las disposiciones del Derecho comunitario, aunque sean directamente aplicables, sólo puede quedar definitivamente eliminada mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse» (STJCE de 23 de febrero de 2006, Comisión/España, C-205/04, apartado 18; en el mismo sentido SSTJCE de 13 de marzo de 1997, Comisión/Francia, C197/96, apartado 14; de 10 de mayo de 2001, Comisión/Países Bajos, C144/99, apartado 21; de 17 de enero de 2002, Comisión/Irlanda, C394/00, apartado 11, y de 8 de diciembre de 2005, Comisión/Luxemburgo, C115/05, apartado 6). Esa necesaria derogación o adaptación no sólo alcanza a la vigente Ley Orgánica de protección de datos (y a su Reglamento de desarrollo), sino también a una multiplicidad de normas de carácter sectorial que regulan el tratamiento de datos en sus ámbitos correspondientes, y que pueden ser incompatibles con el Reglamento.
Por otra parte, la entrada en vigor de un Reglamento obliga a llevar a cabo una segunda tarea de depuración del ordenamiento nacional, del que deben igualmente eliminarse cuantas disposiciones hayan devenido redundantes como consecuencia del efecto directo de aquél, en la medida en que puedan poner en cuestión esa aplicación directa del Reglamento.
En fin, la adaptación de la legislación nacional puede también exigir, en algunos casos puntuales, la adopción de nuevas disposiciones llamadas a completar o aclarar la regulación europea. La aplicabilidad directa del Reglamento no excluye, en efecto, esa labor puntual de complemento de la normativa de los Estados miembros.
Véase también la entrada sobre la protección de Datos en la Unión Europea.
Análisis del Consejo de Estado
el articulado del Anteproyecto de Ley Orgánica de protección de datos de carácter personal sometido a consulta.
Cuarta. Título I: Disposiciones generales
Artículo 2: Ámbito de aplicación
El artículo 2 del Anteproyecto define el ámbito de aplicación de la futura ley orgánica. Consta de cuatro apartados:
Apartado 1
El apartado 1, en coincidencia casi exacta con el tenor del artículo 2.1 del Reglamento general de protección de datos, establece que la ley orgánica se aplicará «a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». A juicio del Consejo de Estado, nada hay que objetar a la redacción de este primer apartado, pues la definición del concepto de tratamiento a efectos de la aplicación de la ley orgánica sirve aquí también en relación con los tratamientos de datos a los que no sea directamente aplicable el Reglamento; la reiteración de lo establecido en éste resulta necesaria en este punto, y no pone en riesgo la aplicabilidad directa de la norma europea en los casos en que así proceda.
Apartado 2
Mayores dudas suscita la redacción del apartado 2, en el que se enumeran cinco tratamientos distintos a los que no será de aplicación la ley orgánica. Tres de ellos (los contenidos en las letras a), b) y c)) se toman literalmente del artículo 2.2 del Reglamento (respectivamente, letras c), b) y d) de este precepto), que enumera los supuestos en los que no se aplica el Reglamento, añadiéndose otros dos supuestos excluidos: el tratamiento de datos de personas fallecidas y los tratamientos sometidos a la normativa sobre protección de materias clasificadas. La necesidad de añadir estas dos excepciones adicionales no es suficiente para justificar la reiteración de los demás supuestos: la exclusión del tratamiento de datos de personas fallecidas del ámbito de aplicación de la ley orgánica podría incorporarse al comienzo del artículo 3 del Anteproyecto, dedicado específicamente a estos supuestos; y en cuanto a los tratamientos sometidos a la normativa sobre protección de materias clasificadas, podría incorporarse en un apartado independiente, con el siguiente tenor: «La presente ley orgánica no será de aplicación a los tratamientos sometidos a la normativa sobre protección de materias clasificadas».
Fuera de esos dos casos, los únicos tratamientos que sí se regirían por la ley orgánica pese a estar excluidos del ámbito de aplicación del Reglamento serían, por tanto, los que afectan a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión (artículo 2.2.a) del Reglamento general), a los que ya se refiere, como a continuación se verá, el apartado 3 del artículo, que, además, establece una aplicabilidad meramente supletoria de la ley orgánica en relación con los mismos, remitiendo su regulación a la legislación específica que en su caso exista.
Por estas razones, y pese a la loable finalidad ilustrativa de este apartado 2, considera el Consejo de Estado que debería suprimirse, con las precisiones arriba indicadas.
Apartado 3
El apartado 3 se refiere a supuestos como los tratamientos realizados en el ámbito electoral o de las instituciones penitenciarias, y a los derivados del Registro Civil, los Registros de la Propiedad y los Registros Mercantiles, que cita a título ejemplificativo, y respecto a los que se dispone expresamente lo siguiente: «Los tratamientos incluidos en el ámbito de aplicación de esta ley orgánica a los que no sea directamente aplicable el Reglamento (UE) 2016/679, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica».
La redacción de este apartado no reviste la suficiente claridad: por una parte, referirse a tratamientos incluidos en el ámbito de aplicación de la ley orgánica para, a continuación, declarar ésta aplicable sólo subsidiariamente genera cierta confusión en la lectura del precepto; por otra parte, la mención sólo de tres tratamientos que «entre otros» «se encuentran en esta situación» está lejos de cumplir las exigencias mínimas de la seguridad jurídica. A juicio del Consejo de Estado, sería preferible eliminar esa enumeración ejemplificativa, así como la referencia a «los tratamientos incluidos en el ámbito de aplicación de esta ley orgánica». Como ya se indicó, a la vista de la actual redacción del artículo 2.2 del Anteproyecto, los tratamientos incluidos en el ámbito de aplicación de la ley orgánica pero excluidos del ámbito de aplicación del Reglamento quedarían reducidos a aquéllos que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión (artículo 2.2.a) del Reglamento general); debería, por tanto, efectuarse esta precisión en lugar del complejo juego de conjuntos intersecantes del que parte el apartado 3 en la redacción sometida a dictamen.
El actual apartado 3 podría, así quedar redactado de la siguiente forma: «Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/670 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión, se regirán por lo dispuesto en su legislación específica, si la hubiere, y, supletoriamente, por lo establecido en el citado Reglamento y en la presente ley orgánica». Una solución alternativa sería incluir una lista exhaustiva de los casos a los que se refiere el precepto, como hace el artículo 2.3 de la vigente Ley Orgánica 15/1999, teniendo en cuenta que la aplicabilidad supletoria del Reglamento y de la nueva ley orgánica podrá, en todo caso, ser declarada en esa legislación específica.
En todo caso, la referencia a «los tratamientos realizados en el ámbito electoral» resulta demasiado amplia y debería precisarse, pues no todos los tratamientos relacionados con actividades electorales quedan fuera del ámbito de aplicación del Derecho de la Unión. El considerando 56 del Reglamento Europeo se refiere, en particular, a los tratamientos de datos sobre las opiniones políticas de las personas que lleven a cabo los partidos políticos en ese marco electoral, estableciendo que, si «el funcionamiento del sistema democrático exige en un Estado miembro» tales tratamientos, podrá autorizarse «por razones de interés público, siempre que se ofrezcan garantías adecuadas». Las condiciones para ese tratamiento por razones de interés público se encuentran reguladas en el artículo 41 de la Ley Orgánica 5/1985, de 19 de junio, de Régimen Electoral General, cuyas disposiciones deben considerarse desarrollo válido del artículo 6.1.e) del Reglamento, en el marco del reproducido considerando.
Por lo demás, no ha de olvidarse que esa aplicabilidad supletoria del Reglamento Europeo, en los casos en principio no sometidos al Derecho de la Unión, lleva consigo la de la jurisprudencia interpretativa del mismo, así como la competencia prejudicial del Tribunal de Justicia (STJCE de 18 de octubre de 1990, Dzodzi, asuntos acumulados C-297/88 y C-197/89).
El apartado 4 del comentado artículo 2, en fin, establece que «el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, que le sean aplicables». En la medida en que este apartado contemple uno de los supuestos a que se refiere el apartado 3, es innecesaria su inclusión; de optarse por la lista exhaustiva arriba indicada, habría de incorporarse a la misma.
Artículo 3: Datos de las personas fallecidas
Disposición adicional séptima: Acceso a contenidos de personas fallecidas
El artículo 3 del Anteproyecto se refiere a los datos de las personas fallecidas. Tras excluir la aplicabilidad de la ley orgánica a los tratamientos que tengan dicho objeto en el artículo 2.2.d), el Anteproyecto establece en este artículo 3 una serie de normas especiales aplicables a los mismos.
El considerando 27 del Reglamento general prevé que el mismo «no se aplica a la protección de datos personales de las personas fallecidas», disponiendo expresamente, además, que «los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de éstas». La regulación contenida en el artículo 3 del Anteproyecto puede ampararse, por tanto, en esta amplia habilitación del legislador comunitario -reiterada en los considerandos 158 y 160-. Nada hay que objetar a su contenido, que sigue la línea de lo ya regulado en la normativa vigente y lo establecido por los tribunales españoles, y que queda debidamente completado -en cuanto afecta al acceso a los contenidos gestionados por prestadores de servicios de la sociedad de la información- por lo previsto en la disposición adicional séptima del Anteproyecto.
Sin perjuicio de lo anterior, han de formularse algunas sugerencias para mejorar la redacción de este artículo desde un punto de vista técnico-jurídico:
a) En primer lugar, se sugiere modificar la referencia que hace el apartado 2 al albacea testamentario, «así como aquella persona o institución a la que el fallecido hubiese conferido un mandato expreso para ello», para pasar a referirse al «albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello» pues el mandato se extingue por la muerte del mandante (artículo 1732 del Código Civil), de modo que no cabe en Derecho civil español un mandante post mortem y solo cabría el nombramiento de un albacea particular o especial, siendo sin embargo razonable que la persona que actúe por el fallecido pueda estar designada por acto mortis causa o entre vivos, lo que se consigue, más correctamente, con la redacción propuesta.
Por lo demás, entiende el Consejo de Estado que sería más lógico invertir el orden de los actuales apartados 1 y 2 de este artículo, pues es más lógico nombrar primero a la persona designada para ejecutar el encargo, criterio que es, además, el seguido en otras leyes cuando se trata de ejercitar derechos en nombre o en interés de una persona fallecida (artículos 4 de la Ley Orgánica 1/1982 y 15 de la Ley de Propiedad Intelectual).
b) En segundo lugar, la referencia del apartado 3 del artículo 3 a los representantes legales de los menores y discapacitados fallecidos debe completarse con una mención a «o por quienes hubiesen ejercido funciones de apoyo», ya que, además de los representantes legales (tutor), hay otras personas que pueden representar o asistir a las personas con discapacidad (apoderado preventivo, curador, mandatario preventivo sin poder, defensor judicial y guardador de hecho).
Por último, y todavía en relación con ese apartado 3, no es adecuado contemplar conjuntamente a los menores (desprovistos por completo de capacidad de obrar) y a las personas con discapacidad (que tienen tal capacidad de obrar que pueden hacer efectiva con el «apoyo» de curadores y otras figuras) (Convenio de las Naciones Unidas sobre el derecho de las personas con discapacidad de 2006, en vigor en España desde 2008). Esa misma consideración conjunta de menores y personas con discapacidad, que debe ser evitada, figura también en el artículo 29,2,c) del Anteproyecto.
Las anteriores consideraciones deben hacerse extensivas a la redacción de la actual disposición adicional séptima del Anteproyecto.
Quinta. Título II: Principios de protección de datos
Artículo 4: Datos relativos a infracciones y sanciones administrativas
El artículo 4 del Anteproyecto, con el que se abre el Título II -«Principios de protección de datos»-, regula, «a los efectos del artículo 5.1.c) del Reglamento (UE) 2016/679», el tratamiento de datos relativos a infracciones y sanciones administrativas. Con remisión expresa a ese artículo del Reglamento, el Anteproyecto prevé, en particular, que los responsables de dichos tratamientos deben ser los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones, que el tratamiento debe limitarse a los datos estrictamente necesarios para la finalidad perseguida, y que, en otro caso, el tratamiento deberá estar autorizado por una ley que regule garantías adicionales para los derechos y libertades de los afectados.
El referido artículo 5.1.c) del Reglamento general de protección de datos establece expresamente que los datos personales serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)». Del precepto no se deduce una facultad de los Estados para desarrollarlo o concretarlo con condiciones o exigencias adicionales, como se hace en este caso.
En su respuesta a la carta de la Comisión de fecha 9 de agosto de 2017, la Agencia Española de Protección de Datos alega que el acceso a este tipo de datos está prohibido en Derecho español por el artículo 15.2 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, que prevé que sólo cabrá en los supuestos previstos en una norma con rango de Ley o previo consentimiento del interesado, lo que en consecuencia impide el tratamiento de dichos datos a menos que concurran esas mismas condiciones.
A este respecto, ha de tenerse igualmente en cuenta que el artículo 86 del Reglamento general establece que «los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o una entidad privada para la realización de una misión en interés público» (como pueden ser los relativos a infracciones y sanciones administrativas) «podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento». Pues bien, es esta disposición, y no el artículo 5.1.c) del Reglamento, la que, a juicio del Consejo de Estado, faculta al legislador estatal para someter el tratamiento de este tipo de datos a condiciones específicas, orientadas a conciliar el acceso a esos datos personales en posesión de las autoridades con el derecho a la protección de los mismos.
Por esta razón, la remisión al artículo 5.1.c) del Reglamento general en el precepto que aquí se comenta resulta algo perturbadora, como también su ubicación en la regulación de los «principios de protección de datos», abriendo el Título II del Anteproyecto. Sin perjuicio de que el principio de minimización haya inspirado la regulación contenida en el artículo 4, al tratarse de un tratamiento de datos concreto éste tendría un encaje más adecuado en el Título IV.
Artículo 5: Presunción de exactitud
El artículo 5 del Anteproyecto desarrolla el contenido del principio de exactitud consagrado en el artículo 5.1.d) del Reglamento general, estableciendo a tal efecto la presunción de que son exactos y actualizados «los datos obtenidos directamente del afectado» (apartado 1), «del intermediario o mediador que recoja en nombre propio los datos para su transmisión al responsable», cuando así proceda (apartado 2), o «de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad» (apartado 3).
En ausencia de una habilitación expresa a los Estados miembros para el desarrollo del referido principio de exactitud, ha de concluirse que la regulación anteproyectada va más allá de lo previsto en el Reglamento comunitario. Ahora bien, tal y como ha explicado la Agencia Española de Protección de Datos, la razón de ser de este precepto radica en evitar que recaiga sobre el responsable del tratamiento la probatio diabolica de acreditar la exactitud de datos que ha recibido del propio afectado o incluso de otro responsable en caso de ejercicio del derecho a la portabilidad de los datos, dado el principio de «responsabilidad proactiva» que consagra el artículo 5.2 del Reglamento («el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo»). Ello hace conveniente incluir en el Anteproyecto una previsión en el sentido indicado, pero, para ser respetuosa con los límites de intervención de los Estados miembros marcados por el Reglamento, tal disposición no puede revestir, como en el texto sometido a dictamen, la forma de una «presunción de exactitud» contraria al artículo 5.1.d), y en todo caso debe preservar la responsabilidad proactiva del responsable del tratamiento.
A estos efectos, podría reemplazarse la presunción por la frase «no será imputable al responsable la inexactitud», como propone la Agencia, pero ello debe además completarse con una cláusula de salvaguarda sobre la eventual responsabilidad del responsable en caso de no haber actuado con la diligencia mínima la comprobación de los datos que le exige el artículo 5.1.d). En otro caso, la redacción del Anteproyecto continuaría excediendo en este punto los límites de ese precepto y del apartado 2 del artículo 5 del Reglamento general.
Se propone, así como redacción alternativa al artículo 5.1, la siguiente (y en el mismo sentido habría que modificar la redacción de los otros dos apartados del artículo):
«A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable del tratamiento la inexactitud de los datos obtenidos directamente del afectado, siempre que éste haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan».
En este caso, la reproducción de una parte del artículo 5.1.d) del Reglamento tiene una indudable finalidad ilustrativa y resulta ineludible para garantizar la coherencia de la norma nacional con la regulación comunitaria.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Artículo 6: Deber de confidencialidad
El artículo 6 del Anteproyecto desarrolla el principio de integridad y confidencialidad consagrado en el artículo 5.1.f) del Reglamento general, que dispone lo siguiente: «Los datos personales serán: (…) f) tratados de tal manera que se garantice una seguridad adecuada (…), incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas».
El apartado 1 del artículo 6 se refiere con carácter general a ese deber de confidencialidad, que se impone a «los responsables y encargados del tratamiento de datos así como a todas las personas que intervengan en cualquier fase de éste», lo que está en línea con el principio de «responsabilidad proactiva» del artículo 5.2 del Reglamento. La reiteración de una obligación ya contenida en la norma europea tiene en este caso una finalidad ilustrativa, al servir como introducción a las otras dos previsiones del artículo, haciéndolas más comprensibles: en el apartado 2 se recuerda que esa obligación general de confidencialidad «será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable»; y en el apartado 3 se establece que esas obligaciones «se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento».
La referencia al secreto profesional que hace el apartado 2 es una aclaración importante, que garantiza una mayor coherencia en la aplicación del Reglamento en el marco del ordenamiento jurídico español, y a la que nada cabe, por tanto, objetar.
Respecto a lo previsto en el apartado 3, la Comisión ha manifestado que se trata de una indebida extensión de las obligaciones establecidas en el Reglamento. No puede compartirse esta opinión. El artículo 5.1.f) del Reglamento general exige al responsable del tratamiento que garantice, con carácter general, «una seguridad adecuada de los datos personales», lo que necesariamente debe extenderse al periodo temporal posterior al tratamiento en sí mismo considerado. En otro caso, se pondría en peligro esa seguridad de los datos que el Reglamento quiere, con toda claridad, preservar; puede concluirse, por tanto, el artículo 6.3 del Anteproyecto está orientado a garantizar el efecto útil del principio de integridad y confidencialidad consagrado en el Reglamento general, sin poner en cuestión la aplicabilidad directa o el alcance de éste, y se trata de un desarrollo que respeta el principio de proporcionalidad.
Artículo 7: Tratamiento basado en el consentimiento del afectado
El artículo 7 del Anteproyecto contiene varias disposiciones relativas al tratamiento de datos personales basado en el consentimiento del afectado.
El apartado 1 constituye una mera reiteración de la definición de «consentimiento del interesado» contenida en el artículo 4.11) del Reglamento general. Debería por ello eliminarse.
El apartado 2 se refiere al supuesto particular del tratamiento de datos para una pluralidad de finalidades, precisando que, en estos casos, «será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas». En realidad, esta es una previsión que se desprende también fácilmente del Reglamento general, pues el artículo 6.1.a), que contempla la licitud del tratamiento basado en el consentimiento del interesado, indica que éste puede ser «para uno o varios fines específicos», y el considerando 32 dice expresamente que «cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos». La exigencia de que el mismo sea «específico e inequívoco» se desprende también fácilmente de la definición general del artículo 4.11) del Reglamento. Por todo ello, el precepto constituye asimismo en este punto una reiteración innecesaria de la norma comunitaria, y puede eliminarse sin detrimento del régimen aplicable.
La Agencia Española de Protección de Datos aduce que la inclusión de estos dos apartados es necesaria a la luz de la evolución del marco normativo en España, donde hasta el momento se permitía tratamiento por consentimiento tácito o por omisión, ahora expresamente prohibido por el Reglamento general. La Agencia manifiesta que de esta forma se «pone de manifiesto a los operadores jurídicos de forma explícita esta circunstancia, eliminando cualquier duda acerca de la posible vigencia de tales consentimientos o la posibilidad de utilizarlos en el futuro». Ha de recordarse, sin embargo, que esa función la cumple ya el propio Reglamento comunitario, que es la norma donde habrá de buscarse en lo sucesivo la regulación de la materia.
Lo mismo cabe afirmar de lo previsto en los dos primeros párrafos del apartado 3:
«Cuando en el marco de un proceso de negociación o formalización de un contrato se solicite el consentimiento del afectado para llevar a cabo un tratamiento cuya finalidad no guarde relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá garantizarse que el afectado pueda manifestar específicamente su voluntad en relación con ese tratamiento poniendo a su disposición un procedimiento sencillo, claro, accesible y comprensible.
Este procedimiento podrá consistir, en particular, en la inclusión de una casilla específica en el contrato, siempre y cuando la misma no se encuentre previamente marcada, o en un sistema equivalente para poder manifestar la voluntad del afectado en cuanto al tratamiento de los datos».
Todo lo dispuesto en los dos párrafos reproducidos figura también claramente en el Reglamento, en particular en su artículo 7.2 («Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo»), y en el considerando 32 («(…) Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración de conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento»). Por lo demás, la previsión relativa a las casillas premarcadas, en particular, puede estar más justificada por no encontrarse en la parte dispositiva del Reglamento, sino en los considerandos, pero lo cierto es que se trata de una disposición de carácter más reglamentario que legal, más propia de un Real Decreto que de una ley orgánica.
Mención aparte merece el párrafo tercero de este apartado 3 del artículo 7, en el que se establece lo siguiente:
«No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual».
El considerando 43 del Reglamento general contiene una previsión de este orden, al afirmar que «se presume que el consentimiento no se ha dado libremente (…) cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento».
Ahora bien, si se observa con atención la redacción dada al artículo 7.3, párrafo tercero, del Anteproyecto, se percibe que éste contiene una disposición que afecta a la ejecución del contrato, y no a la validez del consentimiento para el tratamiento otorgado en estas circunstancias. Se establece, en definitiva, una norma que, aunque en la práctica tenga la misma finalidad que la contenida en el reproducido considerando 43 (evitar un consentimiento «forzado» para garantizar el cumplimiento de un contrato), en realidad tiene el sentido inverso: el Anteproyecto no regula la validez o invalidez del consentimiento del afectado para el tratamiento de sus datos en estos casos, sino que impide que ese consentimiento pueda constituir una condición para la ejecución de un contrato. Se trata, pues, de una disposición de carácter contractual, competencia del legislador nacional, que no sólo no contradice el tenor de la norma reglamentaria, sino que permite salvaguardar su efecto útil y contribuye a su aplicabilidad directa. Nada hay que objetar, por tanto, a lo dispuesto en este tercer párrafo.
La regulación del consentimiento plantea, por lo demás, un importante problema de Derecho transitorio, que el Anteproyecto no parece haber abordado. Se trata de determinar si los tratamientos fundados en un consentimiento meramente tácito del interesado -válidos con arreglo a la normativa hasta ahora vigente- deben renovarse en orden a la obtención de un consentimiento expreso, de acuerdo con la nueva regulación, o si se entienden convalidados.
Esta última interpretación podría ser la correcta a la luz de lo dispuesto en el considerando 171 del Reglamento europeo, con arreglo al cual: «Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento».
