"No es de extrañar que Alphabet (Google) ya no
hurgue en nuestros correos electrónicos personales para mostrarnos anuncios
personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más
información (…) Es decir, en la medida en que el entorno normativo se vuelva
más problemático y/o el mercado publicitario se desacelere (…) la compañía
tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA),
tanto a ciudadanos como a gobiernos” (Evgeny
Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave,
2018 pp. 23-24)
Por Rafael Jiménez Asensio.- Blog La Mirada Institucional.- La derogación de la Directiva 95/46/CE y su sustitución
por el RGPD Reglamento UE 2016/679) no es una operación normativa menor. El cambio de instrumento regulador obedece a razones
de contexto y a la necesidad objetiva de regular esta materia en un Reglamento
(UE) que, como es sabido, es una disposición normativa europea que tiene un
alcance general, es obligatoria en todos sus elementos y directamente
aplicable.
No
cabe duda que, frente al fenómeno del acelerado proceso de
revolución tecnológica y de digitalización, así como consecuencia de sus
enormes impactos sobre los datos personales), la única solución viable es la regulación. El proceso de
mercantilización de los datos al cual contribuimos nosotros mismos “sin
quererlo” revelando enormes cantidades de información, implica que, tal como se
ha dicho, nuestras vidas se están datificando.
Toda esa actividad intrusiva sobre datos convenientemente
“cocinados” puede, sin duda, afectar (y de hecho afecta, aunque con
consecuencias aún imprevisibles) a los derechos fundamentales de las personas
físicas y ya no solo a la intimidad o a la privacidad, sino a la inmensa
mayoría de aquellos derechos. Es bien cierto, no obstante, que la Administración
Pública y las entidades de su sector público no tienen ni
de lejos el comportamiento mercantilista que puedan mostrar determinadas
grandes empresas tecnológicas, pero también lo es que pueden tratar (y de hecho tratan) gran cantidad
de datos personales (un volumen considerable) que, en determinados contextos,
pueden ser causa o provocar situaciones de riesgo evidente.
Asimismo, es también obvio que el sector público trata en no pocas ocasiones
“categorías especiales de datos” (datos sensibles), por
utilizar la terminología del Reglamento UE. Todo ello requiere por parte de los
responsables y encargados del tratamiento en el sector público especial
diligencia en tales procesos, pero en particular fomentar una cultura y
actividad preventiva tanto en el diseño de los procesos de tratamiento como por
defecto (esto es, de manera permanente, deberán analizar
en cada caso y circunstancia la necesidad de tales tratamientos), aplicando
todas las medidas técnicas y organizativas que estén a su alcance para
salvaguardar los derechos fundamentales de las personas físicas (pues no otro
es el objetivo central o la finalidad del RGPD).
Por consiguiente, la regulación que se ha llevado a cabo a través
del Reglamento (UE) 2016/679 es particularmente importante por lo que afecta al
sector público. Pero de inmediato cabe afirmar que, sin
perjuicio de que se aplique también a lo que el Reglamento denomina
“autoridades y organismos públicos”, no es menos cierto que el foco central de preocupación de esa
disposición normativa de la Unión Europea es el riesgo que para la protección
de los derechos fundamentales y, en especial, para la protección de datos de
las personas físicas, se pueda producir como consecuencia del tratamiento
masivo de datos, del cruce entre estos datos que tenga el objetivo de elaborar
“perfiles” o de llevar a cabo observaciones masivas derivadas de esos datos.
Y esto es algo que, también en principio, potencialmente, lo están llevando a
cabo las grandes empresas tecnológicas y todas aquellas empresas que de una u
otra forma participan en esos procesos de recogida, tratamiento y
comercialización futura de tales datos. El RGPD establece una redefinición de
la noción de dato personal y una noción de tratamiento amplia y exhaustiva
(artículo 4).
En vigor partir del viernes 25 de mayo
La entrada en vigor del Reglamento (UE) 2016/679, como es
sabido, se produjo a los veinte días de su publicación en el DOUE, pero su
plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).
En los Considerandos
9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado
el cambio de instrumento normativo. Entre los que caben citar
los siguientes:
-La
aplicación de la Directiva 95/46/CE ha sido fragmentaria y desigual,
mientras que los riesgos para la protección de datos, tal como se ha visto, son
cada vez mayores. Y lo serán conforme el tiempo avance.
