Protección de datos de carácter personal en el ámbito de las Administraciones Públicas: un escenario complejo y confuso

(Sobre el Real Decreto ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos)

Por F. Javier Fuertes López

1. La regulación de la protección de datos: un juego con normas difíciles de comprender

Cuando todavía no nos hemos recuperado de la entrada en vigor del Reglamento Europeo de Protección de Datos –Reglamento (UE) 2016/679, de 27 de abril– nos encontramos con la publicación en el Boletín Oficial del Estado de 30 de julio de 2018 del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Pero para abordar cualquier cuestión relativa a la regulación en materia de protección de datos de carácter personal es preciso partir de un hecho incontestable, como es que se trata de un Reglamento de la Unión Europea, esto es, que a diferencia de lo que sucedía con la normativa anterior (la Directiva 95/46/CE, del 24 de octubre), no hay necesidad de transposición al ordenamiento nacional puesto que los Reglamentos son normas directamente aplicables, norma que entró en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea (publicación que tuvo lugar el 4 de mayo de 2016) y que es aplicable desde del 25 de mayo de 2018, tal y como dispone el artículo 99 del propio Reglamento.

Y, a partir de ahí, todo lo que ha sucedido no es sino fruto de la improvisación y el desatino legislativo que nos ha llevado a la situación actual, en la que junto al Real Decreto-ley nos encontramos con la tramitación de un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (121/000013, Proyecto LOPD/2018) que fue presentado por el Gobierno el 14/11/2017, esto es, año y medio después de su entrada en vigor.

El Proyecto sigue su tramitación parlamentario que, es posible, concluya en algún momento (o no) y, mientras, el Gobierno aprueba un Real Decreto-ley con entrada en vigor el 31 de julio de 2018.

2.      Objetivos y contenido del Real Decreto-ley 5/2018, de 27 de julio,

2.1.       Objetivos

La situación que se produce a partir del 25 de mayo con la entrada en vigor efectiva de las previsiones del Reglamento europeo se percibe por todos los afectados como un escenario difícil de explicar.

Tenemos una norma interna (con rango de Ley Orgánica) con sus principios, derechos, estructuras y (sobre todo) un régimen sancionador que no se corresponde con el establecido por el ordenamiento de la Unión Europea (con, y conviene no olvidarlo), rango de Reglamento (norma, y hay que insistir sobre ello) directamente aplicable.

Esta situación lleva al legislador desde una sensación de incertidumbre (en cuanto al régimen a aplicar y la compatibilidad entre ambos sistemas) a un sentimiento de zozobra que, finalmente, a abocado en pánico.

Y en ese estado se ha pretendido hacer, de la noche a la mañana (en un fin de semana estival) lo que no se ha hecho el año y medio. En otras palabras, que son las de la propia introducción que precede al Real Decreto-ley, “el objeto de este real decreto-ley se ciñe a la adecuación de nuestro ordenamiento al reglamento europeo en aquellos aspectos concretos que, sin rango orgánico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable”.

2.2.       Contenido

Si observamos el Real Decreto-ley 5/2018 desde su disposición derogatoria, podemos comprobar que, de forma expresa, se derogan de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD/1999), “el artículo 40” y “los artículos 43 a 49, con excepción del 46), esto es, los preceptos relativos a:

1)    Potestad de inspección

2)    El Título relativo a infracciones y sanciones

Con la salvedad (artículo 46) del precepto relativo a las “infracciones de las Administraciones Públicas”.

De esta forma en el Real Decreto-ley (catorce artículos, dos adicionales y dos transitorias) se regulan (por comparación al Proyecto de LOPD/2018) las siguientes cuestiones:

1)    Inspección en materia de protección de datos (artículos 1 y 2 del Real Decreto que se vienen a corresponder con el artículos 51 y 53 del Proyecto LOPD/2018)

2)    Sujetos responsables (artículo 3 del Real Decreto que se vienen a corresponder con los artículo 70 del Proyecto LOPD/2018)

3)    Infracciones (artículo 4 del Real Decreto que se vienen a corresponder con el artículo 71 del Proyecto LOPD/2018)

4)    Prescripción de infracciones (artículo 5 del Real Decreto que se vienen a corresponder con el artículo 75 del Proyecto LOPD/2018)

5)    Prescripción de sanciones (artículo 5 del Real Decreto que se vienen a corresponder con el artículo 78 del Proyecto LOPD/2018)

6)    Régimen jurídico de los procedimientos de la Agencia Española de Protección de datos (artículo 7 del Real Decreto que se vienen a corresponder con el artículo 63 del Proyecto LOPD/2018)

7)    Iniciación y duración de los procedimientos (artículo 8 del Real Decreto que no se corresponde con previsión alguna del Proyecto LOPD/2018)

8)    Admisión a trámite de reclamaciones (artículo 9 del Real Decreto que se vienen a corresponder con el artículo 65 del Proyecto LOPD/2018)