Ahora bien, en la medida en que esa previsión se contiene en la parte expositiva del Reglamento, y que la misma está sometida a una importante condicionalidad, considera el Consejo de Estado que es un punto que debería aclararse en el Anteproyecto, pues la lectura de sus disposiciones transitorias no ofrece, en la redacción sometida a dictamen, una respuesta a esta importante cuestión.
Artículo 8: Consentimiento de los menores de edad
Haciendo uso de la habilitación contenida a tal efecto en el artículo 8.1, párrafo segundo, del Reglamento general, el artículo 8 del Anteproyecto fija en 13 años la edad a partir de la cual el tratamiento de los datos personales de un menor puede hacerse con su propio consentimiento, en lugar del de sus padres o tutores.
Se modifica así el límite de edad fijado a estos efectos en la vigente normativa española (14 años, de acuerdo con el artículo 13 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre), y en el propio Reglamento general de protección de datos, cuyo artículo 8.1 establece dicho límite con carácter general en 16 años, para a continuación establecer que «los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años».
La modificación propuesta reviste cierta trascendencia, al separarse del criterio general recomendado por el legislador comunitario (16 años) y optar por la edad que éste fija como límite inferior máximo (13 años). Requiere, por ello, una adecuada justificación, que se encuentra sucintamente expuesta en la Memoria justificativa, con referencia a algunos de los argumentos esgrimidos en el trámite de información pública a favor de esta opción (entre otros, por Save Theo Children o la asociación Pantallas Amigas). En particular, se hace referencia a la necesidad de posibilitar el pleno desarrollo del menor y promover su participación en la sociedad; el fomento de la autonomía y la madurez, que requiere la capacidad de tomar decisiones; las posibilidades de acceder a servicios globales; o la reducción de escenarios irreales y de efectos adversos.
Ciertamente, la exigencia del consentimiento parental podría impedir la utilización de Internet por los menores en determinados casos, limitando el desarrollo de habilidades indispensables en el actual entorno digital. Por otra parte, no hay que olvidar que muchos de los servicios de la sociedad de la información a los que se refiere el artículo 8 del Reglamento comunitario se prestan por empresas cuya sede está situada fuera de la Unión Europea, por lo que la situación legal en el ordenamiento del prestador del servicio no es del todo irrelevante a efectos de garantizar una aplicación eficaz de este requisito. A este respecto, la Memoria justificativa apunta que «si la edad mínima en España es superior a la edad mínima establecida en otro país (europeo o no) se hace indispensable que las entidades prestadoras de servicios globales (en otros países además de España) requieran a los usuarios españoles su ubicación para, en función de la misma y confirmada ésta, le permitan o no acceder al servicio», teniendo en cuenta que «cuando la edad establecida no es la mínima, ocurriría que no se le puede dar el servicio porque es necesario preguntarle su localización, lo cual ya transgrede su derecho a la protección de datos personales». El propio Reglamento Europeo, al permitir a los Estados miembros regular sobre esta materia, abre una importante brecha en la deseable armonización de la misma (la nueva ley alemana de protección de datos, por ejemplo, no contiene previsión alguna en relación con el consentimiento de los menores, por lo que se aplicará, en principio, el límite de 16 años previsto en el Reglamento general).
En fin, desde un punto de vista práctico cabe subrayar la complejidad que puede revestir la comprobación del dato de la edad declarada por un usuario en Internet o la verificación de que el consentimiento del menor fue dado por el titular de la patria potestad o la tutela. El artículo 8.2 del Reglamento establece, para esto último, que «el responsable del tratamiento hará esfuerzos razonables (…) teniendo en cuenta la tecnología disponible», exigencia de alcance cuando menos incierto y que puede igualmente desembocar en diferencias regulatorias importantes entre los Estados miembros.
A la vista de cuanto precede, la rebaja a 13 años de la edad mínima para prestar el consentimiento para el tratamiento de datos personales en el contexto de los servicios de la sociedad de la información se encuentra suficientemente amparada por la habilitación a los Estados miembros que realiza el artículo 8 del Reglamento Europeo, y puede estar justificada por las razones esgrimidas en la Memoria que acompaña al Anteproyecto. Sin embargo, en la medida en que se trata de una excepción a la regla general de los 16 años establecida en la norma europea y no constando que existan otros Estados miembros que, haciendo uso de la referida atribución, hayan fijado una edad inferior, el Consejo de Estado resulta necesario reconsiderar esta previsión, para evitar la falta de homogeneidad en el tratamiento europeo de esta cuestión que de ello pudiera derivarse.
Artículo 9: Tratamiento de datos amparado por la ley
El artículo 9 del Anteproyecto, titulado «Tratamiento de datos amparado por la ley», desarrolla tres supuestos distintos de licitud del tratamiento contemplados en el artículo 6.1 del Reglamento general.
Sumariamente, dicho artículo 6.1 considera que el tratamiento sólo puede ser considerado como lícito cuando concurra, alternativamente, uno de los siguientes escenarios:
consentimiento del interesado;
tratamiento necesario para la ejecución de un contrato (o medidas precontractuales);
tratamiento necesario para el cumplimiento de una obligación legal;
tratamiento necesario para proteger intereses vitales;
tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Apartados 1 y 2
Para los casos previstos en las letras c) y e) (obligación legal y misión de interés público), el artículo 6.2 del Reglamento general habilita expresamente a los Estados miembros a «mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento» con respecto a los tratamientos fundados en esas circunstancias, «fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo (…)». Asimismo, el artículo 6.3 del Reglamento señala que la base del tratamiento indicado en esas letras deberá ser establecida por el Derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento, y dicha base jurídica «podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados, las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido».
Al amparo de esta amplia habilitación contenida en el Reglamento, los apartados 1 y 2 del artículo 9 del Anteproyecto se refieren, respectivamente, a estos dos supuestos de tratamiento necesario para el cumplimiento de una obligación legal o de una misión realizada en interés público o en el ejercicio de poderes públicos.
En realidad, los citados apartados no desarrollan totalmente las previsiones de las letras c) y e) del artículo 6.1 del Reglamento, remitiéndose a estos efectos a una futura regulación mediante norma con rango de Ley, y por esta razón, su tenor literal no se aleja excesivamente del contenido del artículo 6 del Reglamento. No se trata, sin embargo, de reiteraciones vanas ni indebidas, al añadirse expresamente la exigencia de que la regulación nacional de la base del tratamiento se haga por ley. Se trata, en definitiva, de remitir a futuras normas con rango legal la concreción de estos supuestos, lo que en modo alguno contraviene lo dispuesto en el Reglamento Europeo, cuyo desarrollo por los Estados miembros, en los casos en que expresamente se prevea, podrá hacerse mediante el instrumento normativo que éstos elijan, en aplicación del principio de autonomía procedimental. La reserva de ley prevista en los apartados 1 y 2 del artículo 9 se inscribe plenamente, por tanto, en el margen de apreciación reconocido por el Reglamento a los Estados miembros, y viene a cumplir una exigencia de nuestro orden constitucional.
Apartado 3
Mayor complejidad presenta el análisis de la conformidad con el Reglamento Europeo del apartado 3 de este artículo 9 del Anteproyecto, en el que se establece lo siguiente:
«La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679. En estos supuestos, la ley podrá exigir al responsable la adopción de garantías adicionales.
Lo dispuesto en el párrafo anterior no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1 f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica».
Según manifiesta en su informe de 11 de julio de 2017 la Agencia Española de Protección de Datos, este precepto del Anteproyecto «se refiere a los múltiples supuestos existentes en nuestro derecho en los que existe una norma con rango de Ley habilitante de un determinado tratamiento de datos que no lo impone como consecuencia de una obligación legal ni hace referencia al ejercicio de potestades de derecho público». Se considera, en definitiva, que, «sin perjuicio de la aplicación directa de la regla de prevalencia del interés legítimo, el legislador podrá recoger supuestos en los que aprecie la existencia de una presunción favorable a dicha prevalencia o considere que la misma se podría producir en caso de que el tratamiento adopte una serie de garantías adicionales». En estos supuestos, dice la Agencia, los responsables no tendrían que acudir a la regla de ponderación, dado que la Ley la habría verificado con anterioridad. Se trata, en definitiva, de «otorgar seguridad jurídica a los operadores, que podrán considerar de aplicación la regla de equilibrio del artículo 6.1.f) del Reglamento sin quedar pendientes de que la misma sea efectivamente confirmada por las autoridades de protección de datos y los órganos jurisdiccionales».
Ahora bien, el encomiable esfuerzo del Anteproyecto por proteger la seguridad jurídica no le legitima para sobrepasar el estrecho margen de actuación que el Reglamento reconoce a los Estados miembros en la regulación de esta materia.
A estos efectos, debe comenzar recordándose que, a diferencia de lo que ocurre con la regulación de los supuestos legitimadores de las letras c) y e) del artículo 6.1, el Reglamento no efectúa ninguna llamada expresa al desarrollo y concreción por los Estados miembros del supuesto contemplado en la letra f) de ese artículo. En línea de principio, por consiguiente, y en ausencia de una habilitación implícita en este sentido, debe negarse toda competencia de los Estados miembros para imponer por vía normativa exigencias adicionales que vengan a modificar el alcance de esta hipótesis legitimadora del tratamiento.
Así lo ha afirmado el Tribunal de Justicia de la Unión en su Sentencia de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y Federación de Comercio Electrónico y Marketing Directo (FECEMD) (asuntos acumulados C-468/10 y C-469/10), al examinar la compatibilidad del artículo 10.2.b) del Reglamento de la Ley Orgánica 15/1999 con el artículo 7 de la Directiva 95/46, en la que se enumeraban los casos en que un tratamiento de datos personales puede considerarse lícito. En un criterio reiterado en jurisprudencia posterior (en particular, STJUE de 19 de octubre de 2016, Breyer, C-582/14), el Tribunal señaló que «los Estados miembros no pueden ni añadir al artículo 7 de la Directiva 95/46 nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo» (STJUE ASNEF, apartado 32).
En particular, el artículo 7.f) de la Directiva -precepto paralelo al artículo 6.1.f) del Reglamento general aquí en cuestión- establecía dos requisitos acumulativos para que un tratamiento de datos personales fuese lícito, a saber, por una parte, que ese tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y, por otra parte, que frente a ese interés no prevalezcan los derechos y libertades fundamentales del interesado. Añade la Sentencia que «el segundo de esos requisitos exige una ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate», y que «corresponde a los Estados miembros, a la hora de adaptar su ordenamiento jurídico a la Directiva 95/46, procurar basarse en una interpretación de ésta que les permita garantizar un justo equilibrio entre los distintos derechos y libertades fundamentales protegidos por el ordenamiento jurídico de la Unión», para en fin concluir que «si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5» (STJUE ASNEF, apartados 40, 43 y 47; en el mismo sentido, STJUE Breyer, antes citada, apartado 62).
Este sería el resultado del artículo 9.3 del Anteproyecto. Al prever que el legislador español efectúe la ponderación de intereses prevista en el artículo 6.1.f) del Reglamento general para determinados tratamientos, se impide de facto en estos supuestos la ponderación del interés legítimo del responsable del tratamiento con los derechos y libertades del interesado a la luz de las circunstancias del caso concreto; se permite establecer con carácter definitivo, en resumen, el resultado de esa valoración relativa, atendiendo al cumplimiento de las condiciones y garantías adicionales que, de acuerdo con el Anteproyecto, la ley podría exigir.
La Agencia Española de Protección de Datos alega en su informe que la Sentencia del Tribunal Supremo en el asunto ASNEF (STS de 8 de febrero de 2012), dictada tras la contestación por el Tribunal de Justicia a sus cuestiones prejudiciales, aunque declara nulo el requisito contemplado en el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999 por resultar contrario a la Directiva de protección de datos, rechaza la impugnación del artículo 10.2.a) de la misma norma reglamentaria, en el que se prevé como excepción al consentimiento del interesado para el tratamiento de datos el que lo autorice la ley o una norma comunitaria, recordando que dicho precepto no fue objeto de las cuestiones planteadas al Tribunal de Justicia y argumentando que «no se observó entonces, ni se observa ahora, confrontación entre la norma reglamentaria y la comunitaria (…) lejos de apreciarse un criterio restrictivo en la norma reglamentaria con respecto a la comunitaria, lo que se aprecia es la previsión en el reglamento de un supuesto habilitador no expresamente previsto en la norma comunitaria».
Ha de recordarse, no obstante, que el marco normativo europeo entonces en cuestión estaba formado por una Directiva, norma que carece del efecto directo de los Reglamentos, por lo que los Estados disponían de un margen de actuación más amplio en orden a su transposición. Por otra parte, el Tribunal Supremo añadió también en la citada resolución que «podría observarse una adición limitativa si la ley nacional habilitadora estableciera condiciones a los supuestos previstos en el artículo 7 de la Directiva (…)», circunstancia que cabría apreciar en este caso, dado que el artículo 9.3 del Anteproyecto prevé precisamente que la ley pueda exigir al responsable de un tratamiento de datos que ostente un interés legítimo garantías adicionales para considerar lícito dicho tratamiento.
Aunque sea en aras a una siempre deseable mayor seguridad jurídica, por tanto, ha de concluirse el legislador español no puede sustituir con supuestos legalmente tasados la flexibilidad que el legislador comunitario ha querido en apariencia atribuir a la aplicación del artículo 6.1.f) del Reglamento general.
Por una parte, a diferencia de lo previsto para otros supuestos del mismo artículo 6.1, el precepto no efectúa una habilitación expresa a los Estados miembros para desarrollar el principio de legitimación del tratamiento contemplado en su letra f). Por otra parte, tampoco parece que de su redacción pueda deducirse una habilitación implícita para llevar a cabo una determinación a nivel nacional, con carácter definitivo, del resultado de la ponderación de los derechos e intereses en conflicto en una serie de casos concretos. Tal interpretación choca frontalmente con lo señalado por el Tribunal de Justicia en su jurisprudencia ASNEF y Breyer y no puede olvidarse que, si bien la determinación por cada Estado miembro, a nivel legislativo, de los casos en los que puede entenderse que hay interés legitimador del tratamiento de datos y aquéllos en los que no podría contribuir a generar una mayor inseguridad jurídica a nivel nacional, al mismo tiempo produciría una fragmentación del marco normativo a nivel europeo contraria al objetivo armonizador perseguido por el Reglamento y que obstaculizaría la libre circulación de los datos personales, finalidad última de la reglamentación europea.
En fin, de la jurisprudencia citada y del propio tenor literal del Reglamento se desprende que el modelo querido por el legislador europeo se caracteriza por un alto grado de flexibilidad en la aplicación de este supuesto de licitud de los tratamientos de datos personales.
Se trata, en definitiva, de atribuir al responsable del tratamiento la responsabilidad de efectuar la correspondiente ponderación de intereses, sin perjuicio de su ulterior control por la Agencia y, en su caso, por las autoridades judiciales. El diseño, en una norma legal, de las condiciones mínimas que ha de reunir un determinado tratamiento para que pueda concluirse que el interés legítimo del responsable prevalece sobre los derechos e intereses de los afectados va en contra de esa concepción, razón por la que, a juicio del Consejo de Estado, la introducción de una norma como la contenida en el artículo 9.3 del Anteproyecto no puede hacerse sin riesgo de incurrir en un incumplimiento de la norma europea.
Ciertamente, el párrafo segundo del artículo 9.3 aquí examinado establece la cautela de que esa ponderación de derechos e intereses que en su caso efectúe el legislador «no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1.f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica». Sin embargo, este caveat no resulta suficiente para declarar conforme al Reglamento la previsión del artículo 9.3 en su conjunto, pues el problema serán precisamente los casos en los que sí exista una previsión legal específica, y ésta, de conformidad con lo establecido en el artículo 9.3 del Anteproyecto, efectúe la citada ponderación; aunque ello no impidiese que, cuando no se cumplan los requisitos establecidos en la Ley, en atención a las circunstancias (y en aplicación directa del Reglamento) un determinado tratamiento pueda considerarse lícito al amparo del artículo 6.1.f) del Reglamento general, los supuestos en los que sí se verificaran todas las condiciones de esa Ley serían necesariamente lícitos, lo que claramente excede el marco trazado por el legislador comunitario.
Por estos motivos, el Consejo de Estado considera que debe eliminarse la disposición contenida en el artículo 9.3 del Anteproyecto.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Sin perjuicio de cuanto acaba de observarse, ante la indudable conveniencia de garantizar el máximo grado de seguridad jurídica posible ofreciendo a los operadores ciertas guías en su actuación, sin perjuicio de respetar la aplicabilidad directa del Reglamento Europeo y, en todo caso, con el objetivo de asegurar su efecto útil, el Consejo de Estado desea apuntar, como solución alternativa, la posibilidad de introducir por vía legislativa, en casos puntuales, simples presunciones iuris tantum favorables a la prevalencia del interés legítimo del responsable del tratamiento cuando se cumplan determinados requisitos o condiciones.
Esta solución podría resultar conforme a la flexibilidad en la ponderación de intereses y al principio de responsabilidad proactiva del responsable del tratamiento que, como se indicó, persigue la nueva regulación comunitaria. Asimismo, la previsión de simples presunciones salvo prueba en contrario tendría encaje en la jurisprudencia analizada, que prohíbe establecer en una norma nacional el resultado de la citada ponderación «con carácter definitivo (…), sin permitir un resultado diferente», obstáculo que la solución alternativa aquí propuesta permitiría, en principio, evitar.
Con todo, la introducción de las presunciones citadas en la Ley cuyo Anteproyecto aquí se dictamina o en otros textos legales, deberá hacerse en textos con rango de ley y en términos que no dejen lugar a dudas, en primer lugar, sobre el carácter de presunción iuris tantum, destruible con prueba en contrario, de la regulación que se efectúa; y, en segundo lugar, sobre el efecto directo del Reglamento Europeo en relación con esta cuestión (lo que exigiría la introducción en todos los casos de la salvedad «Sin perjuicio de lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/699»).
En el Título IV del Anteproyecto, varios son los artículos en los que, haciéndose uso de esta previsión del artículo 9.3, se regulan tratamientos de datos por concurrencia del interés legítimo del responsable del tratamiento. En su momento, cada uno de ellos será objeto de consideración individualizada en el cuerpo del presente dictamen.
Artículo 10: Categorías especiales de datos
El artículo 10 del Anteproyecto se refiere al tratamiento de «categorías especiales de datos», título que remite a los datos personales contemplados en el artículo 9 del Reglamento general, a saber, los que «revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física».
Con carácter general, el artículo 9.1 del Reglamento declara prohibido el tratamiento de estos datos personales particularmente sensibles, pero en el apartado 2 del mismo artículo se enumeran hasta diez circunstancias concretas que permiten levantar esa prohibición.
Apartado 1
La primera de tales circunstancias es el consentimiento explícito del interesado para el tratamiento de dichos datos personales, si bien el propio Reglamento establece que el Derecho de la Unión o de los Estados miembros podrán establecer casos en los que la prohibición no pueda ser levantada por aquél (artículo 9.2.a) del Reglamento).
El artículo 10, apartado 1, del Anteproyecto desarrolla esta previsión del Reglamento, estableciendo que «a los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial y étnico», añadiendo a continuación que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda».
Con carácter general, ha de valorarse positivamente esta disposición, que respeta el margen de apreciación reconocido a estos efectos a los Estados miembros y se inscribe en la línea de lo previsto en el artículo 7.4 de la Ley Orgánica 15/1999, aunque con algunas diferencias, pues donde la regulación española aún vigente prohíbe los ficheros creados con la «finalidad exclusiva» de «almacenar» los referidos datos sensibles, el Anteproyecto prohíbe los tratamientos cuya «finalidad principal» sea «identificar» tales datos, todo ello «a fin de evitar situaciones discriminatorias». Sin perjuicio de esta valoración positiva, el Consejo de Estado considera que debería mejorarse la redacción del precepto, para que del mismo resulte con mayor claridad que los tratamientos de datos sensibles prohibidos son aquéllos que, por tener como finalidad principal identificarlos, pueden llevar a situaciones discriminatorias; se trata, en definitiva, de disipar las dudas que la actual redacción pudiera suscitar respecto a si el inciso «a fin de evitar situaciones discriminatorias» constituye, en realidad, una característica más que debe reunir el tratamiento de datos en cuestión para considerarlo prohibido.
Cabe subrayar, por lo demás, que el Anteproyecto no contempla en este precepto otros datos sensibles igualmente mencionados en el artículo 9.1 del Reglamento, en particular los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física o los datos relativos a la salud, dejando siempre abierta la posibilidad de su tratamiento cuando se cuente con el consentimiento del autorizado. No cabe oponer ninguna objeción jurídica a esta opción del legislador, pues el artículo 9.2.a) del Reglamento general parece dejar total libertad a los Estados miembros para escoger los supuestos en los que ese consentimiento no será suficiente para levantar la prohibición del artículo 9.1. Sin embargo, en ausencia de una justificación detallada de esta opción legislativa en la Memoria, dado el carácter extremadamente sensible de este tipo de datos de salud, biométricos o genéticos y no pudiendo excluirse que su tratamiento se haga con fines discriminatorios, el Consejo de Estado recomienda considerar si los referidos datos merecen también una protección más reforzada.
Apartado 2
En su apartado 2, el artículo 10 del Anteproyecto se refiere a otras tres de las circunstancias en las que el artículo 9.2 del Reglamento permite el tratamiento de datos sensibles, concretamente las siguientes:
el tratamiento fundado en razones de interés público esencial, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado (letra g) del artículo 9.2);
el que es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social (letra h) del artículo 9.2);
y el que es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios (letra i) del artículo 9.2).
En todos estos los casos, el Reglamento precisa expresamente que tales tratamientos se harán «sobre la base del Derecho de la Unión o de los Estados miembros». El artículo 10.2 del Anteproyecto hace un primer uso de esta habilitación con la finalidad de establecer una reserva de ley para la regulación de los tratamientos de datos fundados en las citadas causas. No se trata, por tanto, de una mera reiteración del contenido del Reglamento, sino de una previsión dirigida a garantizar que el desarrollo del mismo se realice con respeto a las exigencias de la Constitución española, en particular de su artículo 53.1.
Por su parte, el párrafo segundo de este apartado 2 se refiere específicamente a dos supuestos de tratamiento de datos en el ámbito de la salud, a saber, los que exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte. El primero de estos dos supuestos (gestión de los sistemas y servicios de asistencia) se encuentra expresamente mencionado en el artículo 9.2.h) del Reglamento, al que se remite el párrafo primero del aquí comentado artículo 10.2 del Anteproyecto, y el segundo (ejecución de un contrato de seguro, se entiende que en el ámbito de la salud) puede entenderse también fácilmente incluido bajo esa misma rúbrica de sistemas y servicios de asistencia sanitaria y social. Resulta, por ello, una previsión redundante, que debería eliminarse en la medida en que, por su carácter meramente ejemplificativo, puede inducir a confusión o llevar a interpretaciones restrictivas de los supuestos contemplados en el resto del precepto.
