20 diciembre 2018
En vigor la nueva y esperada Ley Orgánica de Protección de Datos
Por José Luis Piñar Mañas, catedrático de Derecho Administrativo, abogado y delegado de Protección de Datos del Consejo General de la Abogacía Española
En el BOE de un día tan señalado y fácil de recordar como el 6 de diciembre de 2018, conmemoración de los 40 años del referéndum de la Constitución de 1978, que ha sido y es -ojalá no lo olvidemos- la indiscutible base de nuestra convivencia democrática, se ha publicado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Su disposición final decimosexta dispone que entra en vigor el día siguiente de su publicación, de modo que desde el pasado 7 de diciembre contamos con la ansiada nueva Ley Orgánica de Protección de Datos de Carácter Personal. Parecería que se rinde así un homenaje a uno de los derechos más relevantes de la sociedad contemporánea y se compensa el retraso en su aprobación, que debería haberse producido como muy tarde el pasado 25 de mayo del presente año de 2018, fecha a partir de la cual es plenamente aplicable en toda la Unión Europea el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD).
La verdad es que la nueva Ley podría haber estado dispuesta para su entrada en vigor coincidiendo con la aplicación del RGPD, pero la tramitación parlamentaria se demoró más de lo esperado sobre todo a raíz de la imprevista incorporación vía enmienda, en el Congreso, del nuevo Título X sobre garantía de los derechos digitales. Título sin duda importante pero que habría justificado la aprobación de una Ley ad hoc reguladora de los derechos en la sociedad digital, no de ciertos aspectos de su garantía (sobre los derechos digitales véase el libro colectivo dirigido por Tomás de la Quadra y José Luis Piñar, Sociedad Digital y Derecho, publicado por la Editorial del BOE, Madrid, 2018). De este modo además se habría dado el realce que merece a una la Ley que tuviese como único objeto la regulación del derecho fundamental a la Protección de Datos. Porque además la regulación de los derechos digitales debe tener sin duda una perspectiva global de modo que su garantía sea efectiva en un escenario trasnacional que no conoce de fronteras.
La nueva Ley consta de 97 artículos distribuidos en 10 Títulos. Además tiene 22 disposiciones adicionales, 6 transitorias, 1 derogatoria y 16 finales, alguna de ellas no exenta de polémica.
El objeto de la Ley era en principio adaptar nuestra legislación al RGPD y regular el derecho fundamental a la protección de datos. Durante su tramitación parlamentaria, sin embargo, se añadió como objeto el de garantizar los derechos digitales de los ciudadanos. Así se expresa en su artículo 1º. Además, y aunque no se recoja expresamente en dicho artículo, la nueva LOPDGDD tiene como objeto un cambio sustancial y sumamente polémico de la Ley Orgánica Electoral General, que en un nuevo artículo, el 58.bis, añadido por la disposición final tercera de la nueva Ley, permite de repente que los partidos políticos puedan recopilar datos personales relativos a las opiniones políticas de las personas. No es momento ahora de analizar tan asombrosa posibilidad (que será objeto de comentario en otra ocasión) pero sí debe llamarse la atención acerca de una reforma legislativa (de una Ley Orgánica del calado de la Electoral) que en mi opinión y sobre el papel puede llegar a poner en cuestión algunos principios del derecho a la protección de datos.