-Se
quiere garantizar un nivel uniforme y elevado de protección de datos
personales, y que sea además equivalente en todos los Estados miembros.
La aplicación de las normas de protección de datos se pretende que sea
coherente y homogénea. La Directiva 95/46/CE no garantizaba eso y esa fue una
de las causas por las que se impulsó ese profundo cambio de instrumento
normativo.
-La
protección efectiva de los datos personales exige reforzar las obligaciones de
quienes los tratan, reconocer poderes equivalentes para
supervisar y garantizar su cumplimiento, así como que las infracciones se
castiguen con sanciones equivalentes. El endurecimiento del régimen sancionador es
uno de los presupuestos de apoyo de tal normativa, aunque se
modula en su aplicación a las “autoridades y organismos públicos” en función de
lo que determine la legislación de cada Estado miembro.
-Hay
base jurídica para esta regulación en el artículo 16. 2 del TFUE.
Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio
TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión
Europea.
-Era, por tanto, necesario regular esta materia por un
Reglamento que proporcionara
seguridad jurídica y transparencia.
El
Consejo de Estado, en su dictamen 757/2017, de 26 de octubre de 2017, sintetizó
en una serie de ideas-fuerza el recurso al instrumento normativo del Reglamento,
norma obligatoria en todos sus elementos y directamente aplicable en todos los
Estados miembros (artículo 288 TFUE), como medio necesario para llevar a cabo
esa reducción de las divergencias normativas que se habían producido con la
aplicación de la Directiva 95/46/CE.
Por
qué se ha elegido el instrumento del Reglamento UE frente a la Directiva para
regular la protección de datos: Ideas-fuerza del Dictamen 757/2017 del
Consejo de Estado:
-“Esa aplicabilidad directa de los Reglamentos exige
su entrada en vigor y su aplicación sin necesidad de ninguna medida de
incorporación al Derecho nacional”.
-“Los Estados miembros están obligados (…) a no obstaculizar el
efecto directo propio de los Reglamentos, siendo el ‘respeto escrupuloso de este deber’ una condición indispensable ‘para la aplicación
simultánea y uniforme’ de las reglas contenidas en los Reglamentos de la Unión en el conjunto de esta.“
-“El Reglamento 2016/679 pasa así a ser la norma
principal para la regulación de datos en la Unión Europea, directamente aplicable en todos los Estados
miembros sin necesidad de normas internas de trasposición.”
-“De
esta forma, un
derecho fundamental protegido por el artículo 18.4 de la Constitución española
va a ser directa y principalmente regulado en una norma europea, con un papel únicamente de desarrollo o
complemento de las normas nacionales.”
-“Ello
implica también un traslado parcial del canon constitucional de protección del
derecho fundamental que, en cuanto se refiere a actividades regidas por el
Derecho de la Unión, deberá regirse por la Carta de Derechos Fundamentales de
la Unión Europea y por la interpretación que realice el Tribunal de Justicia de
la Unión.”
-“La legislación nacional en materia de protección
de datos, por tanto, debe necesariamente modificarse para adaptarla a este
nuevo contexto normativo europeo antes de la entrada en vigor del
Reglamento, que se producirá el 25 de mayo de 2018”.
-“Esa adaptación implica, por motivos de seguridad jurídica, la necesaria derogación de las normas
nacionales que sean incompatibles con el nuevo Reglamento (y) llevar a cabo una
segunda tarea de depuración del ordenamiento nacional, del que deben igualmente eliminarse cuantas
disposiciones hayan devenido redundantes como consecuencia del efecto directo
de aquél, en la medida en que puedan poner en cuestión esa aplicación directa
del Reglamento”.
-“En
fin, la
adaptación de la legislación nacional puede también exigir, en algunos casos
puntuales, la adopción de nuevas disposiciones llamadas a completar o aclarar
la regulación europea. La
aplicabilidad directa del Reglamento no excluye, en efecto, esa labor puntual
de complemento de la normativa de los Estados miembros”.
-“Así
lo hace el Reglamento general de protección de datos. Pese a su intensa
vocación armonizadora, el Reglamento contiene el menos 56 remisiones de diverso
alcance al Derecho de los Estados miembros, permitiendo a estos adaptar la
regulación europea, en distintos casos, al contexto nacional, o fijar
exenciones, derogaciones o condiciones específicas para determinadas categorías
de tratamiento de datos”.