Artículo 11: Tratamiento de datos de naturaleza penal
Disposición adicional sexta: Registros de apoyo a la Administración de Justicia
El artículo 11 del Anteproyecto regula el tratamiento de datos de naturaleza penal. Se ejercita así la habilitación contenida en el artículo 10 del Reglamento general, que dispone lo siguiente:
«El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la supervisión de las autoridades o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Sólo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades».
El apartado 1 del artículo 11 desarrolla esta previsión del Reglamento a los efectos de recordar la reserva de ley que, para la regulación de estas cuestiones, rige en el ordenamiento español, de acuerdo con el artículo 53.1 de la Constitución. Efectúa, por tanto, una mera remisión a lo dispuesto en la propia ley orgánica «o en otras normas de rango legal» para garantizar el respeto a esa exigencia constitucional, y precisa, respecto a lo dispuesto en el artículo 10 del Reglamento, que se trata de tratamientos «con fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales», en la medida en que estos últimos se regirán por la normativa de transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Por su parte, el apartado 2 establece que «corresponde al Ministerio de Justicia la gestión de los sistemas de información en que se recoja la totalidad de los datos relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas», efectuando así una atribución competencial, en aplicación de la libertad organizativa interna, que concreta la previsión de la última frase del artículo 10 del Reglamento.
Lo dispuesto en este artículo se completa con la disposición adicional sexta del propio Anteproyecto, que se refiere al Sistema de registros administrativos de apoyo a la Administración de Justicia (integrado por el Registro Central de Penados, el Registro Central para la Protección de las Víctimas de la Violencia Doméstica y de Género, el Registro Central de Medidas Cautelares, Requisitorias y Sentencias no Firmes, el Registro Central de Rebeldes Civiles, el Registro de Sentencias de Responsabilidad Penal de los Menores y el Registro Central de Delincuentes Sexuales), cuya gestión corresponde al Ministerio de Justicia. De conformidad con esta disposición adicional, los datos referidos a condenas e infracciones penales o medidas de seguridad conexas «podrán tratarse de conformidad con lo establecido en el Real Decreto 95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia». Nada hay que objetar a esta regulación por Real Decreto – aprobado en su día en el marco proporcionado por la legislación general penal y procesal y por la normativa de protección de datos entonces vigente- , habida cuenta que la propia ley orgánica le conferirá el necesario amparo legal.
Sexta. Título III: Derechos de las personas
Capítulo I: Transparencia e información
Artículo 12: Transparencia e información al afectado
El artículo 12 del Anteproyecto se refiere al derecho a la transparencia e información del interesado, regulado en los artículos 12, 13 y 14 del Reglamento general de protección de datos.
El apartado 1 reproduce algunas de las condiciones que, de conformidad con el artículo 12 del Reglamento, debe reunir la información a suministrar al interesado; en particular, que sea clara y concisa, fácilmente accesible y comprensible por el destinatario, concretamente cuando se trate de un menor. Por tratarse de una reproducción innecesaria y parcial de un precepto del Reglamento, entiende el Consejo de Estado que debe eliminarse del Anteproyecto.
Los apartados 2 a 4 tienen como finalidad regular la posibilidad de suministro de la información a que tiene derecho el afectado mediante un sistema de información «por capas» en el que una parte de aquélla -la que el Anteproyecto considera «información básica», explicitada en el apartado 3- se facilita directamente al interesado, en tanto que la restante información preceptiva (de acuerdo con lo dispuesto en los artículos 13 y 14 del Reglamento general) podrá suministrarse indicando al interesado «una dirección electrónica u otro medio que permita acceder fácilmente» a ella.
A juicio del Consejo de Estado, estas previsiones del Anteproyecto constituyen una medida de aplicación del Reglamento que puede considerarse naturalmente inscrita en el margen de apreciación reconocido a los Estados miembros. El precepto anteproyectado no impone el recurso a este método de información «por capas», que se articula únicamente como una posibilidad a la que pueden recurrir los responsables del tratamiento en los casos expresamente previstos en la ley orgánica («cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información»), así como en aquellos otros supuestos expresamente establecidos por una ley o cuando así lo autorice la Agencia Española de Protección de Datos. Según ha indicado la Agencia en su contestación a la carta de la Comisión europea de 9 de agosto de 2017, si la información se facilita en otro formato, o a través de «capas» distintas, no se estará vulnerando el principio de transparencia, pero el responsable deberá valorar si el principio se ha cumplido adecuadamente o si se precisa algún tipo de medida adicional de salvaguarda de los derechos, valoración que no requerirá hacer si informa en los términos del artículo. En la medida en que este método de información se articula como una mera posibilidad en manos del responsable del tratamiento («podrá dar cumplimiento al deber de información»), no se añade ningún requisito o condición adicional que exceda de lo previsto en el Reglamento Europeo, y resulta una previsión proporcionada y conforme con los objetivos del mismo.
Sin perjuicio de lo anterior, debe recordarse que el artículo 13 exige que la totalidad de la información que debe suministrarse al interesado se facilita en el momento en que se obtengan los datos personales objeto de tratamiento. Pese a la aplicabilidad directa de esta disposición del Reglamento, sería conveniente que el artículo 12 del Anteproyecto precisara que ese método de información «por capas» no puede en ningún caso implicar un retraso en el suministro de la información considerada como «no básica».
Capítulo III: Ejercicio de los derechos
Artículo 13: Disposiciones generales sobre el ejercicio de los derechos
El artículo 13 del Anteproyecto contiene una serie de disposiciones generales destinadas a regir el ejercicio de los derechos reconocidos al interesado en los artículos 15 a 22 del Reglamento (derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, derecho a ser notificado de la rectificación o supresión de datos personales o de la limitación del tratamiento, derecho a la portabilidad de los datos, derecho de oposición y derechos en relación con las decisiones individuales automatizadas, incluida la elaboración de perfiles).
Completa así el Anteproyecto las disposiciones que, sobre modalidades de ejercicio, contiene el artículo 12 del Reglamento Europeo, por lo que ha de analizarse si se excede o no del margen de maniobra conferido para tal desarrollo a los Estados miembros.
Algunas previsiones, como las contenidas en los apartados 1 o 4 del artículo 13 del Anteproyecto, no suscitan objeciones, al introducir reglas destinadas a clarificar algunos aspectos de ejercicio de tales derechos sin restringir lo establecido en el Reglamento; por ejemplo, la posibilidad de ejercicio por medio de representante legal o voluntario o la autorización al encargado de atender las solicitudes de ejercicio, en todo caso por cuenta del responsable del tratamiento. La obligación de información al afectado sobre los medios para ejercer los derechos y restantes previsiones del apartado 4 resultan también una consecuencia natural de lo dispuesto en el artículo 12 del Reglamento.
Tampoco cabe objetar la redacción del apartado 5 del artículo 13, en el que se establece que «la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable». Se trata de la concreción de la carga de la prueba en línea con la responsabilidad del responsable del tratamiento que consagra el Reglamento, clarificación que contribuye a la coherencia de éste con la normativa española.
Mayores dificultades plantea la conformidad con el Reglamento de lo dispuesto en el apartado 2 de este artículo 13 del Anteproyecto: «La identidad del afectado y, en su caso, la de su representante deberá acreditarse mediante documento válido, incluido aquel que permita su identificación electrónica». La exigencia de un «documento válido» (aunque sea en su formato electrónico) parece ir más allá de lo previsto en el Reglamento general, cuyo artículo 12.6 se limita a indicar que «cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado», y el considerando 64 contiene también una referencia genérica en cuanto a los medios de identificación («el responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten el acceso (…)»). La exclusión de otros medios de identificación alternativos al «documento válido» -de cualesquiera otras «medidas razonables» para practicar esa identificación, como un sistema de contraseñas, por ejemplo- contraviene, por tanto, lo dispuesto en el Reglamento, lo que lleva a recomendar la supresión de este artículo 13.2.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Artículos 14 a 19
Los artículos 14 a 19 del Anteproyecto contienen una escueta regulación de los derechos atribuidos al interesado en los artículos 15 a 22 del Reglamento general, antes enumerados. Cada uno de los preceptos aquí analizados comienza con una remisión general al artículo correspondiente del Reglamento, añadiendo, en cada caso, algunas precisiones puntuales sobre el ejercicio del derecho de que se trata.
Las remisiones iniciales a los artículos del Reglamento tienen un carácter meramente ilustrativo y no parecen, a juicio del Consejo de Estado, redundantes. Aunque, evidentemente, no sean necesarias para garantizar la aplicabilidad directa del Reglamento, en la medida en que el legislador español pretende añadir algunas normas de desarrollo puntual, las remisiones contribuyen a dotar de una mayor coherencia interna a la futura ley española, haciéndola más comprensible en su conjunto.
En cuanto a las disposiciones relativas al ejercicio de cada derecho que los artículos del Anteproyecto añaden, pueden formularse las siguientes observaciones:
Artículo 14: Derecho de acceso
El artículo 14, relativo al derecho de acceso regulado en el artículo 15 del Reglamento, reproduce algunas previsiones tomadas del considerando 63 de la norma europea (por ejemplo, el párrafo segundo del apartado 1) y desarrolla otras disposiciones de ese mismo considerando (por ejemplo, la referencia, en el apartado 2, a que «el derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad» y que, «a tales efectos, la comunicación por el responsable al afectado del modo en que éste podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho»). Ninguna de ellas va más allá de lo que permite el Reglamento, introduciendo no obstante mayor claridad y, con ella, mayor seguridad jurídica, en la aplicación del derecho del artículo 15 del Reglamento. El apartado 3 de este mismo artículo 14 plantea, sin embargo, mayores dudas, al establecer que «cuando el afectado elija un medio distinto al que se le ofrece asumirá los riesgos y los costes desproporcionados que su elección comporte». La redacción del precepto da la impresión de que el acceso será a cargo del interesado siempre que éste se manifieste en desacuerdo con el medio que le ofrezca el responsable del tratamiento, lo que resulta frontalmente contrario al artículo 12.5 del Reglamento, que limita esa excepción a la regla general de la gratuidad del ejercicio de los derechos del interesado a los casos en que «las solicitudes sean manifiestamente infundadas o excesivas, especialmente dado su carácter repetitivo». Debe, por tanto, eliminarse esta disposición del texto del Anteproyecto.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Artículo 18: Derecho a la portabilidad
El artículo 18 del Anteproyecto se refiere al derecho a la portabilidad regulado en el artículo 20 del Reglamento, y que constituye una de las principales novedades del mismo. La regulación anteproyectada ha sido en este punto objeto de numerosas observaciones en el expediente, en la medida en que el Anteproyecto procede a concretar el alcance de ese derecho a la portabilidad de los datos personales.
El artículo 20 del Reglamento únicamente precisa al respecto que los datos objeto del derecho son los datos personales del interesado «que le incumban» y «que haya facilitado a un responsable del tratamiento»; además, el tratamiento cuyos datos van a ser objeto de portabilidad debe estar basado en el consentimiento del interesado y efectuarse por medios automatizados.
El artículo 18 del Anteproyecto procede a interpretar qué debe entenderse por datos «facilitados» por el interesado al responsable del tratamiento. Así, por una parte, el apartado 1 precisa que el derecho podrá ejercerse respecto de los datos que el interesado hubiera facilitado al responsable del tratamiento, pero también «de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable»; por el contrario, el apartado 2 establece que el derecho a la portabilidad «no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior», sin perjuicio de la posibilidad de ejercitar otros derechos en relación con los mismos, como el derecho de supresión del artículo 15 del Reglamento.
La redacción del Anteproyecto parece en este punto concordante con las Directrices sobre portabilidad de datos adoptadas el 13 de diciembre de 2017 (revisión de 5 de abril de 2017) por el Grupo de Trabajo creado por el artículo 29 de la Directiva 95/46/CE («Grupo de Trabajo del artículo 29»; file:///C:/Users/santa/Downloads/wp242_rev01_enpdf.pdf), en las que se permite diferenciar entre los datos facilitados por el interesado y los datos derivados del tratamiento o inferidos del mismo.
Entre los primeros, objeto del derecho de portabilidad, además de los datos activa y conscientemente facilitados por el interesado, como pueden ser el nombre de usuario, la edad o la dirección electrónica, el Grupo de Trabajo del artículo 29 incluye también los datos derivados de la observación de la actividad del interesado, como por ejemplo sus historiales de búsqueda o su localización, cuando no la haya facilitado expresamente. Frente a ello, considera no incluidos en el ámbito del derecho los datos que el propio responsable del tratamiento obtiene o «crea» a partir de los facilitados por el interesado; cita así, por ejemplo, el perfil creado para un usuario creado en un contexto de gestión de riesgos y regulaciones financieras a partir de datos suministrados a un banco, a efectos de la concesión de un crédito o de cumplir con las normativas de control del blanqueo.
El Consejo de Estado considera acertada esta delimitación del ámbito de aplicación del derecho de portabilidad. Pese a ello, es indudable que la lectura del Reglamento no permite excluir otras interpretaciones alternativas de la frase «que haya facilitado a un responsable», especialmente si se tiene en cuenta que el derecho a la portabilidad está limitado a los datos objeto de tratamientos basados en el consentimiento del interesado y que el Reglamento excluye expresamente la posibilidad de un consentimiento meramente tácito o implícito. Por esta razón, dadas las abundantes observaciones que el precepto ha suscitado en la fase de información pública, y pese a la importante contribución que este artículo supone para la seguridad jurídica de los operadores, el Consejo de Estado no considera conveniente plasmar esta interpretación en el Anteproyecto de ley orgánica, por la rigidez que ello supone.
Séptima. Título IV: Disposiciones aplicables a tratamientos concretos
El Título IV del Anteproyecto (artículos 20 a 28) contempla una serie de disposiciones aplicables a tratamientos concretos.
Algunos de ellos se consideran como lícitos al amparo del artículo 6.1.f) del Reglamento Europeo y, más concretamente, de la previsión del artículo 9.3 del propio Anteproyecto de Ley Orgánica, por ser necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, sin que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.
Deben darse aquí por reproducidas, por tanto, las observaciones formuladas en el cuerpo del presente dictamen en relación con el artículo 9.3 del Anteproyecto, que llevan a concluir a la imposibilidad de llevar a cabo un desarrollo en el ordenamiento jurídico nacional del supuesto de licitud del tratamiento contemplado en el citado artículo 6.1.f), en la medida en que el mismo suponga congelar a nivel legislativo una ponderación de intereses que debe hacerse, tal y como viene reiterando la jurisprudencia, en consideración a las circunstancias del caso en particular (SSTJUE, ya citadas, ASNEF, apartado 47; y Breyer, apartado 62). En la medida en que los preceptos de ese Título IV, por tanto, se han amparado en la habilitación general contenida en el artículo 9.3 del Anteproyecto no pueden tampoco mantenerse (en los términos en que actualmente aparecen redactados).
Se analizará a continuación la regulación contenida en el Anteproyecto para cada uno de estos tratamientos concretos, formulando las observaciones que en cada caso procedan, sin perjuicio de la posibilidad de adaptar, en cada caso, la redacción alternativa, a modo de presunción iuris tantum, en la forma indicada al final de las observaciones al citado artículo 9.3 del Anteproyecto.
Artículo 20: Tratamiento de datos de contacto y de empresarios individuales
El artículo 20 del Anteproyecto regula el tratamiento de datos de contacto de las personas físicas que presten servicios en una persona jurídica (apartado 1) y de empresarios individuales (apartado 2), en ambos casos invocando como amparo normativo lo dispuesto en el artículo 6.1.f) del Reglamento.
En el primer caso, para entender que existe licitud al amparo de ese artículo, el precepto exige que el tratamiento se refiera únicamente a los datos necesarios para la localización profesional del interesado y que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios; en el segundo, que el tratamiento se refiera únicamente a los datos de los empresarios en dicha condición y no se traten para entablar una relación con los mismos como personas físicas. Cuando no se cumplan estas condiciones, por tanto, debería concluirse que el tratamiento no es lícito, lo que resulta contrario a la flexibilidad en la ponderación de intereses querida por el legislador comunitario, de acuerdo con lo anteriormente observado en relación con el artículo 9.3 del Anteproyecto.
Las disposiciones del apartado 1 de este artículo podrían, no obstante, tener cobertura en el artículo 88 del Reglamento, en la medida en que se refieran a trabajadores. El citado artículo de la norma europea habilita a los Estados miembros para establecer, a través de disposiciones legislativas o de convenios colectivos, «normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral».
El apartado 1 del artículo 20 puede, por consiguiente, mantenerse, reemplazando la referencia al artículo 6.1.f) del Reglamento por una remisión a lo establecido en su artículo 88, y velando por que el precepto se refiera exclusivamente a trabajadores.
El apartado 2 debe, por el contrario, suprimirse.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Todo lo anterior ha de entenderse sin perjuicio de la ya apuntada posibilidad de redactar estas previsiones en forma de presunción iuris tantum, tal y como se indicó en las observaciones al artículo 9.3 del Anteproyecto.
Artículo 21: Tratamiento de datos hechos manifiestamente públicos por el afectado
El artículo 21 se refiere al tratamiento de datos hechos manifiestamente públicos por el afectado, que considera lícito con carácter general, sin más limitaciones que el necesario respeto a los principios del artículo 5 del Reglamento, la información al afectado en los términos del artículo 14 de la misma norma y la garantía de sus derechos, en particular los previstos en los artículos 17 y 19.
El precepto no hace en este caso referencia expresa al artículo 6.1.f) del Reglamento ni al artículo 9.3 del Anteproyecto, y no puede con carácter general considerarse incluido en ninguno de los supuestos de licitud contemplados en el artículo 6.1 de la norma europea, por lo que extralimita los límites al desarrollo del Reglamento por los Estados miembros.
Hay que recordar que la justicia europea ya se pronunció en relación con la incompatibilidad con el Derecho de la Unión de la incorporación en el ordenamiento nacional de principios de legitimación del tratamiento no incluidos en la regulación comunitaria (entonces, la Directiva 95/46), precisamente con referencia al artículo 10.2.b) del Reglamento de la Ley Orgánica 15/1999, que, como el precepto aquí comentado, hacía referencia al supuesto de datos hechos manifiestamente públicos por el afectado (SSTJUE ASNEF y, en el mismo sentido, Breyer, ambas citadas).
Por una parte, no parece que éste sea un supuesto encajable en el artículo 6.1.f) del Reglamento («interés legítimo del responsable del tratamiento») y, aun si así fuera, su consagración por ley sobrepasaría los límites al desarrollo del Reglamento, en los términos ya expuestos en relación con el artículo 9.3 del Anteproyecto.
Por otra parte, este supuesto tampoco puede calificarse por ley como lícito al amparo de la circunstancia contenida en la letra a) del artículo 6.1 del Reglamento (consentimiento del afectado), para cuyo desarrollo tampoco se habilita a los Estados miembros, y en particular teniendo en cuenta que el Reglamento exige que ese consentimiento sea expreso.
Ciertamente, podría resultar lógico entender que quien manifiestamente publica sus propios datos personales debe asumir las consecuencias de su actuación, y a ello se añade que el artículo 9.2.e) del propio Reglamento permite, como excepción a la regla general prohibitiva, el tratamiento de los datos «sensibles» enumerados en el artículo 9.1 cuando el interesado los haya hecho manifiestamente públicos. Parece lógico concluir que, si el Reglamento permite el tratamiento en el caso de los datos sensibles hechos manifiestamente públicos, debería hacerlo también en relación con los que no tienen esta característica y son, por tanto, merecedores de un grado de protección inferior.
Ahora bien, hay que tener en cuenta que el considerando 51 del Reglamento establece expresamente, en relación con el tratamiento de estos datos sensibles, que «además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento». De lo anterior podría deducirse -aunque en este punto la interpretación del Reglamento tampoco es clara- que, sin perjuicio de la concurrencia de uno de los supuestos de excepción a la prohibición general de tratamiento del artículo 9.2, el tratamiento habrá de ser lícito al amparo de una de las circunstancias del artículo 6.1, lo que en ocasiones podrá dar lugar a exigencias redundantes, pero en casos como el contemplado en la letra e), podría interpretarse que el tratamiento de los datos sensibles hechos manifiestamente públicos por el interesado sólo será lícito si responde, por ejemplo, a una obligación legal, o si el afectado ha dado su consentimiento expreso. En otro caso, habría que entender que el Reglamento presenta una grave incoherencia interna, excepcionando precisamente para el tratamiento de datos sensibles la exigencia general de que el consentimiento del afectado, cuando sea base del tratamiento, sea expreso.
Llegados a este punto, ha de concluirse que, dada la existencia de un pronunciamiento judicial expreso en esta materia y la nítida previsión del Reglamento de que el consentimiento para el tratamiento de datos personales sea expreso, la previsión del artículo 21 del Anteproyecto resulta contraria a la norma europea y sobrepasa los límites conferidos a los Estados miembros para su desarrollo. Por las mismas razones, la reformulación de este precepto en forma de presunción iuris tantum no permitiría en este caso remediar su incompatibilidad con el Reglamento Europeo.
El artículo 21 debe, en consecuencia, eliminarse del texto del Anteproyecto.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Artículo 22: Sistemas de información crediticia
Disposición adicional octava: Incorporación de deudas a sistemas de información crediticia
El artículo 22 regula los llamados sistemas comunes de información crediticia, que llevan a cabo el tratamiento de datos personales relativos al incumplimiento (apartado 1) o al cumplimiento (apartado 2) de obligaciones dinerarias, financieras o de crédito.
Al igual que en los supuestos precedentes, en la medida en que la lista de circunstancias legitimadoras del tratamiento contenida en el artículo 6.1 del Reglamento Europeo debe considerarse exhaustiva, la licitud de este tipo de tratamientos debe encontrar encaje en alguno de esos supuestos, siendo el contemplado en su letra f) -intereses legítimos perseguidos por el responsable o por un tercero- el que de forma más evidente se impone. Como ya se expuso al analizar el artículo 9.3 del Anteproyecto, sin embargo, el Reglamento no habilita a los Estados miembros a desarrollar este supuesto, y la jurisprudencia viene señalando que una ponderación de intereses como la que impone este precepto debe realizarse en atención a las circunstancias particulares de cada caso concreto, sin que la normativa nacional pueda excluir la posibilidad de tratar determinadas categorías de datos personales estableciendo el resultado de la ponderación «con carácter definitivo (…) y sin permitir un resultado diferente» (SSTJUE ASNEF y Breyer, ya citadas).
Parece ser la voluntad del legislador comunitario, por tanto, que la determinación de las circunstancias en que un determinado sistema de información crediticia sea legítimo deba ser valorado caso a caso por el propio responsable del tratamiento y, en último término, por las autoridades de protección de datos y por los tribunales, lo que implica la desaparición de la vigente regulación sobre tales tratamientos (artículo 29 de la Ley Orgánica 15/1999) y la consiguiente supresión del artículo 22 del Anteproyecto y de la disposición adicional octava del mismo, vinculada al primero.
