El Anteproyecto de la LOPD

El Gobierno aprobó hace unas semanas un Anteproyecto de Ley Orgánica de protección de datos de carácter, que derogará la actual Ley Orgánica 15/1999, más conocida como LOPD, que fue fruto de la transposición nacional de la Directiva 95/46/CE de protección de datos (tras un trámite de consulta pública, el pasado 7 de febrero, sin indicaciones sobre la orientación de la iniciativa legislativa). Tal y como se explica en la exposición de motivos del anteproyecto, la razón principal de este nuevo proyecto normativo es la aprobación del Reglamento (UE) 2016/679, General de Protección de Datos (además de la Carta de los Derechos Fundamentales de la UE que reconoce el derecho a la protección de datos con valor de tratado con el Tratado de Lisboa).

Sin embargo, de las lecciones básicas de derecho comunitario, todo jurista recuerda que los reglamentos son de aplicación directa en los estados miembros y que son las directivas las que requieren una transposición nacional (salvo cuando los estados miembros no realizan esta tarea a tiempo o regulan de forma contraria a la directiva). Así que, una vez aprobado el Reglamento (UE) 2016/679, ¿por qué necesitamos una nueva ley (y una ley orgánica) en España de 'implementación' de este reglamento?

El anteproyecto lo justifica de esta manera: “El reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa (…) y (…) permite que sus normas sean especificadas o restringidas por el derecho de los estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. En concreto, los estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del reglamento europeo. En definitiva, este es el marco al que los estados miembros han de adaptar su normativa interna, partiendo de la existencia de un régimen uniforme que deberá también ser aplicado de forma uniforme en toda la Unión, aunque preservando, en lo que no contradiga ese régimen, sus principios y su tradición jurídica” (énfasis nuestro).

Los estados deben estar facultados para mantener o adoptar disposiciones a fin de especificar la aplicación de las normas del reglamento europeo

Se ha dicho muchas veces que el Reglamento (UE) 2016/679 tiene “alma de directiva”, en la medida en que deja a los estados miembros cierta libertad a la hora de regular determinados aspectos, como es el caso de los datos de las infracciones penales, los datos de salud (incluidos datos genéticos) y los datos biométricos; en el ámbito del derecho del trabajo, etc. En otras ocasiones, es necesario que exista bien una norma adicional —de la UE o nacional— para aplicar de forma completa algunas disposiciones del Reglamento (UE) 2016/679, como es el caso de algunas de las causas de legitimación del tratamiento, como son los deberes impuestos por una ley, los tratamientos basados en interés público o la investigación científica, por poner algunos ejemplos, que requieren que las leyes nacionales correspondientes cumplan una serie de parámetros. Sin embargo, haría falta revisar en España (como se hizo en Alemania) aquellas normas que deberían ser modificadas para ser conformes al Reglamento (UE) 2016/679 (art. 6.3 y 9.2 en sus distintos apartados) y poder ser utilizadas con plena seguridad jurídica a los efectos de justificar un tratamiento de datos personales.

Al menos en lo que se refiere a los datos sensibles, parece que se quiere hacer en los próximos dos años (D. A. 9ª del Anteproyecto). Por otra parte, se han querido mantener figuras 'españolas' derivadas de la LOPD o de interpretaciones controvertidas de la autoridad de control, como el 'bloqueo' (que no se compadece bien con el concepto de “limitaciones al tratamiento” del Reglamento UE), la necesidad de consentimiento de los ficheros de solvencia positivos, la ausencia de sanción económica al sector público por las infracciones en materia de protección de datos, el hecho de que una organización tenga que guardar los datos “por cuenta” de su prestador de servicios cuando es este último el que está sujeto a una obligación legal de conservación o el deber de chequear los listados Robinson (i.e., los que no quieren recibir publicidad) que hayan podido crear las entidades del sector privado que quieran en cada campaña publicitaria a las tarifas que estas decidan o unas actuaciones previas de un año que permiten una amplia investigación regulatoria sin capacidad de defensa por los investigados. Finalmente, se ha ampliado el derecho a la portabilidad sin ceñirse al Reglamento (UE) 2016/679 y no se han respetado las sentencias del Tribunal Constitucional 290/2000, de 30 de noviembre de 2000 (estableciendo la falta de competencias de las autoridades de control autonómicas en materia de transferencias internacionales) y del Tribunal Supremo de 15 de julio de 2010 (que declaró nulo que la mera reclamación de una deuda por el moroso pueda impedir la declaración de la deuda a un fichero de morosos, en relación con el Real Decreto 1720/2007).

El Tribunal Supremo declaró nulo que la mera reclamación de una deuda por el moroso pueda impedir la declaración de la deuda a un fichero

Por el contrario, se ha considerado en general muy acertado que no se regulen en una ley orgánica los distintos procedimientos administrativos, sino en otro tipo de disposición normativa de menor rango, así como el reconocimiento de claros casos de interés legítimo, como es el caso de los datos profesionales, las cesiones de datos en casos de fusiones y adquisiciones o los ficheros de solvencia negativos. Además, en aras de evitar una mayor fragmentación del mercado interior, es positivo también que el anteproyecto haya eliminado el requisito 'español' relativo a la falta de anonimato de los canales de 'whistle-blowing' o que haya fijado en 13 años la edad en que los menores dejaráan de necesitar el consentimiento parental en ciertas actividades.

Finalmente, debemos destacar algunos aspectos de la regulación 'patria' de aquellos que van a ayudar a las organizaciones a crear y mantener una cultura de protección de datos: el/la 'data protection officer', que ahora se impone en más supuestos que los previstos en el Reglamento UE (incluyendo las entidades financieras, de seguros, del juego, centros docentes, entidades que desarrollen publicidad y prospección comercial… e incluso a todos los prestadores de servicios de la información). Además, la voz de los profesionales de la privacidad será oída en el Consejo Consultivo de la AEPD, lo que se aplaude desde APEP, como asociación representativa de los intereses de estos profesionales (pero no que su nombramiento lo realice el Ministerio de Justicia). Por el contrario, llama la atención que su nombramiento no pueda implicar un aumento del gasto en el sector público: parece una contradicción 'in terminis' si se pretende que la Administración pública tenga DPO con las competencias exigidas y les facilite el soporte requerido para sus funciones.

Por supuesto, es siempre más fácil criticar cuando uno no es el autor original de un texto. Por ello, con humildad también, tenemos que agradecer que el Gobierno haya hecho el enorme esfuerzo en tan poco tiempo de producir un texto con el que nuestros parlamentarios pueden trabajar de forma constructiva, para eliminar lo que es mera repetición del reglamento y, en algunas ocasiones, contrario al mismo o a nuestra jurisprudencia, y mejorar la redacción de algunas de sus disposiciones que han llevado a confusión o desaciertos, y así contribuir a cumplir el propósito que el anteproyecto se ha marcado: coherencia, armonización y seguridad jurídica. Las discusiones que empezarán en breve en su tramitación parlamentaria no deben estar guiadas por posicionamientos ideológicos maniqueos sino por el rigor técnico y el reconocimiento de que el derecho a la protección de datos debe incorporarse a nuestras formas de hacer en el sector público y privado y de forma equilibrada, como merecen todos los derechos y libertades fundamentales.

Cecilia Álvarez Rigaudias es presidenta de APEP, miembro español de CEPDO (Confederación de Organizaciones Europeas de Protección de Datos), miembro del Leadership Council de la Conferencia de Sedona (W-6) y Vicepresidenta de IPPC-Europa.