ADAPTAR AL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
Al margen de tan espinosa cuestión, y volviendo al objeto de la nueva Ley, lo esencial era adaptar el ordenamiento español al RGPD. En este sentido no debemos olvidar que el artículo 288 del Tratado de Funcionamiento de la Unión Europea señala que los Reglamentos europeos tienen alcance general, son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro. Es decir, en contra de lo que ocurre con las Directivas, no requieren ser transpuestos al ordenamiento interno de los Estados miembros. Esto implica que la nueva Ley Orgánica no es una ley que regule en su completud el derecho fundamental a la protección de datos, sino que adapta en lo necesario el derecho español al Reglamento. De modo que el citado derecho fundamental se regula hoy en parte por el Reglamento y en parte por la nueva Ley, que no debía en ningún caso reiterar lo ya regulado en la norma europea. Esto es lo que explica la aparente falta de regulación de ciertas materias en la LOPDGDD, que se debe al hecho de que la misma se encuentra regulada de forma más o menos detallada en el RGPD (por ejemplo definiciones, derechos de los titulares de los datos o procedimiento de cooperación y coherencia) y, por el contrario, la extensa regulación de otras, que requieren un mayor desarrollo (como los tratamientos que pueden presumirse amparados en el interés legítimo, los procedimientos tramitados por las autoridades de control, el régimen de la Agencia Española de Protección de Datos, los supuestos en que debería nombrarse delegado de protección de datos o el régimen de los datos referidos a personas fallecidas, entre otras); sin perjuicio de las numerosas remisiones que el RGPD establece a la regulación propia de los Estados miembros.
En consecuencia, con la Ley se pretende dejar claro que el derecho a la protección de datos se rige directamente por lo que establecen el RGPD y la nueva Ley. Sin perjuicio de los tratamientos de datos que quedan expresamente excluidos del ámbito de aplicación de la Ley y que se recogen en su artículo 2; y de la aplicación extensiva y novedosa a tratamientos de datos de personas fallecidas.
Tras definir su objeto y ámbito de aplicación la ley se refiere (Título II) a los principios del derecho a la protección de datos con, entre otras, la previsión de que los menores podrán dar válidamente su consentimiento para el tratamiento de sus datos cuando sean mayores de catorce años, o ciertas previsiones importantes en relación con las categorías especiales de datos o los datos de naturaleza penal. A continuación el Título III regula los derechos de las personas, de entre los que destaca el derecho a la información, que puede llevarse a cabo en base a la llamada información por capas. También se regulan ciertos aspectos del ejercicio de los derechos, y en particular del derecho de acceso, pero no incorpora regulaciones adicionales relativas al resto de los derechos. Mucho más detallado es el Título IV en relación con determinados tratamientos. Se regula en efecto el tratamiento de los llamados datos de contacto, los sistemas de información crediticia, los tratamientos relacionados con ciertas operaciones mercantiles (modificación estructural de sociedades o aportación o transmisión de negocio o rama de actividad empresarial), los tratamientos con fines de videovigilancia, los sistemas de exclusión publicitaria (“listas Robinson”) o los sistemas de información de denuncias internas. Todos ellos supuestos que cabe integrar dentro de los tratamientos que se presumen lícitos en base al interés legítimo del responsable o de terceros (art. 6.1.f del RGPD). El legislador ha optado por regular tales tratamientos al objeto de fijar el alcance y garantías de los mismos. Asimismo se regulan otros tratamientos a los que se refiere el RGPD con remisión a las legislaciones nacionales. Tal es el caso de los tratamientos de datos en el ámbito de la función estadística pública, el tratamiento para fines de archivo en interés público por parte de las Administraciones Públicas o el tratamiento de datos relativos a infracciones y sanciones administrativas. En relación con éstos últimos, por cierto, el artículo 27.3 de la Ley dispone que los tratamientos de datos referidos a infracciones y sanciones administrativas serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones. Debo decir que otros preceptos de la Ley regulan con detalle otros tratamientos concretos. Así la disposición adicional 17ª se ocupa de los tratamientos para fines de investigación en salud. La regulación, que fue incorporada en vía de enmienda en el Congreso, es extensa y no exenta de confusión, sin perjuicio de que sistemáticamente no tiene sentido que no se haya incluido en el articulado de la Ley.