La única área de intervención del legislador nacional en estos casos sería el relativo a aquellos sistemas de información crediticia que respondan a un determinado interés público, al amparo de lo dispuesto en el artículo 6.2 y 3 del Reglamento.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Todo lo anterior ha de entenderse sin perjuicio de la ya apuntada posibilidad de redactar estas previsiones en forma de presunción iuris tantum, tal y como se indicó en las observaciones al artículo 9.3 del Anteproyecto.
Artículo 23: Tratamientos con fines de videovigilancia
El artículo 23 regula el tratamiento de imágenes a través de sistemas de cámaras o videocámaras, estableciendo condiciones específicas para su licitud.
El Tribunal de Justicia de la Unión Europea ha tenido ocasión de pronunciarse sobre estos sistemas de videovigilancia en su Sentencia de 11 de diciembre de 2014, Ryneš (C-212/13), dictada en interpretación de la Directiva 95/47/CE. Sumariamente, la mencionada Sentencia falló que los sistemas de videovigilancia instalados por una persona física en su vivienda familiar, pero cuya vigilancia cubre también el espacio público, no constituyen un tratamiento de datos efectuado «en el ejercicio de actividades personales o domésticas» a efectos del artículo 3.2 de la Directiva.
El apartado 6 del artículo 23 del Anteproyecto incorpora, a contrario, esta declaración jurisprudencial, estableciendo que, «al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio». Nada hay que objetar, por tanto, a esta previsión del Anteproyecto, aclaración del contenido del artículo 2.2 del Reglamento de acuerdo con la jurisprudencia.
La Sentencia aclara igualmente que la imagen de una persona grabada por una cámara constituye un dato personal, y la vigilancia por videocámara, un tratamiento automatizado, lo que hace que, en principio, esté sometida a la reglamentación sobre protección de datos (STJUE Ryneš, apartados 22 y 24). En el caso concreto sometido al Tribunal de Justicia, el tribunal remitente de la cuestión prejudicial afirmaba que las labores de vigilancia allí controvertidas tenían por finalidad «proteger los bienes, la salud y la vida» del responsable del tratamiento y de su familia; por esa razón, se concluyó que dicho tratamiento de datos podía considerarse amparado en el artículo 7.f) de la Directiva 96/46 (interés legítimo del responsable del tratamiento). Sin embargo, ello no excluye considerar que, aunque tengan carácter privado, este tipo de sistemas de videovigilancia y por consiguiente el tratamiento de datos que con ellos se lleva a cabo, tengan también una finalidad de interés público incardinable en el artículo 6.1.e) del Reglamento general, lo que habilita a las autoridades nacionales para dictar normas de desarrollo como las previstas en el artículo 23 del Anteproyecto. A juicio del Consejo de Estado, es ésta una interpretación coherente con el hecho de que, con arreglo a dicho artículo 23, los sistemas de videovigilancia allí regulados tienen por finalidad «preservar la seguridad de las personas y bienes, así como de sus instalaciones», un objetivo que sobrepasa los meros intereses legítimos de un particular.
Por lo demás, la regulación de la videovigilancia en el ámbito laboral que contempla el apartado 5 podría igualmente ampararse en la habilitación a los Estados miembros que efectúa el artículo 88 del Reglamento, y en todo caso nada habría que oponer a la referencia que efectúa el apartado 7 a la videovigilancia efectuada por las Fuerzas y Cuerpos de Seguridad y otros órganos competentes para la vigilancia y control en los centros penitenciarios, a los que el Reglamento y la ley orgánica, como declara dicho apartado, sólo se aplica con carácter supletorio.
Al amparo de lo dispuesto en los artículos 6.1.e), 6.2 y 6.3 del Reglamento, puede mantenerse, por tanto, la regulación anteproyectada.
Artículo 24: Sistemas de exclusión publicitaria
Artículo 25: Sistemas de información de denuncias internas en el sector privado
Idénticas consideraciones pueden realizarse en relación con la habilitación del legislador nacional para regular los sistemas de exclusión publicitaria -las llamadas «listas Robinson»- (artículo 24 del Anteproyecto), y los sistemas de información de denuncias internas en el sector privado (artículo 25 del Anteproyecto), en la medida en que tales sistemas pueden tener por finalidad, siempre que se verifiquen ciertas condiciones, el cumplimiento de una misión realizada en interés público.
En el caso concreto de los sistemas de denuncias internas, la Agencia Española de Protección de Datos ha recordado en su informe que, como manifestó la Fiscalía General del Estado en su Circular nº 1/2016, la existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos claves de los modelos de prevención de cuya adopción y cumplimiento depende una eventual exención de responsabilidad penal de las personas jurídicas, con arreglo a lo dispuesto en el artículo 31 bis del Código Penal (reforma operada por la Ley Orgánica 1/2015, de 30 de marzo), circunstancia que por sí sola permite acreditar la existencia de un interés público legitimador de estos tratamientos de datos.
La regulación contenida en este artículo 25 plantea, por lo demás, dos interrogantes.
El primero se refiere a la novedad consistente en la posibilidad de someter a tratamiento las denuncias de carácter anónimo, recomendada en la citada Circular de la Fiscalía General de Estado como instrumento indispensable para garantizar una mayor eficacia del sistema. La admisión de la denuncia anónima, sin embargo, puede fomentar un uso fraudulento del tratamiento, y presenta ciertas limitaciones prácticas a la hora de presentar testimonios ante la justicia penal; por estas y otras razones, ha sido desaconsejada, entre otros, por el Grupo de Trabajo del artículo 29. En línea con estas observaciones, considera el Consejo de Estado que sería más adecuado limitar la posibilidad de las denuncias anónimas a supuestos excepcionales (lo que no garantiza la mera utilización, en el artículo 25.1 del Anteproyecto, del adverbio «incluso»), dado que la regulación proyectada ya prevé la confidencialidad de los datos del denunciante (apartado 3).
El segundo interrogante se refiere a la previsión del apartado 2 según la cual el acceso a los datos contenidos en estos sistemas quedará «limitado exclusivamente al personal que lleve a cabo las funciones de control interno y de cumplimiento de la entidad y, sólo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, al personal con funciones de gestión y control de recursos humanos». Esta previsión, en parte condicionada por la admisión de la denuncia anónima que también se propone, ha sido cuestionada en el expediente, dada la frecuencia con que en la práctica las empresas externalizan el tratamiento de estos sistemas. Cabría, por tanto, considerar también la conveniencia de mantener esta limitación.
Artículo 26: Tratamientos relacionados con la realización de determinadas operaciones mercantiles
El artículo 26 del Anteproyecto se refiere a los tratamientos relacionados con la realización de determinadas operaciones mercantiles, declarando su licitud «siempre que fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios». A la vista de lo anterior, parece evidente que la regulación anteproyectada pretende ampararse en lo previsto en el artículo 9.3 del Anteproyecto y, en último término, en el artículo 6.1.f) del Reglamento, por lo que, en línea con las observaciones ya reiteradas, debe concluirse que el legislador nacional carece de habilitación suficiente para regular estos tratamientos. Debe, por tanto, eliminarse este artículo.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio. Todo lo anterior ha de entenderse sin perjuicio de la ya apuntada posibilidad de redactar estas previsiones en forma de presunción iuris tantum, tal y como se indicó en las observaciones al artículo 9.3 del Anteproyecto.
Artículo 27: Tratamiento de datos en el ámbito de la función estadística pública
Artículo 28: Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas
En fin, la regulación contenida en los artículos 27 y 28, relativos, respectivamente, a los tratamientos de datos llevados a cabo en el ámbito de la función estadística pública y al tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas, tiene suficiente amparo en los artículos 6.1.c), 6.1.e) y 89 del Reglamento.
Disposición transitoria cuarta: Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE
La disposición transitoria cuarta del Anteproyecto se refiere a la vigencia de las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE que hubiesen entrado en vigor con anterioridad al 28 de mayo de 2018, y en particular a los artículos 23 y 24 de la Ley Orgánica 15/1999, disponiendo que «seguirán vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas».
El referido artículo 13 de la Directiva 95/46/CE atribuía a los Estados miembros competencia para limitar el alcance de los principios de tratamiento de datos del artículo 6.1 de la misma, las reglas de publicidad de los tratamientos y los derechos de acceso y de información del interesado, cuando tal limitación constituya una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pública, la prevención, la investigación, la detección y la represión de infracciones penales, o un interés económico y financiero importante, entre otras causas.
Dictados al amparo de esta previsión, los artículos 23 y 24 de la Ley Orgánica 15/1999 establece una serie de excepciones a los derechos del interesado, por motivos de defensa, seguridad pública, persecución de infracciones penales o administrativas, protección de los derechos y libertades de terceros, etcétera. El Anteproyecto prevé dejar en vigor estas normas (frente a la derogación general de la Ley Orgánica 15/1999 que acomete en su disposición derogatoria), que -dice la Memoria-, «deberán ser, en su caso, revisadas en el futuro, a fin de incorporar las exigencias a las que se refiere el apartado 2 del artículo 21 del Reglamento general de protección de datos (sic.)».
Esta vigencia transitoria de dos preceptos de la anterior Ley Orgánica no resulta una solución satisfactoria desde el punto de vista de la seguridad jurídica. Las limitaciones a los derechos de los interesados se contemplan en el artículo 23 del Reglamento (no se entiende la referencia que la Memoria hace al artículo 21.2), el cual habilita a los Estados miembros la posibilidad de introducirlas, en determinados supuestos y con determinadas finalidades y condiciones, a través de medidas legislativas, por lo que, a juicio del Consejo de Estado, el Anteproyecto debe acometer este desarrollo normativo, al menos en sus líneas principales.
Octava. Título V. Responsable y encargado del tratamiento
Tanto la Exposición de Motivos como la Memoria del Análisis de Impacto Normativo recuerdan que la mayor novedad que presenta el Reglamento Europeo es la evolución de un modelo basado en el control del cumplimiento a otro que descansa sobre el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.
En el mismo sentido, la Agencia Española de Protección de Datos (AEPD) pone de manifiesto que el Reglamento Europeo supone una evolución de la regulación de esta materia hacia un nuevo paradigma, basado en lo que se denomina «enfoque de riesgo», es decir, en la necesaria evaluación por los propios responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental, para -a partir de esa valoración- adoptar las medidas que resulten necesarias a fin de mitigarlos en cuanto sea posible.
Todo ello determina la situación nuclear que, en la nueva regulación -y en su aplicación práctica- tendrán las medidas de responsabilidad activa, que gravitan sobre figuras como el responsable y el encargado del tratamiento, de las que se ocupa el Título V del Anteproyecto. Título que se estructura en cuatro capítulos (disposiciones generales y medidas de responsabilidad activa, encargado del tratamiento, delegado de protección de datos, y códigos de conducta y certificación), a los que se refieren las observaciones que siguen.
Capítulo I: Disposiciones generales. Medidas de responsabilidad activa
Artículo 29. Obligaciones generales del responsable y encargado del tratamiento
El proyectado artículo 29 se refiere a las obligaciones generales del responsable y del encargado del tratamiento; pero lo hace en unos términos que merecen una revisión. Dispone el citado artículo 29 del Anteproyecto:
«Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3ª del Capítulo IV del citado reglamento».
A la vista de esta previsión, parece que el único elemento que es necesario ponderar para determinar las medidas técnicas y organizativas apropiadas que deben aplicarse es el riesgo («los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos»), lo que parece responder al «enfoque de riesgo» que ha quedado aludido y que ciertamente enfatiza. Sin embargo, el Reglamento Europeo deja claro que han de ponderarse «la naturaleza, el ámbito, el contexto y los fines del tratamiento», además de «los riesgos de diversa gravedad para los derechos y libertades de las personas físicas» (artículo 24.1 del Reglamento Europeo), como también el estado de la técnica y el coste de la aplicación (artículo 25.1 del Reglamento Europeo).
Se trata de una previsión -la del proyectado artículo 29.1- que induce a error y que, a juicio del Consejo de Estado, debe corregirse. No se propone directamente su supresión, dado que sí añade algo a lo previsto en el Reglamento Europeo, dada la referencia expresa que se hace a «la presente ley orgánica, la legislación sectorial y sus normas de desarrollo» (aunque se sugiere un cambio de orden, en la medida en que las normas de desarrollo quieren referirse a la ley orgánica y no a la legislación sectorial). El último inciso -el referido a la evaluación de impacto- no parece añadir nada a lo dispuesto en el Reglamento Europeo (que la regula en su artículo 35), lo que permite suprimirlo sin detrimento del régimen aplicable (aun reconociendo que ciertamente sirve para subrayar el papel central que la nueva regulación atribuye a esa evaluación de impacto).
En fin, el apartado 2 se refiere a una serie de supuestos en los que podrían producirse mayores riesgos, que los responsables y encargados del tratamiento deberán tener en cuenta. Se trata de un desarrollo del Reglamento Europeo, relativo a los riesgos, que entronca con lo que se afirma en su considerando 75, y que resulta conforme con los fines y proporcionado a los objetivos del Reglamento Europeo, a cuya eficacia coadyuva. A juicio del Consejo de Estado, no introduce nuevas obligaciones respecto de lo previsto en el Reglamento Europeo (que ya exige tener en cuenta los riesgos de diversa probabilidad y gravedad), en la medida en que no se introducen obligaciones específicas adicionales en relación con cada uno de los riesgos relacionados en el artículo 29.2 proyectado.
Artículo 30. Supuestos de corresponsabilidad en el tratamiento
El artículo 30 se refiere a los supuestos de corresponsabilidad en el tratamiento. Señala la AEPD que este precepto trata de clarificar dos cuestiones derivadas del artículo 26 del Reglamento Europeo. La primera de ellas se refiere a que la norma europea impone que la relación entre los distintos intervinientes se plasme en un documento escrito que determine las responsabilidades de cada uno de ellos; el Anteproyecto aclara que la existencia de ese documento escrito no puede servir en ningún caso para desvirtuar las verdaderas relaciones que existan entre los distintos implicados y el régimen de responsabilidad que se les haya de aplicar.
El Consejo de Estado considera adecuada la aclaración introducida en el artículo 30.1 del Anteproyecto («La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento»). Más aún si se tiene en cuenta que lo que pretende el Reglamento Europeo no es que el documento en cuestión regule el régimen de responsabilidad y su distribución entre los intervinientes, sino -más sencillamente- que se distribuyan claramente y de forma transparente las obligaciones que corresponden a cada uno de ellos. Así resulta de las distintas versiones del Reglamento Europeo publicadas en otros idiomas. En efecto, la versión española genera la duda sobre si ese documento trata de fijar el régimen de responsabilidad de las partes [«determinarán (…) sus responsabilidades» – posiblemente traducción de la inglesa, «responsibilities»], pero es claro que se refiere a las obligaciones o funciones que se atribuyen respectivamente [como reflejan la versión francesa («leurs obligations respectives») o la alemana (que utiliza el sustantivo «Verpflichtung»)].
En cuanto al apartado 2, habrá de estarse, lógicamente, al criterio que se adopte en relación con el artículo 9.3 del Anteproyecto.
Artículo 31. Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea
El artículo 31 establece una regulación relativa a los representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea, que incluye la posibilidad de que la AEPD (o, en su caso, la correspondiente autoridad autonómica de protección de datos), le pueda imponer -al representante- las medidas establecidas en el Reglamento Europeo; previsión esta que es, a juicio del Consejo de Estado, relevante para la eficacia de la norma europea y conforme con sus objetivos, y que entronca directamente con lo que señala su considerando 80.
Ciertamente, podría pensarse que el Reglamento Europeo regula íntegramente la cuestión de la responsabilidad de los representantes – en su artículo 27- y que no deja margen para una regulación de los Estados miembros. Sin embargo, la cuestión no debe considerarse de forma aislada (artículo 27 del Reglamento Europeo vs. artículo 31 del Anteproyecto), sino que ha de analizarse desde una visión global de ambas normas. Y, en este sentido, entiende el Consejo de Estado que no puede perderse de vista el mandato que el artículo 84 del Reglamento Europeo hace a los Estados miembros al disponer que «adoptarán todas las medidas necesarias para garantizar su observancia». A juicio del Consejo de Estado lo previsto en el artículo 31 del Anteproyecto puede vincularse a esa exigencia del artículo 84 del Reglamento Europeo, directamente dirigida a los Estados miembros y que resulta adecuada en relación con los representantes a que se refiere el artículo 30 proyectado.
Artículo 32. Registro de las actividades de tratamiento
El artículo 32 del Anteproyecto regula las actividades de tratamiento, en línea con lo previsto en el artículo 30 del Reglamento Europeo. En relación con el apartado 1 (cuyo primer párrafo no parece necesario), suscita dudas la referencia que el segundo párrafo hace a las finalidades (el 30.1 del Reglamento Europeo se refiere a los fines del tratamiento; no así el 30.2), lo que aconseja su reconsideración. En cuanto al párrafo tercero del proyecto 32.1, se recoge una obligación (de comunicación al delegado de protección de datos) que resulta plenamente coherente con el 38.1 del Reglamento Europeo y con las funciones que se le atribuyen, a cuya efectividad coadyuva el párrafo de referencia.
Artículo 33. Bloqueo de los datos
El artículo 33 regula el bloqueo de datos -concepto que no utiliza el Reglamento Europeo- con un apartado 1 que se pronuncia en los siguientes términos: «El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión».
Según expresa la MAIN, con ello se trata de garantizar la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos; sin embargo, la oscuridad semántica del precepto transcrito aconseja reconsiderar esa redacción, a partir de los conceptos de «bloqueo» -que no utiliza el Reglamento Europeo- y «supresión» -que sí utiliza el Reglamento Europeo-; y quizás también el de «destrucción» -que ocasionalmente sí utiliza el Reglamento Europeo: a. 4.2-.
Ha de llamarse la atención, en relación con esta cuestión, sobre el artículo 17.3.e del Reglamento Europeo, de acuerdo con el cual no se aplicarán los apartados 1 y 2 del mismo artículo 17 del Reglamento Europeo (relativos al derecho de supresión) cuando el tratamiento sea necesario «para la formulación, el ejercicio o la defensa de reclamaciones». La previsión ha de leerse también conjuntamente con el derecho a la limitación del tratamiento del artículo 18 del Reglamento Europeo, lo que puede generar la duda de si se está regulando un derecho adicional, cuya regulación íntegra ha sido asumida por el Reglamento Europeo (lo que entrañaría, por tanto, una extralimitación del Anteproyecto y la consiguiente necesidad de excluir esta previsión del Anteproyecto). Percepción que venía favorecida, en una versión anterior del texto, por su inserción en el Título correspondiente a los derechos de las personas (antiguo artículo 29).
Sin embargo, a juicio del Consejo de Estado, la cuestión ha de abordarse desde una perspectiva diferente, a la que apunta su nueva ubicación en el texto proyectado. El bloqueo de datos no se configura -y no debe configurarse- como un derecho de los interesados, sino como una obligación del responsable. Su razón de ser radica, como se ha apuntado, en la garantía de una adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos. Así, la efectividad de las previsiones del Reglamento Europeo está vinculada a la exigencia de que se impongan -en caso de incumplimiento- sanciones efectivas, proporcionadas y disuasorias; y el Reglamento Europeo sí incluye una habilitación específica a los Estados miembros, o incluso un mandato, al disponer que «adoptarán todas las medidas necesarias para garantizar su observancia» (artículo 84 del Reglamento Europeo). En la misma línea, la previsión de este artículo 33 ha de ponerse en relación con el derecho a la tutela judicial «efectiva» a que se refieren los artículos 78 y 79 del Reglamento Europeo; como también con la efectividad del derecho a indemnización y responsabilidad que contempla su artículo 82.
En suma, difícilmente puede garantizarse el cumplimiento efectivo de las normas del Reglamento Europeo (y los derechos a la tutela judicial efectiva y a indemnización) si no se impone, en los casos necesarios, el bloqueo de los datos y su puesta a disposición de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes «para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas».
El apartado 4 de este mismo artículo 33 dispone que la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo. Debe notarse que el fundamento de esta previsión radica en mantener abierta la posible exigencia de responsabilidades derivadas del tratamiento, de forma que la aplicación de las excepciones previstas en este artículo 33.4 determinará que los datos bloqueados dejarán de estar a disposición de los jueces y tribunales y del Ministerio Fiscal. Por ello, entiende el Consejo de Estado que esta potestad atribuida a la AEPD y también a las autoridades autonómicas de protección de datos debe ser reconsiderada y, en caso de que se decidiera mantenerla, ha de quedar perfectamente delimitada (incluso cabría sujetarla a una eventual decisión judicial). Resulta necesaria, en suma, una valoración de los casos y circunstancias en que puede ser necesaria, aconsejable o aceptable la aplicación de excepciones, con reconsideración del contenido del proyectado artículo 33.4.
Capítulo II. Encargado del tratamiento
Artículo 34. Encargado del tratamiento
El artículo 34 regula la figura del encargado del tratamiento, sobre la base de lo previsto en el artículo 28 del Reglamento Europeo. Suscita algunas dudas la previsión de su apartado 2, de acuerdo con el cual, tendrá la consideración de responsable del tratamiento y no la de encargado «quien en su propio nombre establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3» del Reglamento Europeo.
El informe de la AEPD justifica esta previsión indicando que la existencia de un contrato formal no implica necesariamente la presencia de un encargado del tratamiento si éste no desarrolla actividades propias de esta figura: «Así -dice-, no cabrá apreciar la existencia de un encargado cuando la actividad que desarrolla no supone únicamente la prestación de un servicio al responsable ni, en particular, cuando establezca en su propio nombre relaciones con los afectados. Con ello se pretenden evitar situaciones en que tras un entramado contractual puedan esconderse supuestos de tratamiento ilícito en que no quepa identificar al verdadero autor de la infracción».
La justificación aportada es, desde luego, suficiente para no proponer la supresión de la previsión de referencia. Ahora bien, quiere llamarse la atención sobre la posibilidad de contratar en nombre propio pero por cuenta ajena, lo que podría tener lugar en el desarrollo normal de las funciones de un encargado del tratamiento; y parece que ello no debería llevar -al menos, por sí solo- a atribuir la condición de responsable (privándole de la de encargado) a quien contratara en su propio nombre pero por cuenta del responsable. Aunque la cuestión puede suscitar dudas, en función de la diversidad de situaciones imaginables, Consejo de Estado quiere llamar la atención sobre ello para que se reconsidere la redacción proyectada.
En todo caso, no parece que la previsión de referencia pueda considerarse una norma interpretativa de lo dispuesto en el Reglamento Europeo, sino más bien una medida orientada a garantizar el cumplimiento del Reglamento Europeo (en línea con lo impuesto por el artículo 84 a los Estados miembros), en relación con casos en los que se pretenda utilizar cargos nominales para eludir su aplicación; y, en todo caso, es claro que coadyuva al efecto útil de la regulación europea.