9)    Determinación del alcance territorial de las actuaciones de la Agencia Española de Protección de Datos (artículo 10 del Real Decreto que se vienen a corresponder con el artículo 66 del Proyecto LOPD/2018)

10) Actuaciones previas de investigación (artículo 11 del Real Decreto que se vienen a corresponder con el artículo 67 del Proyecto LOPD/2018)

11) Inicio del procedimiento por la Agencia Española de Protección de Datos para el ejercicio de la potestad sancionadora (artículo 7 del Real Decreto que se vienen a corresponder con un desarrollo necesario el artículo 67 del Proyecto LOPD/2018)

12) Medidas provisionales (artículo 13 del Real Decreto que se vienen a corresponder con el artículo 68 del Proyecto LOPD/2018)

13) Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes (que no se corresponde con previsiones anteriores ni del Proyecto)

14) La disposiciones adicionales se vienen a corresponder con los artículos 44 (condición de representante de la Agencia Española de Protección de datos) y 50 (publicación de las resoluciones de la Agencia)

15) Y las transitorias con el propio régimen transitorio y contratos de encargados de tratamiento (disposiciones transitorias Tercera y Quinta del Proyecto LOPD/2018)

3.      Resultado

Pues lo cierto es que, aunque sí puede quedar más o menos claro lo que se perseguía (como acabamos de reseñar), cuestión distinta es que se haya conseguido ese objetivo.

Y es que, de forma sintética, se pueden destacar algunas cuestiones que presentan más luces que sombras:

1)    El problema es el procedimiento: Por eso se ha tenido que introducir un largo precepto (el artículo 8) sobre la forma de iniciación del procedimiento y duración que no se encontraba entre las previsiones del proyecto LOPD/2018

2)    Se elude la calificación de las infracciones que, aunque está en el Reglamento, no se corresponde con nuestro sistema interno, con las repercusiones para el sistema de sanciones y de prescripción (de unas y otras)

3)    Se establece el carácter subsidiario de las normas generales sobre los procedimientos administrativos, que, por una parte, no se encuentra previsto en la disposición adicional Primera de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común, y por otra ignora la Ley 40/2015, de 1 de octubre, del Régimen Jurídico de las Administraciones Públicas.

4)    Tampoco se transcriben las infracciones del Reglamento (como hace el Proyecto de Ley), técnica normativa que, además de equivocada, infringe la normativa de la Unión Europea, pues no se trata de una transposición (de una Directiva) sino de una Reglamento, sin que el ordenamiento interno de un Estado miembro pueda pretender consolidar un régimen cuya regulación corresponde a la Unión Europea.

5)    Se deja vigente el artículo 46 de la LOPD/1999 que, como se ha señalado, regula las infracciones de las Administraciones públicas… pero es que ese precepto establece que “cuando las infracciones a que se refiere el artículo 44  fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera”, cuando se ha derogado el artículo 44 de la propia LOPD/1999 al que se hace referencia, y lo que es peor, cuando el Reglamento Europeo no excluye el tratamiento de datos personales por el hecho de que sea efectuado por una Administración pública.

Recuérdese, en este sentido, que el artículo 4.2 del Reglamento Europeo de Protección de datos define como “tratamiento” a “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

6)    Se establece un régimen transitorio (disposición transitoria Primera del Real Decreto-ley 5/2018) que contempla que “los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado”, lo que no deja muy claro que ha de suceder con los procedimientos iniciados a partir del 25 de mayo de 2018, momento en el que el reglamento europeo ya ha desplegado todo sus efectos

Pudiera parecer que el legislador se encuentra ciertamente despistado y que comete errores de bulto (tanto de forma como de fondo).

En primer lugar porque no ha hecho su trabajo. Dos años es tiempo suficiente si se empieza el primer día. Dejarlo todo para el final, o para después, tiene estas consecuencias.

En segundo lugar porque hay un error de concepción que impide ver que el sistema viene construido desde Europa, sin que el Reglamento Europeo (por su propia naturaleza) necesite, para producir sus efectos, de ninguna santificación nacional adicional. Es, sobre esa base, que el Estado tendrá que desarrollar las normas de aplicación (procedimiento) sin que pueda realizar una reconstrucción del sistema aprobado por la Unión Europea. Se puede completar, se puede (y se debe) instrumentalizar mediante las correspondientes normas de desarrollo que colaboren con el Reglamento Europeo (normas reglamentarias nacionales). No parece que sea preciso complicar más el asunto.

En tercero porque parece querer conservar un régimen diverso para las Administraciones Públicas al mantener la vigencia del artículo 46 de la LOPD/1999 que no parece resulte compatible con lo previsto por el  Reglamento Europeo.

En definitiva, un horizonte muy nublado por la confusión creada y que debiera, al menos, hacernos pensar sobre la necesidad de regular, en tiempo y forma, como valor intrínseco a la seguridad jurídica.

• < Previo
• Siguiente >