RESPONSABLE Y ENCARGADO DEL TRATAMIENTO
El Título V es de los más importantes de la Ley. Con el enunciado de “responsable y encargado del tratamiento” regula con detalle el principio de responsabilidad proactiva y otras cuestiones de gran relevancia. Seguramente una de las más importantes novedades del RGPD es la opción por un modelo de responsabilidad proactiva, en los términos fijados en su artículo 24: teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En este sentido el artículo 28 de la LOPDGDD define los supuestos en que puede considerarse que se producen mayores riesgos para la protección de datos. También se regulan los supuestos de corresponsabilidad o el régimen del representante de los responsables o encargados no establecidos en la Unión Europea, estableciendo que las autoridades de control podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el RGPD. Previsión ésta que en mi opinión puede compadecerse mal con el régimen general de la representación.
En cuanto al Registro de Actividades del Tratamiento el artículo 31 dispone entre otras cuestiones que el mismo podrá organizarse en torno a conjuntos estructurados de datos, y que las entidades públicas han de hacer público un inventario de sus actividades de tratamiento, algo que se ha trasladado también a la Ley 19/2013, de transparencia, a la que se añade un nuevo artículo 6 bis. Cuestionable puede ser la regulación del bloqueo de los datos (art.32), dado que el mismo no está previsto en el RGPD. Incluso varias enmiendas proponían la supresión de su regulación.
El artículo 33 se refiere al encargado del tratamiento, en desarrollo del artículo 28 del RGPD. Gran parte de su contenido se recogía ya en el Reglamento de desarrollo de la LOPD de 1999, aprobado por Real Decreto 1720/2007. Totalmente nueva en relación con el régimen anterior es, sin embargo, la regulación en los artículos 34 y ss. del delegado de protección de datos. La Ley enumera los supuestos en que debe nombrarse un delegado (los colegios profesionales y sus consejos generales deben nombrarlo), indica que puede actuar a tiempo completo o parcial, que su cualificación puede acreditarse voluntariamente mediante mecanismos de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos (por ejemplo la obtención de un Master oficial universitario) o que deberá actuar con total independencia. Y regula en el artículo 37 algo que ya se preveía en el derogado Real Decreto Ley 5/2018, de medidas urgentes en materia de protección de datos: la intervención del delegado en caso de reclamaciones ante las autoridades de protección de datos.
Los códigos de conducta y los mecanismos de certificación son también instrumentos relevantes en el nuevo modelo de responsabilidad proactiva, lo que se pone de manifiesto en la regulación que de ambos contienen los artículos 38 y 39 de la Ley.
El Título VI se dedica a la regulación de las transferencias internacionales, en línea con los artículos 44 y ss. del RGPD y la doctrina del Tribunal de Justicia de la Unión Europea en su Sentencia Schrems. Esto es lo que justifica la disposición adicional quinta, que regula la autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos.
El Título VII es el más extenso de la Ley. Se dedica a las autoridades de protección de datos, tanto la Agencia Española como las autoridades autonómicas. No puedo detenerme ahora en la detallada regulación que la ley contiene pero sí es oportuno señalar que tal detalle se debe a que se trata de un tema apuntado pero no desarrollado en el RGPD, que deja a los Estados miembros la regulación de sus respectivas autoridades de control en función de sus peculiaridades organizativas y jurídicas. Será además necesario esperar a la aprobación del Estatuto de la Agencia Española y en su caso de las normas organizativas de cada Comunidad Autónoma.
Muy detallada es también la regulación de los procedimientos en caso de posible vulneración de la normativa de protección de datos que recoge el Título VIII. Y en este punto debe decirse que la regulación es sumamente confusa, pues confuso es el régimen del RGPD. La Ley se ve obligada a regular materias que seguramente podrían merecer una norma reglamentaria más que una Ley parcialmente orgánica. En cualquier caso es cierto que las especialidades respecto a la regulación del procedimiento administrativo común que prevé la Ley 39/2015 son muchas y que por ello la norma con rango de ley puede ser necesaria, teniendo en cuenta, además, que no pocos de los procedimientos que vaya a tramitar la Agencia Española de Protección de Datos (a la que se aplica el Título VIII) van a ser y ya lo están siendo, transfronterizos, en aplicación del procedimiento de cooperación y coherencia que regula el RGPD.