Capítulo III. Delegado de protección de datos
Artículo 35. Designación de un delegado de protección de datos
El artículo 35 abre el capítulo III, dedicado al delegado de protección de datos. Se trata de una figura regulada en los artículos 37 y siguientes del Reglamento Europeo, en unos términos que, en ocasiones, requieren o admiten un complemento o desarrollo normativo por parte de los Estados miembros.
El artículo 37.1 del Reglamento Europeo dispone que el responsable y el encargado del tratamiento «designarán un delegado de protección de datos siempre que» se dé uno de los supuestos que se contemplan a continuación (letras a, b y c). El Anteproyecto, después de referirse a ese artículo 37.1, añade que «se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades», que se relacionan en quince apartados (letras a a ñ). Así las cosas, parece que la norma proyectada esté llevando a cabo una interpretación del citado artículo 37.1 de la norma europea que constituiría en realidad una extensión siempre que una entidad del 35.1 del Anteproyecto no encajara en alguno de los tres supuestos recogidos en el 37.1 del Reglamento Europeo (lo que no es difícilmente imaginable); nótese que los términos del inciso inicial son terminantes y parecen establecer una especie de presunción iuris et de iure: las categorías de entidades relacionadas se consideran incluidas «en todo caso» en los supuestos del 37.1 del Reglamento Europeo.
A juicio del Consejo de Estado no resulta necesario -ni aceptable- forzar en esos términos la letra del artículo 37.1 del Reglamento Europeo: el mismo efecto se puede conseguir por la vía del 37.4 del Reglamento Europeo, de acuerdo con el cual, en casos distintos de los contemplados en el apartado 1, el responsable (o el encargado, asociaciones u organismos allí mencionados) podrán designar un delegado de protección de datos «o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros». De este modo, se incluye una habilitación específica para que el Derecho interno amplíe los casos en que es necesario designar un delegado de protección de datos, sin necesidad de forzar la letra del artículo 37.1 del Reglamento Europeo.
Ello impone una modificación del artículo 35.1 proyectado, que podría quedar con el siguiente o parecido tenor: «Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades…» (o también: «Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos, además de en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679, cuando se trate de las siguientes entidades…»).
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Por lo demás, y a la vista del artículo 37.4 del Reglamento Europeo (ya transcrito), cabría cuestionar la necesidad del artículo 35.2 proyectado («Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en este capítulo»). No obstante, puede ser aclaratorio a la vista de la larga relación recogida en el apartado 1 y, sobre todo, para evitar que se designen voluntariamente delegados de protección puramente nominales, en el sentido de que generen una mera apariencia que no responda al régimen que les es de aplicación; ahora bien, para ello habría de recogerse la mención correspondiente del Reglamento Europeo y no sólo de «este capítulo» (de la Ley). Por tanto, se debe completar el texto proyectado con la mención expresa del Reglamento Europeo.
Artículo 36. Cualificación del delegado de protección de datos
El artículo 36 del Anteproyecto constituye uno de esos casos en que, prima facie, la norma proyectada parece limitarse a recordar lo previsto en el Reglamento Europeo (exigibilidad de los requisitos del 37.5 del Reglamento Europeo y posibilidad de demostrarlo por los «medios correspondientes»). Sin embargo, es cierto que introduce alguna precisión, que es lo que la estructura de la norma debería reflejar (p.ej., con un tenor como el siguiente: «El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación»).
La previsión relativa a las vías de acreditación de los requisitos de referencia, aun no contemplada expresamente en el Reglamento Europeo, constituye un complemento pertinente, en la medida en que se trata de una referencia orientada a la mayor efectividad del Reglamento Europeo (i.e., a la demostración del cumplimiento de lo previsto en la norma europea), que no establece requisitos ni condiciones adicionales a las allí previstas. En suma, a juicio del Consejo de Estado se trata de una medida dirigida a facilitar la aplicación del Reglamento Europeo, que en nada obstaculiza, condiciona ni perturba su aplicación directa y uniforme en toda la Unión Europea.
Artículo 37. Posición del delegado de protección de datos
El artículo 37 del Anteproyecto complementa la regulación que el artículo 38 del Reglamento Europeo hace de la posición del delegado de protección de datos (ambos bajo el mismo título). Constituye así un ejemplo de artículo que puede suscitar dudas tanto por lo que precisa, como por lo que reitera y por lo que añade.
En el primer sentido, el inciso final introduce una precisión – como salvedad- en relación con lo previsto en el 38.3 del Reglamento Europeo: añade a la regla de que el delegado de protección de datos no puede ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones la «salvedad» del caso en que incurriera en dolo o negligencia grave en su ejercicio. Salvedad que, a juicio del Consejo de Estado, es más aparente que real, puesto que más que referirse a dolo o negligencia grave en el ejercicio de sus funciones, parece referirse a un incumplimiento doloso o con negligencia grave de tales funciones. Sin perjuicio de que pueda buscarse una mejor redacción para tal fin, la previsión parece, por ello, conforme con el Reglamento Europeo, además de razonable y proporcionada.
Mayores dudas suscita la necesidad de introducir las precisiones del apartado 3 (incluso del primer inciso del apartado 4), que no parecen añadir nada a lo dispuesto en el artículo 38.2 del Reglamento Europeo, por lo que se propone su supresión.
También el segundo inciso del apartado 4 introduce una previsión adicional, de acuerdo con la cual el responsable o el encargado no pueden oponer al delegado de protección la existencia de cualquier deber de confidencialidad o secreto. Ello no sólo es coherente con el deber de secreto que el artículo 38.5 del Reglamento Europeo impone al delegado de protección, sino que es presupuesto de la eficacia de las previsiones del Reglamento Europeo en relación con esta figura.
Por último, el apartado 5 recoge una función del delegado de protección de datos que podría ser objetada desde el Derecho de la Unión Europea. Ciertamente, puede defenderse su admisibilidad, a partir del inciso inicial del artículo 39.1 del Reglamento Europeo, que dispone que el delegado de protección «tendrá como mínimo» las funciones que a continuación indica (si bien es dudoso que se trate de una habilitación implícita, que permita que dichas funciones mínimas puedan ampliarse por Ley); se trata, por lo demás, de una función coherente y conforme con los objetivos del Reglamento Europeo -y con la figura del delegado de protección de datos-, cuya eficacia no sólo no obstaculiza sino que potencia.
- Hoy, Aniversario del Bombardeo de Guernica, en día de Mercado
- Hoy, Aniversario de la Primera Ejecución por Guillotina
- Hoy, Aniversario de la Guerra entre Turquía y Rusia de 1877
- Hoy, Aniversario de las Leyes Fundamentales Rusas
- Hoy es Día de la Tierra y Aniversario del Acuerdo de París
- Hoy Aniversario de la Revolución Texana
- Las Dudas sobre la Autoría de Shakespeare ya existían en Vida de Éste
Sin embargo, puede oponerse a ello la ruptura de la uniformidad -en el sentido más estricto- en relación con las funciones del delegado de protección de datos; e incluso, en relación con la función a que se refiere el inciso final del artículo 37.5 (la proposición de las medidas necesarias para evitar la persistencia en esa conducta), puede cuestionarse si el delegado de protección de datos tendrá siempre la capacidad para desempeñarla (lo que dependerá del alcance con el que se interprete dicho inciso); nótese, en todo caso, que el artículo 37.5 del Reglamento Europeo, relativo a la designación del delegado de protección de datos, exige que la misma se haga atendiendo «a su capacidad para desempeñar las funciones indicadas en el artículo 39», sin considerar, por tanto, otras funciones que pudiera asignarle la legislación interna.
Por todo ello, entiende el Consejo de Estado que debe suprimirse el inciso final del artículo 37.5 (en cuanto a la función de proposición de medidas). También se propone una reconsideración de su inciso inicial (referido a la comunicación de las vulneraciones relevantes), dado que si bien puede buscar amparo en el artículo 84 del Reglamento Europeo (como medida necesaria para garantizar la observancia del Reglamento Europeo), introduce una función que no está expresamente recogida en su artículo 39. En suma, si bien es cierto que puede potenciar la efectividad de las previsiones del Reglamento Europeo, debe valorarse el hecho de que los servicios técnicos de la Comisión se han manifestado a favor de su supresión.
Artículo 38. Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos
En relación con el artículo 38, se sugiere aclarar si la posibilidad que abre su apartado 1 («será posible») se impone -como exigencia- en todo caso (i.e., para todos los delegados de protección de datos) o es una posibilidad que pueden acoger los responsables o encargados al designar o contratar a un delegado de protección. Si se trata de lo primero (como parece desprenderse de lo previsto en el apartado 2) se sugiere referir claramente la posibilidad al afectado y desvincularla de la designación (p.ej., con supresión de la expresión «será posible» y adaptación del último inciso: «…el afectado podrá dirigirse al delegado…).
Por lo demás, entiende el Consejo de Estado que la previsión del proyectado artículo 38.2 es conforme con el Reglamento Europeo y, en particular, con las previsiones de sus artículos 57.f y 77 que, evidentemente, requieren un desarrollo por los Estados miembros, para articular la tramitación de las reclamaciones (que, por tanto, pueden incorporar un trámite que permita valorar la remisión de la reclamación al delegado de protección de datos, a fin de que se pronuncie sobre ella); para configurarlo más claramente como un trámite del procedimiento y no como una especie de «condición previa» (como parecen percibirlo los servicios técnicos de la Comisión) se sugiere especificar que la respuesta debe darse directamente a la autoridad de control.
Capítulo IV. Códigos de conducta y certificación
Artículo 39. Códigos de conducta
El capítulo IV del título V regula los Códigos de conducta y la certificación previstos en los artículos 40 a 43 del Reglamento Europeo. En líneas generales, la regulación proyectada es coherente con lo dispuesto en la norma europea, pero hay algunos elementos que deberían buscar un mejor encaje.
Conviene subrayar que, a juicio del Consejo de Estado, la Ley proyectada sí puede establecer la existencia de otras entidades y organismos que promuevan la elaboración de códigos de conducta más allá de lo previsto en el Reglamento Europeo. Así se desprende del inciso inicial del artículo 40.1 del Reglamento Europeo, de acuerdo con el cual los Estados miembros promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del propio Reglamento Europeo. Una forma de promoverlos es, precisamente, habilitar a determinadas entidades para que lo hagan.
Sentado lo anterior, se advierte que el artículo 39 del Anteproyecto se refiere a los códigos de conducta, pero tiene una estructura que, a juicio del Consejo de Estado, conduce a apartarse del esquema previsto en el Reglamento Europeo. Así, el apartado 2 y el apartado 3 establecen a quién corresponde promover los códigos, en unos términos que se consideran correctos; pero al llevar al apartado 3 la posibilidad de su promoción por los organismos o entidades de supervisión a que se refiere el artículo 41 del Reglamento Europeo, la regulación de las posibles actuaciones o funciones de los citados organismos o entidades de supervisión queda limitada a los códigos que hayan sido promovidos por los propios organismos o entidades de supervisión.
A juicio del Consejo de Estado la supervisión de los códigos de conducta a que se refiere el artículo 41 del Reglamento Europeo por parte de los organismos o entidades de supervisión allí contemplados ha de preverse en relación con todos los códigos de conducta aprobados de conformidad con lo dispuesto en artículo 40 del Reglamento Europeo.
Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.
Para ello, bastaría llevar el primer párrafo del apartado 3 (del artículo 39 proyectado) al apartado 2, y dejar en el apartado 3 la regulación de los organismos o entidades de supervisión y sus actuaciones que ahora se recoge en sus párrafos segundo y tercero (pero modificando el inciso inicial para que las funciones de los repetidos organismos y entidades no queden limitadas a los códigos de conducta aprobados por ellos mismos). Para mayor coherencia, el párrafo segundo del proyectado 39.4 también podría llevarse al apartado 3, una vez configurado en los términos aquí propuestos; ello supondría también una mejor ilación entre el apartado 4 (limitado ya a su primer párrafo) y el apartado 5.
En el citado apartado 5 del artículo 39 se contempla -con buen criterio- la suspensión del procedimiento durante el tiempo que el Comité Europeo tarde en emitir el dictamen a que se refiere el artículo 64.1.b del Reglamento Europeo; pero también debería preverse la suspensión para el caso de que se plantee un conflicto de acuerdo con lo previsto en el artículo 65 del Reglamento Europeo. En efecto, en caso de que la autoridad de control no esté de acuerdo con el dictamen del Comité, el artículo 64.8 del Reglamento Europeo remite la resolución del conflicto al artículo 65, cuyo apartado 4 dispone que las autoridades de control no adoptarán decisión alguna sobre el asunto durante los plazos allí previstos para la resolución del conflicto. Ello exige, a juicio del Consejo de Estado, que se prevea una suspensión del procedimiento en relación con esta eventualidad.
Por último, el apartado 6 del mismo artículo 39 proyectado dispone que la AEPD y las autoridades autonómicas de protección de datos mantendrán un registro de los códigos de conducta aprobados por las mismas y los aprobados conforme al artículo 63 del Reglamento Europeo. A juicio del Consejo de Estado es necesario precisar que se tratará de un registro común de los códigos aprobados por la AEPD y las autoridades administrativas citadas. Junto a ello, y dado que se prevé también la incorporación de los códigos aprobados conforme al artículo 63 del Reglamento Europeo, es necesario establecer un mecanismo de coordinación eficaz con el registro del Comité a que se refiere el artículo 40.11 del Reglamento Europeo, lo que ciertamente podría quedar encomendado ya a la regulación reglamentaria prevista en el artículo 39.7 proyectado. Téngase en cuenta, en relación con ambas cuestiones, que los códigos de conducta pueden ser sucesivamente modificados o ampliados (como el artículo 40 del Reglamento Europeo reitera), lo que podría originar serias disfunciones en caso de pluralidad de registros y si no se atiende a un principio de unidad registral.
Artículo 40. Esquemas de certificación
Cierra este Título V el artículo 40 que, bajo el epígrafe «Esquemas de certificación», regula en realidad la acreditación de los organismos de certificación a que se refiere el artículo 43.1 del Reglamento Europeo (aunque los denomina instituciones de certificación), utilizando una de las posibilidades contempladas en la norma europea. Se sugiere, a la vista de su contenido, una reconsideración del título que encabeza el artículo.
Novena. Título VI. Transferencias internacionales de datos
El Título VI regula las transferencias internacionales de datos. En relación con su regulación, señala la AEPD en su informe que «no se introduce ninguna novedad frente al régimen del Reglamento general, sino que se estructura el mismo para una mejor comprensión de sus normas desde la perspectiva del derecho interno». Es cierto que la sistematización recogida en el Anteproyecto es más clara y facilita la comprensión de la regulación de referencia; pero también lo es que, desde la perspectiva de la aplicabilidad directa del Reglamento Europeo, es cuestionable que el legislador interno pueda reestructurar la regulación establecida en la norma europea. No obstante, ha de advertirse que sí se introducen algunos complementos normativos que competen al legislador interno (p.ej., la duración máxima de los procedimientos o su suspensión).
A ello cabe añadir que la regulación proyectada suscita también relevantes dudas, a las que se hace referencia en las observaciones que siguen. Todo ello hace necesaria una revisión en profundidad de la regulación proyectada en el Título VI.
Artículo 41. Régimen de las transferencias internacionales de datos
El segundo párrafo del artículo 41 proyectado dispone: «En todo caso, se aplicarán a los tratamientos que deriven de la propia transferencia las restantes disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos».
Según la literalidad de este párrafo, a los tratamientos ulteriores (derivados de la transferencia internacional) se les habría de aplicar íntegramente tanto el Reglamento Europeo como la LOPD, las normas de desarrollo aprobadas por el Gobierno y las circulares de la AEPD; aplicación íntegra que deriva de esa literalidad (aunque, ciertamente, debería corregirse la referencia a «las restantes»), puesto que la expresión «en particular» subraya la importancia de las que regulan los principios de protección de datos, pero no ciñe a estas últimas aquella aplicación. Sin perjuicio de lo previsto en el artículo 44 del Reglamento Europeo como principio general de las transferencias (orientado a «asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado»), parece claro que no es la pretensión del prelegislador -ni puede serlo- que todas las normas indicadas (Reglamento Europeo, LOPD, normas de desarrollo y circulares de la AEPD) se apliquen a los tratamientos ulteriores a la transferencia. Ello impone una modificación de la regulación proyectada.
Por otra parte, debe notarse que, desde la legislación española, una transferencia internacional de datos incluye los movimientos transfronterizos entre distintos Estados miembros de la Unión Europea (en cuyo caso es claro que a los tratamientos ulteriores se les aplicarían, además del Reglamento Europeo, las normas internas de ese otro Estado miembro – y no las normas españolas-).
Por todo ello, se considera necesaria una revisión del proyectado artículo 41.
Artículo 42. Supuestos de aprobación por la Agencia Estatal de Protección de Datos
El artículo 42 tiene dos apartados. El primero de ellos dispone que la AEPD «podrá aprobar cláusulas contractuales tipo para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del Comité Europeo de Protección de Datos» previsto en el artículo 64 del Reglamento Europeo.
El artículo 64 del Reglamento Europeo prevé el dictamen del Comité en relación con decisiones de la autoridad de control (como es la AEPD) cuando tenga por objeto determinar las cláusulas tipo de protección de datos contempladas en el artículo 46.2.d del Reglamento Europeo (aparte de otros casos ajenos a las transferencias internacionales de datos), o bien cuando tenga por objeto autorizar las cláusulas contractuales a que se refiere el artículo 46.3.a del mismo Reglamento Europeo.
Parece que el artículo 42.1 ha de entenderse referido a las cláusulas contractuales tipo previstas en el artículo 46.2.d del Reglamento Europeo (puesto que las cláusulas contractuales a que se refiere el 46.3.a serían las contempladas en el 43.1.a del Anteproyecto: supuestos sometidos a autorización previa). Así las cosas, ha de advertirse que estas cláusulas tipo son «adoptadas» por una autoridad de control (en este caso, la AEPD), pero han de ser aprobadas por la Comisión, tal y como prevé el propio artículo 43.2.d del Reglamento Europeo. En caso contrario, la sola adopción de las cláusulas tipo por la AEPD no constituiría una «garantía adecuada» a efectos del 46.2 del Reglamento Europeo (esto es, a efectos de poder efectuar una transferencia sin necesidad de autorización expresa de la autoridad de control). En relación con ello, la «aprobación» a que se refiere el artículo 42 del Anteproyecto (tanto en su epígrafe como en su apartado 1) debe sustituirse por una «adopción». En caso contrario, se estaría omitiendo la exigencia de aprobación por la Comisión que impone el artículo 46.2.d del Reglamento Europeo (con arreglo al procedimiento de examen a que se refiere su artículo 93.2).
En el apartado 2 del mismo artículo 42 se sugiere corregir la locución preposicional (sustituyendo «de acuerdo a» por «de acuerdo con»), de conformidad con las orientaciones de la RAE y para evitar el anglicismo.
Por lo demás, se sugiere hacer explícita la relación de este artículo 42 del Anteproyecto con el artículo 46 del Reglamento Europeo, a efectos de la consideración de lo previsto en el primero como «garantías adecuadas» de las contempladas en el segundo.
Artículo 43. Supuestos sometidos a autorización previa de las autoridades de protección de datos.
El artículo 43 se refiere a los supuestos que requieren autorización previa de las autoridades de protección de datos. Sin embargo, resulta necesario corregir su redacción en distintos aspectos.
De un lado, se dice que las transferencias «habrán de ser autorizadas (…) en los siguientes supuestos», lo que supondría -en su literalidad- la exigibilidad de la autorización en los supuestos contemplados en los apartados a y b siguientes; por ello, se sugiere que se utilice una formulación distinta, como «requerirán una previa autorización (…), que podrá otorgarse en los siguientes supuestos».
Por otra parte, debería reformularse el apartado 1.a, referido al supuesto de que la transferencia «pretenda fundamentarse en la aportación de cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679». Lo que habilita la posibilidad de que la transferencia sea autorizada es que se funde en cláusulas contractuales que aporten «garantías adecuadas» en el sentido del artículo 46.1 del Reglamento Europeo y no que se trate de cláusulas contractuales que no se correspondan con las cláusulas tipo previstas en el artículo 46.2 (de hecho, el párrafo introductorio ya precisa que la regulación del artículo 43.1 del Anteproyecto se refiere a casos que no se amparen en alguna de las garantías previstas en el citado artículo 46.2 del Reglamento Europeo).
En fin, en el apartado b del mismo artículo 43.1 ha de quedar claro que la exigencia de «que incluyan derechos efectivos y exigibles para los afectados» no se refiere solo a los memorandos de entendimiento, sino – con carácter general- a todos acuerdos internacionales (ver su concepto, así como tratado internacional, acuerdo internacional administrativo, acuerdo internacional medioambiental, acuerdo internacional no normativo, y acuerdo internacional sobre el transporte de mercancías perecederas o acuerdo ATP) no normativos previamente mencionados (incluidos aquellos memorandos).
En lo que se refiere al artículo 43.2, se advierte que, a diferencia de lo previsto en el proyectado artículo 42.2, aquí no se establece una duración máxima del procedimiento. Por otra parte, y en relación con el mismo artículo 43.2 del Anteproyecto, es correcto que se prevea la suspensión del procedimiento hasta la notificación del dictamen del Comité Europeo (previsto en el artículo 64 del Reglamento Europeo); pero también debería preverse la suspensión para el caso de que se plantee un conflicto de acuerdo con lo previsto en el artículo 65 del Reglamento Europeo: en caso de que la autoridad de control no esté de acuerdo con el dictamen del Comité, el artículo 64.8 del Reglamento Europeo remite la resolución del conflicto al artículo 65, cuyo apartado 4 dispone que las autoridades de control no adoptarán decisión alguna sobre el asunto durante los plazos allí previstos para la resolución del conflicto.
Artículo 44. Supuestos sometidos a información previa a la autoridad de protección de datos competente
En relación con el artículo 44, se ha planteado la cuestión de si la norma interna puede exigir que la información de referencia sea previa a la transferencia internacional; en este sentido, apuntan los servicios técnicos de la Comisión que ni el artículo 49 ni el considerando 113 del Reglamento Europeo permiten que se imponga tal condición.
En relación con esta cuestión, señala la AEPD que «resulta cuestionable que la obligación de informar acerca de una transferencia de las establecidas en el último párrafo del artículo 49.1 del Reglamento Europeo no deba ser, como afirman los servicios de la Comisión, previa a la realización material de la propia transferencia, aun cuando, conforme a dicho precepto, no proceda su autorización por la autoridad de control».