Por consiguiente, el operador jurídico o técnico
debe ser plenamente consciente de que, en este nuevo contexto normativo de
protección de datos personales y a diferencia del marco normativo anterior (en
el que la LOPD era la referencia determinante), deberá trabajar con dos herramientas normativas
“en paralelo”: una de carácter principal,
reforzada además por la primacía del Derecho de la Unión Europea frente al
Derecho de los Estados miembros, como es el Reglamento (UE) 2016/679, mientras
que la otra será la futura LOPD (actualmente en proceso de
tramitación parlamentaria) que
se limitará a “completar o aclarar” la regulación europea, así
como a establecer determinadas excepciones solo cuando esté habilitada
específicamente para ello por la normativa europea.
El resultado, como se dirá en su momento, es bien
obvio: el Reglamento (UE) 2016/679
se convierte en la norma de cabecera en materia de protección de datos y la
(futura) LOPD será una disposición normativa, por mucho que se
califique de “orgánica”, de
carácter complementario o de desarrollo. Es más, si la Ley
Orgánica está llamada a desarrollar los derechos fundamentales y libertades
públicas recogidos en la sección primera del capítulo segundo del título
primero de la Constitución, en este caso el desarrollo de este derecho
fundamental, con la base jurídica que le da el propio TFUE y la CDFUE, se ha
llevado a cabo por el propio Reglamento UE y no por la LOPD, cuyo proyecto
realiza un mero reenvío, al menos en lo que a las dimensiones del derecho a la
protección de datos respecta, a lo establecido en la disposición normativa
europea.
Ello no implica que la actualmente vigente LOPD (Ley
Orgánica 15/1999, de 30 de diciembre), así como su Reglamento de desarrollo
(Real Decreto 1720/2007, de 21 de diciembre), ya no sean normas vigentes, sino
que una parte relevante de su contenido ha quedado afectado por la nueva
regulación recogida en el RGPD y, por consiguiente, ya no resulta de
aplicación, al tener primacía aplicativa la normativa recogida en el Reglamento
(UE) 2016/679. Por ello urgía la aprobación de una nueva LOPD, aunque el
legislador español ha estado poco atento a esa exigencia y el 25 de mayo de
2018, que ya está literalmente encima, no tendrá adaptada la normativa interna
a las previsiones del nuevo marco normativo europeo. Y por ello también es
necesaria la adaptación del Reglamento que la desarrolla (Real Decreto
1720/2007), algo que cabe presumir tardará bastante más tiempo.
La pereza una vez más de un legislador falto de reflejos
tendrá consecuencias sobre la falta de seguridad jurídica y el incremento de la
incertidumbre ante los cambios que se avecinan. La indolencia ha hecho mella en
el funcionamiento de nuestras instituciones, que dormitan plácidamente como si
nada cambiara en su entorno. Ni siquiera se dan por aludidas con un plazo tan
largo como el que les dio el RGPD para la necesaria adecuación del marco
normativo de protección de datos. Mientras tanto, para los operadores del
sector público, responsables, funcionarios y resto de empleados públicos, se
abre un escenario no exento de dificultades aplicativas en algunos casos, que
habrá de sortearse como mejor se pueda. En todo caso, parece que en unos pocos
meses estará aprobada la nueva LOPD, lo que al menos dotará de una mayor
seguridad jurídica a determinadas actuaciones. Pero el trabajo que queda por
hacer es mucho, aunque todos nos estemos despertando del plácido sueño como
viene siendo habitual en el último minuto.
(*) El presente texto es un fragmento, con algunas
modificaciones para facilitar su lectura, del libro La aplicación del Reglamento (UE) de protección
de datos a la Administración Pública: especial referencia a los entes
locales, editado electrónicamente en abierto por el IVAP/HAEE
(Oñati, 2018), en su página Web: http://www.ivap.euskadi.eus/r61-veds20me/es/s20aWar/novedadesJSP/s20ainicio.do?CgaIdioma=es.
Puede consultarse, no obstante, el PDF del citado libro en el siguiente
enlace: Aplicacioìn Reglamento(UE) DIG(3)
No hay comentarios:
Publicar un comentario