RÉGIMEN SANCIONADOR Y GARANTÍA DE LOS DERECHOS DIGITALES
En cuanto al Título IX, sobre régimen sancionador, lo primero que debe advertirse es que el RGPD puede plantear dudas en cuanto a su plena compatibilidad con el artículo 25 de la Constitución y en particular con el principio de tipificación legal de infracciones y sanciones. El derogado Real Decreto Ley 5/2018 regulaba tan sólo dos tipos de infracciones en función de lo que establece el artículo 83 del RGOPD. La LOPDGDD, sin embargo, cambia el planteamiento y se refiere a tres tipos de infracciones, pero lo hace de forma especialmente cauta y por ello los artículos 72, 73 y 74 son aparentemente tan peculiares. Pues cáigase en la cuenta de que no hay una propia y clara tipificación de infracciones calificándolas de muy graves, graves o leves, sino una regulación de la prescripción de las infracciones de la que deriva la posibilidad de, en función del plazo de la citada prescripción, poder considerar determinadas conductas como infracciones que no son, sino que se consideran, muy graves, graves o leves. Con ello no se pretende ni tipificar ni proceder a la triple calificación de las infracciones en función de su gravedad, sino hacer girar el régimen en torno a los plazos de prescripción. Y todo ello debido a que el Derecho de la Unión Europea no admite la tipificación y clasificación de las infracciones por cada estado miembro, pues con ello se rompería la unificación del régimen sancionador a nivel europeo. Pero sí deja a cada Estado fijar los plazos de prescripción, lo que ha permitido optar por el modelo que como digo diseñan los artículos 72 a 74. También llama la atención que no se determine la cuantía de las multas que corresponden a cada categoría de infracciones. Una vez más la presencia de una norma comunitaria con naturaleza de Reglamento, como es el RGPD, impediría llevar a cabo esa determinación, lo que nos pone de nuevo en el límite de la constitucionalidad del modelo. Teniendo en cuenta además el amplísimo abanico que supone poder imponer multas desde 0 a 20 millones de Euros, o incluso más. Lo que una vez más se quiere de algún modo concretar cuando menos al fijar los plazos de prescripción, no de las infracciones, sino de las sanciones (art. 78). Por otra parte, en base a la posibilidad que deriva del artículo 83.7 del Reglamento, el legislador, en línea con el modelo vigente en España en la LOPD de 1999, ha establecido que a las autoridades y organismos públicos no cabe imponerles multas económicas (art. 77 de la nueva Ley).
Por último el Título X regula la garantía de los derechos digitales. Como ya apunté al principio, se trata de unos preceptos (artículos 79 a 97) que fueron añadidos por vía de enmienda en el Congreso y que apenas tienen relación con el derecho a la protección de datos, y menos aún con el RGPD. No voy a entrar en su análisis, pero si he de señalar que, aun siendo muy bienvenida la intención de regular, aunque sea parcialmente, los derechos digitales de los ciudadanos, lo cierto es que la regulación desdibuja el contenido y objeto de lo que surgió como una Ley reguladora del derecho a la protección de datos con el objeto de adaptar nuestro ordenamiento al Reglamento Europeo.
En conclusión estamos ante una ley de enorme importancia para todas las personas y para quienes tratan datos personales, que además, casi de rebote, regula asimismo algo tan trascendental como la garantía de los derechos en la sociedad digital. Teniendo en cuenta, y acabo, que la ley por sí sola no es comprensible y que requiere del RGPD. Reglamento que, seguramente por primera vez, regula en gran medida el contenido esencial del derecho fundamental a la protección de datos, materia ésta reservada a Ley orgánica y que sin embargo hoy se recoge en un Reglamento Europeo que se complementa con la nueva Ley Orgánica 3/2018, de 5 de diciembre.