A fin de resolver esta cuestión, ha de partirse del tenor del Reglamento Europeo, cuyo artículo 49.1, último párrafo, señala: «El responsable del tratamiento informará a la autoridad de control de la transferencia». Por su parte, el considerando 113 del Reglamento Europeo, tras referirse a estos supuestos, indica: «El responsable debe informar de la transferencia a la autoridad de control y al interesado». Como puede apreciarse, en ninguno de los dos casos se impone, en efecto, que la información sea previa, por lo que cabría entender que el Anteproyecto está imponiendo un requisito adicional, lo que podría considerarse contrario al Reglamento Europeo al obstaculizar la uniformidad de la regulación que quiere imponer.
Ahora bien, tampoco dice el Reglamento Europeo que la información deba ser posterior a la transferencia, ni indica en qué plazo debe efectuarse. Por tanto, se plantea al Estado miembro -que ha de adoptar todas las medidas necesarias que exija la aplicación del Reglamento Europeo y su efecto útil- una alternativa: o bien no añade nada a lo previsto en el Reglamento Europeo, o bien añade alguna previsión acerca del momento en el que debe informarse de la transferencia.
En el primer caso, el precepto del Reglamento Europeo podría entenderse cumplido siempre que se informara y con independencia del momento en que se informara; llevado al extremo, cabría informar años después de efectuada la transferencia -incluso una vez que hubiera prescrito la infracción que aquella transferencia pudiera haber supuesto- en claro detrimento del efecto útil del Reglamento Europeo. Parece, pues, que una actuación diligente de los Estados miembros debería llevar a determinar, con mayor o menor precisión, el plazo en que la información ha de facilitarse.
Así las cosas, entiende el Consejo de Estado que no cabe reprochar a la norma interna un exceso (como si se tratara de la introducción de un requisito adicional) por el hecho de precisar el momento o el plazo en que ha de cursarse la información. Ahora bien, en este caso (el segundo de los antes aludidos: incorporación de alguna previsión sobre el momento en el que ha de informarse), la precisión que introduzca el Estado miembro ha de ser conforme con el Reglamento Europeo y proporcionado a sus objetivos.
En este sentido, ha de garantizar un nivel coherente de protección a las personas físicas en toda la Unión y, al tiempo, evitar divergencias que dificulten la libre circulación. Por tanto, la fijación de un plazo excesivamente amplio posterior a la transferencia no sería conforme con el primer objetivo y uno igualmente amplio anterior a la transferencia desvirtuaría el segundo. En cambio, la exigencia de que la información fuera próxima en el tiempo al momento de la transferencia permitiría cohonestar ambos objetivos.
Por otra parte, si se tiene en cuenta que, una vez producida la transferencia, los datos transferidos escapan del control de las autoridades europeas -y, por tanto, del cumplimiento de las normas del Reglamento Europeo, la exigencia de que sea previa -sin fijar ningún plazo de antelación- coadyuva al efecto útil del Reglamento Europeo y es, a juicio del Consejo de Estado, proporcionada a los objetivos perseguidos: tanto desde la perspectiva de las personas físicas cuyos derechos se intentan proteger -en la medida en que puede haber margen de maniobra para que la autoridad de protección de datos reaccione ante una transferencia que no cumpla los requisitos exigidos por el Reglamento Europeo (antes de que la misma se produzca)-, como también desde la perspectiva de las empresas que desarrollan esta actividad -en la medida en que la autoridad de control les puede poner de manifiesto los defectos que pudiera apreciar a efectos de su subsanación-. En caso de que la información fuera posterior, producida la transferencia, el perjuicio para las personas físicas afectadas sería difícilmente evitable, porque los datos habrían escapado del control de las autoridades europeas; y el autor de la transferencia no podría ya subsanar los defectos que hubiera podido cometer de forma involuntaria, de forma que no podría evitar ya la responsabilidad y, en su caso, la sanción derivada de una infracción consumada.
Por todo ello, entiende el Consejo de Estado que la solución adoptada por el Anteproyecto en su artículo 44 es conforme con lo previsto en el Reglamento Europeo y proporcionado a sus objetivos; más aún, teniendo en cuenta que los Estados miembros deben asegurar la aplicabilidad directa y el efecto útil de la norma europea.
Disposición adicional quinta. Autorización judicial en materia de transferencia internacional de datos
La disposición adicional quinta se refiere a la posibilidad de obtener una autorización judicial para declarar que una decisión de la Comisión Europea menoscaba el derecho fundamental a la protección de datos, y está relacionada con la disposición final cuarta (que modifica la Ley 29/1998, reguladora de la jurisdicción contencioso-administrativa). La previsión tiene su fundamento en la STJUE de 6 de octubre de 2015 (as. Schrems), referido a una transferencia internacional amparada en una decisión de adecuación de la Comisión Europea.
El epígrafe que encabeza esta disposición adicional quinta es equívoco, puesto que parece referirse a una autorización judicial que habilita la transferencia cuando en realidad es lo contrario (una autorización judicial a la autoridad de protección de datos para que declare que una decisión de la Comisión Europea menoscaba el derecho fundamental a la protección de datos; y, por tanto, para que se impida la transferencia internacional). Se propone, por ello, su reconsideración.
Por otra parte, y de acuerdo con las observaciones realizadas en relación con el proyectado artículo 42 del Anteproyecto, debería corregirse el apartado 1.b, sustituyendo el verbo («adopten» por «aprueben»).
Décima. Título VII-Autoridades de control
Este Título, relativo a las autoridades de protección de datos, tiene carácter de Ley ordinaria, con la salvedad de lo previsto en el proyectado artículo 61, según establece la proyectada disposición final primera.
En coherencia con la previsión contenida en el artículo 8 de la Carta de Derechos Fundamentales de la Unión, -que reconoce el derecho de toda persona a la protección de los datos de carácter personal-, señala el considerando 117 del Reglamento Comunitario, que el establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar esas funciones de supervisión y control y ejercer las correspondientes competencias con plena independencia constituye un elemento esencial para la protección de este derecho.
El Reglamento Europeo dota a las autoridades de protección de datos de nuevas competencias y funciones, establece normas relativas a su régimen jurídico, dejando un amplio margen de decisión a los Estados miembros, a los que les encomienda el establecimiento, por Ley, de las autoridades de protección de datos y a garantizar su independencia.
El anteproyecto mantiene con cambios sustanciales el esquema de la actual Agencia Española de Protección de Datos, configurada como autoridad especializada de supervisión en materia de protección de datos de carácter personal y da respuesta al mandato contenido en el artículo 54.1 del Reglamento General de Protección de Datos, que encomienda a los Estados miembros establecer su respectiva autoridad de control, las cualificaciones y condiciones de idoneidad necesarias para ser nombrado miembro de cada autoridad, las normas y procedimientos para su nombramiento, la duración del mandato, el carácter renovable o no del cargo y las condiciones por las que se rigen sus obligaciones, prohibiciones relativas a acciones y las ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo. En consecuencia, y sin olvidar que los Reglamentos europeos son de alcance general, obligatorios y directamente aplicables (ex artículo 288 del TFUE), el Anteproyecto, sobre la base de la experiencia acumulada por la Agencia Española de Protección de Datos, articula adecuadamente el régimen jurídico previsto para las nuevas autoridades de control en los capítulos VI (autoridades de control independientes, artículos 51 a 59) y VII (cooperación y coherencia, artículos 60 a 76) del Reglamento Europeo.
Artículo 45
El Anteproyecto mantiene, en materia de autoridades de protección de datos, el esquema que venían recogiendo sus antecedentes normativos. Así, la Agencia Española de Protección de Datos, que fue creada por la Ley Orgánica 5/1992, de 24 de octubre, reguladora del tratamiento de datos de carácter personal, y dotada de mayores competencias por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que se configura como una autoridad administrativa independiente, de acuerdo con lo previsto en los artículos 109 y 110 de Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia. A tal fin, el Anteproyecto la define como una autoridad administrativa de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones y tiene la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos.
Esta independencia que ha de predicarse de todas las Autoridades de control en materia de protección de datos se configura como uno de los principios capitales del Reglamento Europeo. Según reiterada Jurisprudencia del Tribunal de Justicia de la Unión Europea (Sentencia de 16 de octubre de 2012 -asunto c-614/2010, Comisión vs Austria- o Sentencia de 8 de abril de 2014 -asunto c-288/2012, Comisión vs Hungría, entre otras), esta «independencia excede de lo meramente funcional para informar toda actividad de las autoridades de control», evita injerencias de los poderes públicos, permitiéndole el ejercicio de las funciones y potestades de información, inspección y sanción que la Ley le atribuye con la finalidad última de «prevenir las violaciones de los derechos fundamentales y de garantizar la igualdad de todos los españoles en su disfrute» (STC 290/2000, de 30 de noviembre). En esa misma línea favorable a la independencia de determinados organismos de control se manifestaba este Consejo de Estado en el dictamen 274/2015, de 29 de abril de 2015, cuando señalaba que: «No son pocas las experiencias que, en fechas no demasiado lejanas, han venido a evidenciar la importancia de que estos organismos ejerzan sus funciones de supervisión o regulación con independencia del Gobierno y de la Administración General del Estado. Dicha independencia exige que ésta no pueda ejercer controles orientados a supervisar la actuación de las autoridades administrativas independientes que, a la postre, pudieran afectar de forma directa o indirecta a la neutralidad de éstas».
Artículo 46
La Agencia se rige por lo dispuesto en el Reglamento Europeo, por la norma proyectada y por sus disposiciones de desarrollo, de entre las que destaca, a tenor de lo previsto en la proyectada disposición transitoria primera, su Estatuto, actualmente aprobado por Real Decreto 428/1993, de 26 de marzo. Supletoriamente, en lo que sea compatible, se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público Estatal. Corresponde al Gobierno mediante Real Decreto, a propuesta de la Agencia, la aprobación de su Estatuto (proyectado artículo 46.2). Su actual Estatuto continuará vigente en lo que no se oponga a lo establecido en el Título VIII de la proyectada nueva Ley, relativo al régimen sancionador (proyectada disposición transitoria primera).
En opinión de este Consejo de Estado, el mantenimiento de la vigencia del Estatuto deberá ser transitoria. Las novedades introducidas en el Reglamento Europeo en materia organizativa y sancionadora y el fortalecimiento de las potestades atribuidas a las autoridades de control requieren de la aprobación de un nuevo Estatuto en un periodo corto de tiempo con la finalidad de dar respuesta a las necesidades de la nueva Agencia.
Artículo 47
De acuerdo con el mandato contenido en el artículo 52.4 del Reglamento Europeo, la autoridad de protección de datos debe disponer de recursos humanos, técnicos y financieros, así como de los locales e infraestructuras necesarias para el cumplimiento efectivo de sus funciones. A tal efecto, contiene el Anteproyecto disposiciones específicas relativas a presupuesto y al personal adscrito a la agencia.
Según señala la Memoria, ya durante el periodo transitorio iniciado con la aprobación del citado Reglamento, otros Estados miembros de la Unión Europea han adoptado medidas en materia presupuestaria y de personal para dotar a las autoridades de control de los medios necesarios para afrontar los nuevos retos que implica su aplicación.
En línea con lo anterior, el Anteproyecto prevé que la Agencia Española de Protección de Datos cuente para el cumplimiento de sus fines con las asignaciones que se establezcan con cargo a los Presupuestos Generales del Estado, los bienes y valores que constituyan su patrimonio y los ingresos, ordinarios y extraordinarios, derivados del ejercicio de su actividad. La Agencia elaborará y aprobará su presupuesto y lo remitirá al Gobierno para que sea integrado, con independencia, en el Presupuesto General del Estado, siendo el régimen de modificaciones y de vinculación de los créditos de su presupuesto el establecido en el Estatuto de la Agencia.
Esta última cuestión resulta de gran importancia por su sometimiento al principio de legalidad presupuestaria (art.134.6 CE) y a ciertos controles externos, compatibles, no obstante, con la independencia que se predica de esta autoridad de control.
Señala el proyectado artículo 47 apartado 1º que: «la Agencia elaborará y aprobará su presupuesto y lo remitirá al Gobierno para que sea integrado, con independencia, en el Presupuesto General del Estado», y añade en su apartado 2º que, «el régimen de modificaciones y de vinculación de los créditos de su presupuesto será el establecido en el Estatuto de la Agencia».
El vigente Estatuto de la Agencia prevé al efecto en su artículo 34 (apartados 2º y 3º) que las modificaciones del presupuesto de la Agencia serán autorizadas por su Director cuando se trate de modificaciones internas que no incrementen la cuantía del mismo y sean consecuencia de las necesidades surgidas durante el ejercicio. Los suplementos de crédito o créditos extraordinarios de la Agencia serán autorizados por el Ministro de Economía y Hacienda cuando no excedan del 5 por ciento de su presupuesto de gastos y por el Gobierno en los demás casos (requiriéndose en este último supuesto el preceptivo dictamen de la Comisión Permanente de este Consejo de Estado ex artículo 22.14º de la Ley Orgánica 3/1980, de 22 de abril).
El personal al servicio de la Agencia será funcionarial o laboral, y desempeñará sus funciones con independencia manteniéndose ajenos a toda influencia externa tal y como ordena el artículo 52 del Reglamento Comunitario. La Agencia contará con una relación de puestos de trabajo que deberá ser aprobada por el Ministerio de Hacienda y Función Pública, a propuesta de la Agencia, debiendo constar en la misma aquellos puestos que deban ser desempeñados en exclusiva por funcionarios públicos por consistir en el ejercicio de potestades públicas y la salvaguarda de los intereses generales del Estado y de las Administraciones Públicas.
En este punto, el Consejo de Estado debe enfatizar la necesidad de que el régimen funcional del personal al servicio de la Agencia, incluidos sus aspectos retributivos, sean concretados y gestionados al servicio del aludido objetivo de independencia de ese órgano y de su personal.
Artículo 49
El Anteproyecto modifica la naturaleza del órgano que estará al frente de la Agencia, que pasará de ser Director a Presidente y que será nombrado por el Gobierno, a propuesta del Ministro de Justicia, mediante Real Decreto, entre profesionales de reconocida competencia con conocimientos y experiencia acreditados para el desempeño de sus funciones, previo dictamen de idoneidad del Congreso de los Diputados.
El Presidente ostenta la representación de la Agencia y ejerce sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna en su desempeño. Con el objetivo de desvincular la duración de su mandato del de la legislatura, y haciendo coincidir su extensión con el establecido para el Servicio Europeo de Protección de Datos, se prevé que éste tenga una duración de cinco años, que podrá ser renovado por un periodo de igual duración, pudiendo cesar, antes de la expiración del mismo, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad y delito doloso. La previsión relativa al mandato se aplicará una vez expire el mandato -de cuatro años- de quien ostente la condición de Presidente a la entrada en vigor de la Ley sometida a consulta (proyectada disposición transitoria primera).
Entiende este Consejo que, al servicio de los indicados objetivos de independencia y objetividad, podría considerarse la imposibilidad de renovación del nombramiento del Presidente.
El Anteproyecto contiene una previsión específica para regular el nombramiento del Presidente de la Agencia, que permitiría seleccionar al candidato de «entre profesionales de reconocida competencia con conocimientos y experiencia para el desempeño de sus funciones», lo que está en línea con lo previsto en el artículo 53.2 del Reglamento General de Protección de Datos, que señala que «poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes», si bien debiera introducirse mayor concreción a tales requisitos puesto que, según el artículo 54.1.b) del citado Reglamento, es obligación de todo Estado miembro establecer por ley las cualificaciones condiciones de idoneidad necesarias para ser nombrado miembro de cada autoridad de control.
Además, en el proyectado régimen jurídico aplicable al Presidente de la Agencia se echa en falta la regulación de las condiciones por las que se rigen sus obligaciones, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo. Se trata de cuestiones que el artículo 54.1 del Reglamento Europeo remite expresamente a determinación de los Estados por Ley.
En coherencia con el mandato del reglamento comunitario, el Consejo de Estado entiende que ha de incorporarse a la proyectada Ley un artículo o varios epígrafes al proyectado artículo 49, con la finalidad de dar adecuada y completa regulación al régimen aplicable al Presidente de la Agencia Española de Protección de Datos en los aspectos antes señalados y a los que se refiere expresamente el artículo 54.1 del aludido Reglamento.
Esta observación tiene carácter esencial a los efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado.
Artículo 50
El Presidente de la Agencia estará asesorado por un Consejo Consultivo integrado por un Diputado, propuesto por el Congreso de los Diputados, un senador, propuesto por el Senado, un representante propuesto por el Consejo General del Poder Judicial, un representante de la Administración General del Estado, propuesto por el Ministro de Justicia, un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca cada Comunidad Autónoma, un representante de la Administración local, propuesto de acuerdo por la Federación Española de Municipios y Provincias, un representante de los consumidores y usuarios, propuesto por el Consejo General de Consumidores y Usuarios, un representante de las entidades responsables y encargadas de los tratamientos de datos, propuesto por las Organizaciones empresariales, un representante de los profesionales de la protección de datos, propuesto por el Ministro de Justicia, un experto en la materia, propuesto por el Consejo Superior de Universidades y un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el capítulo IV del Título V, propuesto por el Ministro de Justicia.
Constituyen novedad el representante del Consejo General del Poder Judicial -por la colaboración que se articula entre este Consejo y la Agencia ex artículo 236 nonies de la Ley Orgánica del Poder Judicial-, el de las entidades responsables y encargadas de los tratamientos de datos, el de los profesionales de la protección de datos, el experto en la materia, propuesto por el Consejo Superior de Universidades y el representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos. Se excluye con respecto a la regulación anterior, a un miembro de la Real Academia de Historia y a un representante del sector de los ficheros privados (artículo 38 de la Ley Orgánica 15/1999). El Consejo de Estado considera adecuadas las novedades introducidas por cuanto dotan a la Agencia Española de Protección de Datos de mayor especialización.
Los miembros de Consejo Consultivo serán nombrados por orden del Ministro de Justicia, que será objeto de publicación en el Boletín Oficial del Estado.
El Consejo se reunirá cuando así lo disponga el Presidente de la Agencia y, en todo caso, una vez al año, siendo las normas relativas a su régimen, competencias y funcionamiento las que establezca en el Estatuto Orgánico de la Agencia Española de Protección de Datos.
Artículo 51
Señala este artículo que la Agencia publicará las siguientes resoluciones de su Presidente:
-Las que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento Europeo
-Las que pongan fin a los procedimientos de reclamación.
-Las que archiven las actuaciones previas de investigación.
-Las que sancionen con apercibimiento a las entidades a las que se refiere el artículo 78.1 de la Ley.
-Las que impongan medidas cautelares.
-Las demás que determine el Estatuto.
Por razones de pura sistemática, sugiere este Consejo ubicar este artículo en el marco relativo a las potestades normativas que se atribuyen al Presidente de la Agencia, de manera, que al proyectado artículo 56, que regula las potestades de regulación de la Agencia, le siga el régimen de publicidad que actualmente proyecta el artículo 51.
Artículos 52-55
La Agencia ostenta potestades de control, de investigación, de regulación y de representación a nivel interno e Internacional.
Corresponde a la Agencia supervisar la aplicación de la Ley Orgánica proyectada y del Reglamento Europeo y, en particular, ejercer las funciones establecidas en el artículo 57 del Reglamento (de control, promoción, asesoramiento, investigación, resolución y seguimiento) y las potestades de investigación, de autorización y de consulta, previstas en el artículo 58 (apartados 1º,2º y 3º) del mismo Reglamento, en la proyectada Ley Orgánica y en sus disposiciones de desarrollo. Asimismo, corresponde a la Agencia el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea (proyectado artículo 48).
El resto de las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, así como los particulares, estarán obligados a proporcionar a la Agencia los datos, informes, antecedentes y justificantes necesarios para llevar a cabo la citada actividad investigadora. Este deber de colaboración se extiende a los operadores que presten servicios de comunicación electrónica disponible al público y a los prestadores de servicios de la sociedad de la información.
En efecto, el Anteproyecto aborda esta cuestión de forma más minuciosa que la vigente Ley Orgánica 15/1999, cuyo artículo 40, relativo a los poderes de inspección de la Agencia, había sido objeto de debate, dando lugar a varios informes del Servicio Jurídico del Estado, el último de los cuales, de 29 de diciembre de 2008, del Abogado General, ha sido incorporado al expediente. Según la interpretación de este último informe, el régimen jurídico vigente en la materia faculta a la Agencia por el juego del citado artículo 40 y de las Leyes 34/2002, de 11 de julio, de Servicios de la Información y comercio electrónico, y 32/2003, de 3 de noviembre, General de Telecomunicaciones, a requerir de los operadores cierta información sin que sea precisa autorización judicial -salvo en los casos en que la Ley disponga expresamente lo contrario- y sin que su concesión -cuando medie denuncia- constituya per se una violación del secreto de las comunicaciones ex artículo 18.3 de la Constitución.
Según reiterada Jurisprudencia del Tribunal Europeo de Derechos Humanos y del Tribunal Constitucional, en estos casos se entiende que la denuncia realizada por una de las partes intervinientes en la comunicación implica un levantamiento del «secreto»; el denunciante consiente así en hacerla «pública». La concesión de ese consentimiento representaría también una manifestación del derecho fundamental a la protección de datos de carácter personal que garantiza a los individuos «un poder de disposición y de control sobre sus datos de carácter personal que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos y para qué, pudiendo oponerse a esa posesión o uso (…) Y ese derecho a consentir el conocimiento y el tratamiento, informático o no de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y por otro, a poder oponerse a esa posesión y usos». (STC 290/2000, de 30 de noviembre).
Los supuestos de denuncia más habituales en la práctica se vinculan a los casos en los que una persona recibe una comunicación comercial no solicitada, se incluyen sus datos personales en un sitio web, o se utiliza su teléfono con fines comerciales sin que haya mediado consentimiento para ello. Para que estos hechos, que podrían ser constitutivos de una infracción (según la propia LOPD, la Ley 34/2002, de 11 de julio, de Servicios de la Información y Correo electrónico y la Ley 32/2003, General de Telecomunicaciones), puedan ser debidamente investigados y, en su caso, sancionados, el conocimiento del dato del titular (de la línea llamante o de la dirección del protocolo de internet), es imprescindible para dirigir el procedimiento contra aquél, por lo que se pueden recabar del operador los datos correspondientes a los denominados calling data record (CDR) de las llamadas recibidas por el denunciante, que permitirán conocer al presunto infractor.
En línea con lo anterior, el proyectado artículo 53, en su apartado 3º enmarca esta potestad de investigación en aquellos supuestos en los que la Agencia no haya podido identificar, por otros medios, al presunto responsable de una conducta contraria al Reglamento Europeo o a la Ley Orgánica proyectada. En estos casos, la Agencia podrá recabar de los operadores la siguiente información:
a) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de telefonía fija o móvil:
-El número de teléfono de origen de la llamada en el caso de que el mismo se hubiera ocultado.
– El nombre, número de documento identificativo y dirección del abonado o usuario registrado al que corresponda ese número de teléfono y,
– La mera confirmación de que se ha realizado una llamada específica entre dos números en una determinada fecha y hora.
b) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de la sociedad de la información:
– La identificación de la dirección de protocolo de internet desde la que se hubiera llevado a cabo la conducta y la fecha y hora de su realización.
– Si la conducta se hubiese llevado a cabo mediante correo electrónico, la identificación de la dirección de protocolo de internet desde la que se creó la cuenta de correo y la fecha y hora en la que la misma fue creada.
– El nombre, número de documento identificativo y dirección del abonado o del usuario registrado al que se le hubiere asignado la dirección de protocolo de internet.
Quedan expresamente excluidas los datos de tráfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, cuya cesión solamente podrá tener lugar de acuerdo con lo dispuesto en ella, previa autorización judicial solicitada por alguno de los agentes facultados a los que se refiere el artículo 6 de dicha Ley.
Llama el Consejo de Estado la atención sobre el contenido de este artículo, su vinculación con la potestad sancionadora de la Agencia y su incidencia sobre la configuración del derecho a la protección de datos de carácter personal y del derecho al secreto de las comunicaciones. Es por ello por lo que entiende que habría que dotarlo de carácter orgánico haciendo mención expresa de ello en la proyectada disposición final primera.
Esta observación tiene carácter esencial a los efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado.
Artículo 56
De acuerdo con este artículo, el Presidente de la Agencia dicta sus resoluciones, circulares y directrices. «Podrá dictar las disposiciones de desarrollo y ejecución necesarias para la interpretación y cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la norma proyectada, que se denominarán Circulares de la Agencia Española de Protección de Datos. Su elaboración se sujetará al procedimiento establecido para los reglamentos con las especialidades previstas en el Estatuto de la Agencia» y serán obligatorias una vez publicadas en el Boletín Oficial del Estado. Sus actos y disposiciones ponen fin a la vía administrativa, siendo recurribles directamente, ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Estas potestades normativas atribuidas al Presidente de la Agencia, constituyen una importante novedad no prevista en los vigentes artículos 36 y 37 de la Ley Orgánica 15/1999, que le facultaban para dictar instrucciones precisas e informar los proyectos de disposiciones generales que desarrollaran la Ley. En efecto, la disposición final primera de esta misma Ley Orgánica faculta al Gobierno a aprobar o modificar las disposiciones reglamentarias necesarias para la aplicación y el desarrollo de la Ley. Sobre la potestad de instrucción de la Agencia de Protección de Datos, las Circulares de su Presidente y la potestad reglamentaria atribuida al Gobierno en esta materia, existe jurisprudencia del Tribunal Supremo, en particular, en la Sentencia de 16 de febrero de 2007 de la Sección 6ª de la Sala de lo Contencioso-Administrativo.
De acuerdo con la configuración que les da en cuanto autoridades de supervisión, el Reglamento Europeo atribuye a las autoridades de control competencia para supervisar su aplicación sin contemplar competencias normativas o interpretativas, entendiéndose que en esa interpretación y aplicación habrá de estarse a la jurisprudencia del Tribunal de Justicia de la Unión Europea.
Pues bien, dada la relevancia que tiene esta potestad normativa atribuida al Presidente de la Agencia Estatal de Protección de Datos, procede a continuación realizar alguna observación en relación con su alcance.
De acuerdo con el artículo 129. 4 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, «las habilitaciones para el desarrollo reglamentario de una ley serán conferidas, con carácter general, al Gobierno o al Consejo de Gobierno respectivo».
«Las leyes podrán habilitar directamente a Autoridades independientes u otros organismos que tengan atribuida potestad para dictar normas en desarrollo o aplicación de las mismas, cuando la naturaleza de la materia así lo exija.»
En nuestro Ordenamiento, son varias las Administraciones independientes a las que se les ha atribuido potestad normativa. En su mayoría, se trata de entidades creadas para supervisar la actuación de los particulares o de las entidades intervinientes o que operan en un determinado sector de actividad. Tal es principalmente el caso del Banco de España, de la Comisión Nacional de la Energía, de la Comisión Nacional del Mercado de Valores y de la Comisión Nacional de Mercados y Competencia. Habiendo sida reconocida competencia normativa de desarrollo a todas estas administraciones independientes, lo cierto es que la Ley no lo ha hecho de la misma forma y con la misma extensión en todos los casos, adoptando, eso sí en general, una posición cautelosa al respecto.
Se podría así distinguir entre los casos en los que la Ley atribuye potestad reglamentaria a una entidad sin hacerla depender de habilitaciones expresas «caso a caso» en normas del Gobierno y de los Ministros, y aquellos en los que se supedita el ejercicio la potestad a una habilitación expresa en cada caso.
Dentro del primer grupo, se encuadrarían el Banco de España y el Consejo de Seguridad Nuclear. Así, de acuerdo con lo previsto en el artículo 3 de la Ley 13/1994, de 1 de junio, de Autonomía del Banco de España, éste ejerce potestad normativa a través de circulares (sobre obligaciones de información y en materia de organización, fundamentalmente) y de circulares monetarias en ejecución de la política monetaria del Sistema Europeo de Bancos Centrales. En sentido similar, el artículo 2.a) de la Ley 15/1980, de 22 de abril (redacción dada por Ley 33/2007) le atribuye al Consejo de Seguridad Nacional competencia para dictar instrucciones técnicas circunscritas a materia relativa a las instalaciones nucleares y radiactivas y a las actividades relacionadas con la seguridad nuclear y la protección radiológica.
Dentro del segundo grupo, esto es, de aquel en el que se supedita el ejercicio de potestad normativa a una habilitación expresa en cada caso, se encuadrarían la Comisión Nacional del Mercado de Valores y la Comisión Nacional de los Mercados y Competencia. En el caso de la CNMV el artículo 21.1 del texto refundido de la Ley del Mercado de Valores, aprobado por el Real Decreto Legislativo 4/2015, de 23 de octubre, señala que:
«La Comisión del Mercado Nacional de Valores, para el adecuado ejercicio de las competencias que le atribuye esta Ley, podrá dictar las disposiciones que exija el desarrollo y la ejecución de las normas contenidas en los reales decretos aprobados por el Gobierno o en las órdenes del Ministro de Economía siempre que estas disposiciones le habiliten de modo expreso para ello».
En esta misma línea fue redactado el vigente artículo 30.1 de la Ley 3/2013, de 4 de junio, de creación de la Comisión Nacional de los Mercados y Competencia, que abarcaría las competencias normativas de la Comisión Nacional de la Energía y de la Comisión Nacional de las Telecomunicaciones. Al igual que en la Ley del Mercado de Valores, esta Ley limita la potestad normativa de estas entidades a la existencia, en cada caso, de una habilitación expresa:
«La Comisión Nacional de los Mercados y la Competencia podrá dictar las disposiciones de desarrollo y ejecución de las leyes, reales decretos y órdenes ministeriales que se aprueben en relación con los sectores sometidos a su supervisión cuando le habiliten expresamente para ello. Estas disposiciones adoptarán la forma de circulares de la Comisión Nacional de los Mercados y la Competencia».
En el caso ahora examinado, y a diferencia de las entidades independientes a las que se ha hecho referencia -que centran su actividad de control sobre los particulares o las entidades del sector de actividad encomendado- la Agencia Española de Protección de Datos despliega su actividad en ámbitos susceptibles de lesionar un derecho fundamental, para proteger éste frente a la actuación de los poderes públicos. La particularidad que la Agencia sigue manteniendo con su nueva configuración es precisamente esa, que se trata de una autoridad independiente dedicada específicamente a la protección de los derechos fundamentales, la intimidad personal frente al tratamiento de datos personales y frente al uso de la informática en ese ámbito.
Teniendo en cuenta lo anterior, procede a continuación analizar si el artículo 56, en su redacción proyectada, se adecuaría a las previsiones legales en la materia. Se recuerda que, de acuerdo con el artículo 129. 4 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, «las leyes podrán habilitar directamente a Autoridades independientes u otros organismos que tengan atribuida potestad para dictar normas en desarrollo o aplicación de las mismas, cuando la naturaleza de la materia así lo exija.»
Da la literalidad del artículo se desprende, formalmente, que la habilitación directa requiere que esas autoridades u organismos tengan previamente atribuida potestad para dictar normas en desarrollo y aplicación siempre y cuando, materialmente, la naturaleza de la materia así lo exija.
En sus términos actuales, el artículo 56 no sólo atribuye potestad reglamentaria al Presidente de la Agencia, sino que configura tal potestad en términos muy amplios, permitiendo ejercerla para dictar disposiciones de desarrollo y ejecución necesarias para la interpretación y el cumplimiento de una Ley orgánica y de un Reglamento de la Unión Europea. Desde un punto de vista material el artículo 129.4 antes citado supedita esa atribución normativa a que «la naturaleza de la materia así lo exija», requisito que no concurre en este caso. No ha de perderse de vista que el Anteproyecto aborda un derecho fundamental -a la protección de datos de carácter personal- y que la Jurisprudencia constitucional se ha mostrado restrictiva incluso a la hora de enjuiciar la hipotética relación entre la ley orgánica y la ley ordinaria habiendo admitido que la ley orgánica aborde ese «desarrollo» correspondiendo al legislador ordinario la regulación de la materia sobre la que se proyecta el derecho fundamental, lo que restringe el ámbito de actuación del Gobierno al respecto y, con más claridad, la del Presidente de una Administración Independiente-.
En estas circunstancias, y teniendo en cuenta además que el Reglamento Europeo no habilita a las autoridades de control para dictar disposiciones de desarrollo y ejecución para su interpretación y cumplimiento de aquél, el Consejo de Estado entiende que han de reconsiderarse esas potestades normativas del Presidente de la Agencia Española de Protección de Datos, suprimiendo, de una parte, la referencia que se hace al Reglamento Europeo -por cuya aplicación deberá velar la Agencia, pero no desarrollar-, manteniendo la habilitación al Gobierno de la Nación para aprobar o modificar las disposiciones reglamentarias para la aplicación y desarrollo de lo previsto en la Ley, -siempre, como complemento indispensable en plano subordinado de la misma, en el sentido de que, la norma reglamentaria que colabora en la precisión de los mandatos de la ley orgánica es en sí misma parte integrante del grupo normativo del derecho fundamental concreto y por lo tanto, en sus determinaciones es consecuencia y complemento de las previsiones de la ley orgánica (dictamen nº 1909/2007, de 15 de noviembre) y contemplando la potestad del Presidente de la Agencia Española de Protección de Datos de dictar Circulares e Instrucciones que fijen los criterios y guías a que responderá la actuación de esa entidad en el tratamiento de las materias y cuestiones que recomienden tal explicitación de criterios.
Esta observación tiene carácter esencial a los efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado.
Artículo 57
Corresponde igualmente a la Agencia la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos. Asimismo, la Agencia es el organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos de carácter personal derivado de la aplicación de cualquier Convenio Internacional en el que sea parte el Reino de España y que atribuya esa competencia a una autoridad nacional de control. Se recuerda que, de acuerdo con el considerando número 107 del Reglamento Europeo los Estados miembros pueden celebrar acuerdos internacionales (ver su concepto, así como tratado internacional, acuerdo internacional administrativo, acuerdo internacional medioambiental, acuerdo internacional no normativo, y acuerdo internacional sobre el transporte de mercancías perecederas o acuerdo ATP) siempre que dichos acuerdos no afecten al Reglamento ni a ninguna otra disposición del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de los interesados.
La Agencia es, además, la representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos y en los demás grupos de protección de datos constituidos por el Derecho de la Unión Europea. Participará y colaborará con autoridades, instituciones, organismos de otros Estados y organizaciones internacionales competentes en materia de protección de datos. Le corresponde impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular, subraya el Anteproyecto, en el ámbito iberoamericano , pudiendo suscribir acuerdos internacionales (ver su concepto, así como tratado internacional, acuerdo internacional administrativo, acuerdo internacional medioambiental, acuerdo internacional no normativo, y acuerdo internacional sobre el transporte de mercancías perecederas o acuerdo ATP) administrativos y no normativos en la materia.
A juicio del Consejo de Estado, en materia de acción exterior, hubiera sido aconsejable distinguir nítidamente (quizá mediante la división en varios artículos), entre las relaciones que se podrán mantener en materia de protección de datos en el marco de la Unión Europea y de su Comité de Protección, de todas aquellas que podrán mantenerse fuera de este ámbito con otros terceros Estados, y en particular, con los países de Iberoamérica, aprovechándose también para acotar o definir el concepto de «acuerdos internacionales administrativos no normativos.
Artículos 58 a 63
En coherencia con la previsión contenida en el artículo 51 del Reglamento Comunitario, y de acuerdo con el derecho interno en materia de distribución de competencias entre el Estado y las Comunidades Autónomas,la proyectada Ley recoge disposiciones relativas a las autoridades autonómicas de protección de datos y a la necesaria coordinación y colaboración institucional entre autoridades. Las autoridades autonómicas de protección de datos de carácter personal podrán ejercer las funciones (de control, promoción, asesoramiento, investigación, resolución y seguimiento) y las potestades (de investigación, autorización y consulta) establecidas en los artículos 57 y 58 del Reglamento Europeo cuando se refieran a tratamientos de los que sean responsables integrantes del sector público de la correspondiente Comunidad Autónoma o de las entidades locales incluidas en su ámbito territorial o de las personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración autonómica o local y de aquellos tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.
El Anteproyecto regula mecanismos de control para supuestos de incumplimiento de las previsiones del citado Reglamento. Cuando una Autoridad autonómica de protección de datos vulnere ese Reglamento, el Presidente de la Agencia podrá instarla a que adopte las medidas necesarias para su cesación; en caso de que ésta no lo haga, se le faculta para emplazarle a su adopción en el plazo de un mes, pudiendo, en caso de persistir el incumplimiento, acudir a la Jurisdicción Contencioso- Administrativa (proyectado artículo 60). En cumplimiento con el considerando 119 del Reglamento Europeo, todas las comunicaciones entre el Comité Europeo de protección de datos y las autoridades autonómicas de protección de datos se practicarán por conducto de la Agencia Española cuando éstas, como autoridades competentes, deban someter su proyecto de decisión al citado Comité, soliciten el examen de un determinado asunto ex artículos 64.1 y 2 del Reglamento, o deban solicitar del Comité la emisión de una decisión vinculante al amparo de lo previsto en el artículo 65 del Reglamento, relativo a la resolución de conflictos. En estos casos, la Agencia será asistida por un representante de la correspondiente Autoridad autonómica en su intervención ante el Comité.
Artículo 61
De conformidad con la proyectada disposición final primera, el Título relativo a las Autoridades de protección de datos tiene carácter ordinario, con la excepción del artículo 61, relativo a la coordinación entre la Agencia Estatal y las Agencias autonómicas en el caso de emisión de dictamen por el Comité Europeo de Protección de Datos.
Según la jurisprudencia constitucional en la materia, «lo que está constitucionalmente reservado a Ley orgánica es la regulación de determinados aspectos esenciales para la definición del derecho -en este caso, a la protección de datos de carácter personal ex artículo 18.4 CE-, la previsión de su ámbito y la fijación de sus límites en relación con otras libertades constitucionalmente protegidas». (STC 135/2006). El carácter ordinario de la regulación de las autoridades de protección de datos resultaría plenamente conforme con la citada interpretación constitucional entendiéndose que no es necesario el dotar de carácter orgánico el artículo relativo a la coordinación entre autoridades nacionales de control -Estatal y Autonómicas- en su relación con el Comité Europeo de Protección de Datos.
Undécima. Título VIII-Procedimientos reunión caso de vulneración de la normativa de protección de datos
El Título VIII del Anteproyecto se dedica a «los procedimientos en caso de posible vulneración de la normativa de protección de datos» (artículos 64 a 70, en conexión con la disposición adicional cuarta).
El Reglamento Europeo establece dos tipos de procedimientos: los procedimientos incoados en relación con tratamientos nacionales de datos, que serían aquellos que afectan a los nacionales del Estado miembro en el que el responsable o encargado del tratamiento tiene su único establecimiento; y los procedimientos relativos a tratamientos transfronterizos de datos de carácter personal, que serían aquellos realizados por un responsable o encargado con establecimientos en varios Estados miembros, con independencia de que afecten a nacionales de todos esos Estados o de uno solo de ellos, o por un responsable o encargado con establecimiento en un solo Estado miembro, siempre que el tratamiento afecte a nacionales de varios Estados miembros (artículos 4, apartado 22, y artículo 56, apartados 2, 3 y 4).
En el caso de procedimientos transfronterizos, el Reglamento Europeo prevé la existencia de una autoridad de control principal y unas autoridades de control interesadas. La autoridad de control principal es la del Estado en que tiene su sede el establecimiento principal del responsable o encargado del tratamiento, mientras que las autoridades de control interesadas son las del Estado o Estados de los demás establecimientos de dicho responsable o encargado o de los nacionales afectados por el tratamiento. La tramitación de los procedimientos transfronterizos corresponde en principio a la autoridad de control principal, con la cooperación de las autoridades de control interesadas; no obstante, las autoridades de control del establecimiento que no tengan la condición de principal podrán hacerse cargo de las reclamaciones que se refieran únicamente al establecimiento situado en su Estado o afecten exclusivamente a sus nacionales, cuando, tras haber informado de la existencia de la reclamación a la autoridad de control del establecimiento principal, ésta decida no tramitarla (artículo 56 y 60 a 62).
En este marco normativo, el Anteproyecto se limita a establecer una serie de disposiciones generales aplicables a aquellos procedimientos para cuya tramitación es competente la Agencia España de Protección de Datos, habilitando al Gobierno para la regulación mediante real decreto de cada uno de ellos (artículo 64.3). Esta regulación entra dentro de la autonomía organizativa de los Estados miembros y, por tanto, no entra en colisión con el Reglamento Europeo.
De acuerdo con el Anteproyecto, los procedimientos podrán ser iniciados por la Agencia por «propia iniciativa o previa reclamación, una vez que ésta haya sido admitida a trámite» -así sucede con los procedimientos de tutela de derechos- (artículo 65).
En caso de reclamación, la Agencia debe examinar, en primer lugar, si es competente y, de no serlo, remitirla a la autoridad competente (artículo 67); mientras que, si lo es, deberá decidir sobre su admisión a trámite; en todo caso, la decisión sobre la admisión a trámite o, en su caso, sobre la remisión de la reclamación a la autoridad competente deberá acordarse en tres meses (artículos 66). Dado que la decisión sobre su propia competencia es previa a la admisión a trámite de la reclamación, el orden de estos preceptos debería invertirse, colocando el actual artículo 67 como artículo 66 y viceversa.
Asimismo, antes de la iniciación del procedimiento, la Agencia podrá incoar actuaciones previas de investigación por un plazo máximo de un año (artículo 68). No queda claro como este plazo puede cohonestarse con el de tres meses que la Agencia tiene para decidir sobre la admisión y trámite y consiguiente iniciación del procedimiento. Por tal razón, acaso debiera preverse que la incoación de estas actuaciones previas de investigación tenga un efecto suspensivo del plazo de admisión a trámite.
La regulación de las medidas provisionales que la Agencia puede adoptar tras la incoación de las actuaciones previas de investigación o la iniciación de un procedimiento (artículo 69) no plantea problemas reseñables.
Y, en fin, el establecimiento de un plazo máximo legal de nueve meses para la resolución y notificación de los procedimientos y la previsión de suspensión automática de este plazo en caso de que deba recabarse un trámite preceptivo de un órgano de la Unión Europea u otra autoridad de control (artículo 70) se ampara en los dispuesto en los artículos 21.1 y 22.1, letras b) y d), de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Duodécima. Título IX-Sanciones
El Título IX del Anteproyecto de LOPD (artículos 71 a 79) contiene una serie de previsiones en relación con el régimen sancionador previsto en el Reglamento Europeo.
El cambio de perspectiva introducido por el Reglamento Europeo en materia de protección de datos se refleja de forma especial en el régimen sancionador.
La Directiva 95/46/CE remitía a la legislación de los Estados miembros la regulación de dicho régimen; en concreto, su artículo 24, bajo la rúbrica «Sanciones», preveía que «los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva». Al amparo de este precepto, la vigente LOPD incluye un título VII dedicado a la infracciones y sanciones en la materia (artículos 43 a 49).
El Reglamento Europeo ya no efectúa una remisión genérica a la legislación de los Estados miembros, optando, en su lugar, por establecer directamente unas condiciones generales para la imposición de las multas administrativas por parte de las autoridades de control de los Estados miembros, con algunas y muy concretas habilitaciones en determinados puntos al legislador nacional (artículo 83). La única habilitación genérica a los Estados miembros lo es a los solos efectos de establecer normas en relación con otras sanciones distintas de las multas administrativas (artículo 84).
En este marco, el Anteproyecto contiene una serie de previsiones en relación con el régimen sancionador establecido en el Reglamento Europeo, en aspectos tales como su ámbito de subjetivo de aplicación, el catálogo de infracciones y la prescripción de las mismas, las sanciones y medidas correctivas, las singularidades de su aplicación a determinadas autoridades y organismos públicos y la prescripción de las sanciones, que a continuación se pasan a analizar:
A) El artículo 71 del Anteproyecto delimita el ámbito subjetivo de aplicación del régimen sancionador: están sujetos al mismo -de acuerdo con su apartado 1- «los responsables de los tratamientos» (letra a), «los encargados de los tratamientos» (letra b), «los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea» (letra c), «las entidades de certificación» (letra d) y «las entidades acreditadas de supervisión de los códigos de conducta» (letra e); en cambio, está excluido de este régimen -según dice su apartado 2- el «delegado de protección de datos».
La oportunidad de la incorporación al Anteproyecto de una previsión de esta naturaleza se justifica, por razones de claridad, en que la determinación de los sujetos responsables por la comisión de infracciones en materia de protección de carácter personal sólo puede alcanzarse a través de una interpretación sistemática de diversas previsiones del Reglamento Europeo.
Así, la aplicación del régimen sancionador del Anteproyecto a «los responsables y encargados de los tratamientos», a «las entidades de certificación» y a «las entidades acreditadas de supervisión de los códigos de conducta» resulta directamente de lo dispuesto, entre otros preceptos, en el apartado 4 del artículo 83 del Reglamento Europeo.
Por su parte, la sujeción a dicho régimen de «los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea», a los que se refiere el artículo 27 del Reglamento Europeo, parece igualmente pertinente. En puridad, los representantes imputan sus actos, y por tanto la responsabilidad de éstos, a los representados, pero si los representados -los responsables o encargados del tratamiento- no se encuentran establecidos en la Unión Europea, como es el caso, el efectivo cumplimiento de la normativa europea de protección de datos de carácter personal exige que sus representantes puedan ser sancionados.
Por último, la exclusión del «delegado de protección de datos» es coherente con la posición que el mismo ostenta respecto del responsable o encargado del tratamiento: de acuerdo con el artículo 38 del Reglamento Europeo, los delegados de protección de datos deben rendir cuentas ante los encargados o responsables del tratamiento, siendo estos últimos los que tendrán que responder ante las autoridades de control.
En definitiva, el ámbito subjetivo de aplicación de la regulación proyectada es el que resulta del Reglamento Europeo.
B) Los artículos 72 a 75 del Anteproyecto contienen un catálogo de infracciones en materia de protección de datos de carácter personal, distinguiendo entre infracciones leves, graves y muy graves.
La regulación proyectada debe analizarse partiendo de lo dispuesto en los apartados 4, 5 y 6 del artículo 83 del Reglamento Europeo, que dicen así:
«4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4. 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en cumplimiento del artículo 58, apartado 1.
6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.»
A la vista de estos preceptos europeos, la exposición de motivos del Anteproyecto ha entendido que el Reglamento Europeo establece «un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión»; en este marco, el Anteproyecto – dice la exposición- «procede a describir las conductas típicas, manteniendo la distinción entre infracciones muy graves, graves y leves que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones».
El contenido del Reglamento Europeo no es, sin embargo, el que se refiere en la exposición de motivos del Anteproyecto.
El Reglamento Europeo sí tipifica, por más que lo haga en un sentido genérico, las conductas constitutivas de infracción: en efecto, los apartados 4, 5 y 6 de su artículo 83 arriba transcritos contienen un catálogo de infracciones por vulneración de los preceptos de la norma europea que en tales apartados se indican. El artículo 72 del Anteproyecto asume, no en vano, la existencia de dicho catálogo, cuando dispone que «constituyen infracciones los actos y conductas que supongan una vulneración del contenido de los apartados 4, 5 y 6 del Reglamento Europeo y de la presente ley orgánica».
Por otra parte, el Reglamento Europeo no distingue, al fijar la cuantía de las sanciones, entre infracciones muy graves, graves y leves, como dice la exposición de motivos del Anteproyecto. En realidad, la norma europea se limita a distinguir, en función del límite cuantitativo máximo de la multa a imponer, entre unas infracciones que pueden ser sancionadas «con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior» (apartado 4 del artículo 83), y otras infracciones que pueden ser sancionadas «con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior» (apartados 5 y 6 del artículo 83). De esta distinción se colige que, para el Derecho de la Unión Europea, las infracciones tipificadas en los apartados 5 y 6 del artículo 83 pueden llegar a revestir una misma y mayor gravedad que las contempladas en el apartado 4 del mismo artículo 83 del Reglamento Europeo. La norma europea se limita pues a establecer dos categorías de infracciones en razón de su gravedad.
El Anteproyecto contempla, en cambio, tres categorías de infracciones: el artículo 73 del Anteproyecto considera infracciones «muy graves» la «vulneración sustancial» de los preceptos mencionados en los apartados 5 y 6 del artículo 83 del Reglamento Europeo; el artículo 74 del Anteproyecto considera infracciones «graves» la «vulneración sustancial» de los preceptos mencionados en el apartado 4 del artículo 83 del Reglamento Europeo; y el artículo 75 considera infracciones «leves» las restantes «infracciones de carácter meramente formal» de los preceptos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento Europeo.
La tripartición realizada por el Anteproyecto resulta de la distinción entre «vulneraciones sustanciales» e «infracciones meramente formales» de los preceptos mencionados en el apartado 4, 5 y 6 del artículo 83 del Reglamento Europeo: si se trata de vulneraciones sustanciales, serán consideradas infracciones «muy graves», cuando los preceptos vulnerados sean los mencionados en los apartados 5 y 6, o «graves», cuando los preceptos vulnerados sean los mencionados en el apartado 4, mientras que si se trata de infracciones meramente formales de tales preceptos, serán consideradas en todo caso como «leves».
Esta distinción entre «vulneraciones sustanciales» e «infracciones meramente formales» y la consiguiente inclusión de una tercera categoría de «infracciones leves», distinta de las infracciones graves y muy graves, se ha realizado -como resulta del expediente y del propio tenor del Anteproyecto- a los solos efectos del establecimiento de los plazos de prescripción de las infracciones y no de la determinación de la cuantía de las multas administrativas, lo que exige, para su mejor comprensión, algunas aclaraciones adicionales.
Los plazos de prescripción de las infracciones no se encuentran previstos en el Reglamento Europeo y, por tanto, existe el entendimiento, tácito pero pacífico, de que los Estados miembros ostenta competencia para el establecimiento de tales plazos. La determinación de tales plazos debe estar en función, como es bien conocido, de la gravedad de la infracción. Pues bien, las infracciones previstas apartado 4 del artículo 83, de una parte, y en los apartados 5 y 6 del artículo 83 del Reglamento Europeo, de otra, tienen un diferente límite máximo -10.00.000 euros o el 2% del volumen de negocio en el primer caso, 20.000.000 euros o el 4% del volumen de negocio en el segundo- pero el mismo límite mínimo, que en ambos casos es de 1 euro. La existencia de tan amplios márgenes cuantitativos indica que las infracciones del artículo 83, sean las del apartado 4 sean las de los apartados 5 y 6, puede ser de muy diferente entidad y que, por tal razón, no pueden tener el mismo plazo de prescripción aquellas infracciones que, por su gravedad, se encuentren próximas al límite cuantitativo superior que aquellas otras que, por su levedad, estén más cerca del límite cuantitativo inferior. En tales circunstancias, la fijación de los plazos de prescripción no quedaría resuelta de forma satisfactoria aplicando a las infracciones de los preceptos mencionados en los apartados 5 y 6 del artículo 83 un plazo superior que a las infracciones de los preceptos mencionados en el apartado 4 del artículo 83, dado que las infracciones contempladas unos y otros preceptos, en caso de ser leves, exigirían un plazo de prescripción inferior.
Desde este punto de vista y con el único objeto de establecer su plazo de prescripción, el Anteproyecto ha distinguido entre «infracciones meramente formales» y «vulneraciones sustanciales» de tales preceptos, considerando a las primeras como «infracciones leves» con un plazo de prescripción de un año y a las segundas como «infracciones graves» y «muy graves» con unos plazos de prescripción de dos y tres años respectivamente. A juicio del Consejo de Estado, esta clasificación de las infracciones, en la medida en que se realiza a los solo efectos de determinar unos plazos de prescripción de las infracciones no previstos en el Reglamento Europeo, no puede entenderse contraria a lo dispuesto en la norma europea.
Esta clasificación no tiene, sin embargo, trascendencia en cuanto al importe de las multas. La determinación de la cuantía de las multas a imponer por la vulneración de los preceptos mencionados en los apartados 4, 5 y 6 del artículo 83 del Reglamento Europeo compete, de acuerdo con la norma europea, a las autoridades de control, de acuerdo con los criterios de graduación establecidos en el apartado 2 de este mismo precepto, entre los que se encuentra la «naturaleza» o «gravedad» de la infracción». Dentro de los límites cuantitativos establecidos por el Reglamento Europeo, las autoridades de control, atendiendo a la mayor o menor gravedad de la infracción, deben fijar el importe de las multas. Ciertamente, los márgenes con que cuentan las autoridades de control son amplísimos -de 1 euro a 10.000.000 euros por infracción de los preceptos mencionados en el apartado 4 del artículo 83 y de 1 euro a 20.000.000 euros por infracción de los preceptos mencionados en los apartados 5 y 6-, lo que confiere a tales autoridades un elevado grado de discrecionalidad, muy superior a los que suele ser habitual en países de nuestra tradición jurídica. Se trata, en todo caso, del modelo querido por el Reglamento Europeo, de ahí que la distinción entre infracciones leves, graves y muy graves contemplada en el Anteproyecto no pueda tener consecuencia en la determinación de la cuantía máxima de las infracciones leves, debiendo estarse en todo caso a la determinación de su importe que hagan las autoridades de control, conforme a las circunstancias del caso concreto, dentro de los límites marcados en aquel reglamento.
Por otra parte, debe repararse en que, dentro de cada una de las tres categorías de infracciones aludidas, los artículos 73, 74 y 75 del Anteproyecto realizan una descripción detallada de determinadas conductas típicas. Esta descripción se enmarca expresamente dentro de los tipos generales de infracción previstos en los apartados 4, 5 y 6 del artículo 83 del Reglamento Europeo y constituye una enumeración de conductas típicas meramente ejemplificativa -como resulta de la cláusula «y en particular las siguientes»-, al objeto de que los operadores jurídicos puedan llegar una mejor comprensión de la regulación y prever con mayor exactitud las eventuales consecuencias de su comportamiento. En tales circunstancias, la regulación proyectada debe entenderse comprendida dentro de las facultades de que gozan los legisladores nacionales para incorporar la norma europea al ordenamiento interno de forma comprensible para sus destinatarios.
Por último, y en razón de las consideraciones hasta ahora expuestas, es importante que la exposición de motivos del Anteproyecto sea corregida, evitando afirmar que el Reglamento Europeo no contiene una tipificación de conductas o que en el mismo se clasifican las infracciones en leves, graves y muy graves, y precisando en todo caso que dicha tripartición se ha introducido a los solos efectos de determinar la prescripción de las infracciones y que la descripción de las conductas típicas tiene como único objeto enumerar ejemplificativamente algunos de los actos sancionables que debe entenderse incluidos dentro de los tipos generales establecidos en la noma europea.
C) El artículo 76 del Anteproyecto regula la interrupción de los plazos de prescripción de las infracciones.
Este precepto consta de dos párrafos:
– En el primero de ellos se prevé que «interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de un año por causas no imputables al presunto infractor».
La interrupción de la prescripción por la iniciación, con conocimiento del interesado, del procedimiento sancionador se adecua – como dice la exposición de motivos del Anteproyecto- a la «exigencia constitucional del conocimiento de los hechos que se imputan a la persona».
Más dudoso resulta que el reinicio del cómputo del plazo de prescripción se condicione a que el procedimiento estuviera paralizado durante «más de un año» por causas no imputables al presunto infractor. El artículo 30.2 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, establece la regla general de que dicho reinicio debe producirse cuando el procedimiento se paralizase durante «más de un mes» por las referidas causas. El legislador puede ciertamente introducir especialidades por razón de la materia respecto de esa regla general, pero tienen que estar debidamente justificadas. En tal sentido, la memoria tendría que justificar la razón de que, en materia de protección de datos, resulte adecuado exigir un plazo de paralización de un año para la reanudación del cómputo del plazo de prescripción.
– En el segundo párrafo del artículo 76 del Anteproyecto se prevé que «cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento Europeo, interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas». Esta previsión se justifica en que en el mencionado precepto europeo regula un procedimiento coordinado para el supuesto de tratamientos transfronterizos en el que se verán implicadas varias autoridades de control, de las cuales una tendrá la condición de principal. En puridad, no se trata de una regla especial sino de una adaptación a dicho procedimiento del principio general de que la interrupción de la prescripción se produce con el conocimiento por el interesado de los hechos que se le imputan y, por tanto, responde a las antes referidas exigencias constitucionales en la materia.
D) El artículo 77 del Anteproyecto regula las sanciones y medidas correctivas a imponer por las autoridades de control por la comisión de infracciones en materia de protección de datos.
En realidad, el Reglamento Europeo establece ya tanto las sanciones -multas administrativas pecuniarias- en los apartados 4, 5 y 6 de su artículo 83, como los criterios de graduación de tales sanciones en el apartado 2 del mismo artículo 83. Respetando este punto de partida, el artículo 77 del Anteproyecto dispone en su apartado 1 que «las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento Europeo se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo».
El apartado 2 del artículo 77 del Anteproyecto introduce, sin embargo, unos criterios de graduación de las multas que no se encuentran expresamente previstos en el apartado 2 del artículo 83 del Reglamento Europeo. Esta previsión se ampara en «lo previsto en el artículo 83.2.k) del Reglamento Europeo», ya que este precepto europeo, después de enumerar una serie de criterios en sus letras a) a j) que las autoridades de control «tendrán debidamente en cuenta en cada caso individual», prevé en su letra k) la aplicación de «cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso».
Con fundamento en esta cláusula general de cierre, el departamento ministerial proponente ha incorporado, entre los criterios de graduación de las multas, otros no contemplados en la norma europea pero que -como explica la exposición de motivos- ya se contemplan actualmente en el artículo 45, apartados 4 y 5, de la LOPD y son conocidos por los operadores jurídicos.
La decisión de aplicar circunstancias atenuantes o agravantes distintas de las previstas en el apartado 2 del artículo 83 del Reglamento Europeo corresponde a las autoridades de control y no a la legislación de los Estados miembros. Por tanto, el legislador nacional no puede imponer a tales autoridades que apliquen unos criterios o circunstancias distintas o adicionales a los previstos en la norma europea. El Anteproyecto respeta este límite desde el momento en que el apartado 2 de su artículo 77 dispone que «también podrán tenerse en cuenta» los criterios que en el mismo se enuncian. No se trata pues de una imposición a las autoridades de control para que apliquen tales criterios.
E) El artículo 78 del Anteproyecto precisa, en conexión con la disposición adicional decimocuarta, el régimen sancionador aplicable a determinadas categorías de responsables o encargados del tratamiento de datos de carácter personal que ostentan la condición de autoridades y organismos públicos.
De acuerdo con el apartado 7 del artículo 83 del Reglamento Europeo, «cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro».
Al amparo de esta habilitación, el artículo 79 del Anteproyecto excluye la imposición de multas pecuniarias a los órganos constitucionales y de relevancia constitucional y las instituciones de las Comunidades Autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, Administraciones de las Comunidades Autónomas y entidades de la Administración Local, los organismos públicos y entidades de derecho público vinculadas o dependientes de las Administraciones Públicas, las autoridades administrativas independientes, el Banco de España, las corporaciones de derecho público «cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público», las fundaciones del sector público, las universidades públicas y los consorcios.
Pues bien, el artículo 78 del Anteproyecto prevé que la sanción aplicable a estos entes públicos, junto con las medidas correctivas de general aplicación, sea la de «apercibimiento» (apartado 2), sin perjuicio de que la autoridad de control pueda proponer la incoación de actuaciones disciplinarias contra personas concretas al servicio de tales entes (apartado 3). Existe, como puede apreciarse, una diferencia de trato con los sujetos privados, que pueden ser sancionados con multas de hasta 10.000.000 de euros (o el 2% de su volumen de negocio) y 20.000.000 de euros (o el 4% de su volumen de negocio). El apartado 7 del artículo 83 del Reglamento Europeo permite esta diferencia de trato, por lo que no cabe hacer cuestión de la misma. Pero la experiencia reciente enseña que los entes públicos incurren en ocasiones en infracciones de la normativa de protección de datos -así, por ejemplo, respecto de los datos tributarios o del censo electoral- cuya eficaz represión puede requerir sanciones de mayor envergadura que el mero apercibimiento al ente en cuestión, teniendo en cuenta la extraordinaria gravedad de tales infracciones y que en ocasiones pudiera existir una implicación global del ente -más allá de responsabilidades disciplinarias individuales- en la comisión de la infracción.
La diferencia de trato a efectos sancionadores alcanza un punto injustificado en el caso de las corporaciones de derecho público. El artículo 78.1 del Anteproyecto prevé la aplicación del régimen previsto en este artículo a las corporaciones de derecho público «cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público» (letra g). De este modo, una misma corporación de derecho público puede ser sancionada con multas pecuniarias de las elevadísimas cuantías antes indicadas, cuando la infracción no se produzca en el ejercicio de sus potestades de derecho público, o con una sanción de apercibimiento, cuando la infracción tenga lugar con ocasión del ejercicio de tales potestades. Para evitar tan llamativa diferencia, el régimen aplicable a tales corporaciones debiera ser uniforme, con independencia del carácter público o privado de las funciones que desempeñen en cada caso. Tal uniformidad se conseguiría incluyendo tales corporaciones en todo caso dentro del artículo 78 del Anteproyecto o excluyéndolas del mismo. Cualquiera de los términos de esta alternativa parece preferible a la solución propuesta por el Anteproyecto.
F) Por último, el artículo 79 del Anteproyecto regula la prescripción de las sanciones.
Como quiera que el Reglamento Europeo no contempla un plazo de prescripción de las infracciones y la fijación de éste es imprescindible por razones de seguridad jurídica, la competencia del legislador español para su establecimiento está fuera de duda. Con carácter general, el artículo 30.1 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, dispone que «las sanciones prescribirán según lo dispuesto en las leyes que las establezcan», añadiendo que «si éstas no fijan plazos de prescripción, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año». El Anteproyecto ha optado, sin embargo, por establecer en el apartado 1 de su artículo 79 unos plazos de prescripción especiales de un año, para las sanciones inferiores a 40.000 euros; de dos años, para las sanciones entre 40.001 y 300.000 euros; y de tres años, para las sanciones superiores a 300.000 euros. Esta previsión no contraría la normativa europea ni el ordenamiento interno.
El apartado 2 del artículo 79 del Anteproyecto dispone, por su parte, que el plazo de prescripción de las sanciones «comenzará a contarse desde el día siguiente a aquel en que se ejecutable la resolución por la que se impone la sanción o haya trascurrido el plazo para recurrirla», siguiendo el criterio previsto en el artículo 30.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Por último, el apartado 3 del artículo 79 del Anteproyecto prevé que el plazo de prescripción de las sanciones «se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante seis meses por causa no imputable al infractor». En este punto, la regulación proyectada sigue en parte lo dispuesto en el artículo 30.3 de la Ley 40/2015: se aparta de éste en el periodo de paralización exigido para la reanudación del plazo de prescripción de las sanciones, que en el mencionado precepto es de «un mes» y en el Anteproyecto de «seis meses». Nuevamente la memoria tendría que explicitar la razón que justifica la introducción de esta especialidad en materia de protección de datos.
Concluido el examen del Anteproyecto, entiende este Consejo que deben efectuarse unas valoraciones finales de carácter general, empezando por destacar el loable esfuerzo que se ha desplegado y sostenido a lo largo de su preparación, abriendo un amplio proceso de consulta pública previa, contando con la relevante aportación de órganos muy cualificados (Comisión General de Codificación) para elaborar la primera versión de la proyectada nueva Ley Orgánica y sometiendo esta última a una minuciosa documentación y a un proceso de audiencia pública y consideración por parte de todas las entidades y organismos afectados. El resultado de ese modo de proceder es un texto de buena factura y de elevado nivel técnico, cualidades que se ajustan a la entidad e importancia de la tarea normativa a acometer.
Junto a ello, destaca este Consejo la complejidad de la materia a la que se refiere el Anteproyecto, que ha tenido que partir de una previa regulación y cuerpo de criterios muy consolidados y se ha desenvuelto en un contexto muy diferente, como es el que brinda un texto tan ambicioso como el Reglamento general de protección de datos y su propósito de avanzar decididamente en contar con una regulación uniforme en todo el ámbito de la Unión Europea. En ese sentido, el presente dictamen ha prestado una especial atención al ámbito que ese Reglamento ha dejado abierto a ulteriores precisiones y aclaraciones por parte de los Derechos internos de los Estados miembros. Es de notar que las reservas y observaciones que esta consulta formula a algunos de los términos del Anteproyecto no pasan por alto el encomiable esfuerzo y atención que el texto consultado ha prestado a esa importante y delicada materia. Por último, son también de mencionar las exigencias que derivan en este campo de los principios de buena regulación que, en este caso, han de aplicarse a una materia en la que confluye la doble perspectiva de proteger un derecho fundamental de las personas y de no impedir o menoscabar la libre circulación de sus datos en el ámbito de la Unión Europea. Entre aquellos, cabe destacar el principio de seguridad jurídica, común al ordenamiento interno y al Derecho de la Unión Europea, y sólidamente asentado tanto en la jurisprudencia constitucional española como en la del Tribunal de Justicia de la Unión Europea. Su relevancia ha llevado en ocasiones al Anteproyecto a buscar soluciones orientadas a lograr un equilibrio -no siempre fácil- entre los objetivos uniformizadores del Reglamento Europeo y las exigencias básicas que el principio de seguridad jurídica impone en un ámbito tan complejo, sometido además a un régimen sancionador que es, a la vez, abierto e intenso; seguridad jurídica, por tanto, imprescindible tanto para los operadores jurídicos como para las personas físicas cuyos derechos se trata de proteger. Un sutil equilibrio que, más allá de las dudas que pueda suscitar en aspectos concretos, ha sido lúcidamente abordado por el Anteproyecto.
Legislación de Derecho Civil sobre Atributos de la personalidad
Entrada Principal: Atributos de la personalidad.
Lista de Legislación de Derecho Civil sobre Honor, Intimidad, Imagen y Protección de Datos
La legislación básica española en derecho civil sobre estas materias es la siguiente:
- Ley Orgánica de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (Ley Orgánica 1/1982)
- Ley Orgánica reguladora del derecho de rectificación (Ley Orgánica 2/1984)
- Reglamento de la Ley de protección de datos de carácter personal (Real Decreto 1720/2007)
- Reglamento de prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (Real Decreto 424/2005)
- Ley Orgánica reguladora de la base de datos policial sobre identificadores obtenidos a partir del ADN (Ley Orgánica 10/2007)
- Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (Ley 25/2007)
La protección de datos personales en la LT: Aportaciones Autonómicas
Lo más común es la referencia a que el acceso a información con datos personales se rige por la LT y por la
LOPD (Andalucía, art. 26).
La Ley catalana establece como uno de los límites “la intimidad y los demás derechos privados legítimos”,
y regula a continuación los datos especialmente protegidos en su art. 23, de forma parcialmente diferente
a lo establecido en el art. 15.1 LT, pues establece la misma regulación para todos ellos, sin distinguir entre
consentimiento expreso y por escrito o datos manifiestamente públicos, por una parte, y consentimiento
expreso o previsión legal, por otra; por el contrario exige siempre y como único supuesto el
consentimiento escrito del afectado que debe acompañar la solicitud (salvo en el caso de infracciones que
con lleven amonestación pública). En el siguiente artículo, el 24, regula la protección de datos personales
(no especialmente protegidos), de forma similar pero no coincidente con las bases estatales (establece
como criterios: a) El tiempo transcurrido. b) La finalidad del acceso, especialmente si tiene una finalidad
histórica, estadística o científica, y las garantías que se ofrezcan. c) El hecho de que se trate de datos
relativos a menores de edad. d) El hecho de que pueda afectar a la seguridad de las personas). Además,
dispone que las solicitudes de acceso a la información pública que se refieran solamente a datos
personales del solicitante deben resolverse de acuerdo con la regulación del derecho de acceso
establecido por la legislación de protección de datos de carácter personal, principio, como vimos,
descartado en la tramitación parlamentaria de la LT.
Autor: Emilio Guichot, Catedrático acreditado de Derecho administrativo (CC)
Recursos
Véase también
- Derecho Civil
- Legislación de Derecho Civil
- Derecho Civil II
- Derecho de la Persona