Con la nueva LOPD y a lo loco

– Información al lector – tiempo aproximado de lectura: 8 minutos

Desde su publicación el día 6 de diciembre en el BOE (fecha constitucionalmente emblemática) ya tenemos nuestra nueva LOPD – Ley orgánica de protección de datos – con el añadido del GDD – garantía de derechos digitales –

Esta normativa viene a complementar al ya conocido RGPD – Reglamento general de protección de datos – norma europea vigente y directamente aplicable desde el 25 de mayo de 2016 que marcaba como plazo de adaptación a lo en él dispuesto el 25 de mayo de 2018.

Antes de valorar dicha norma he de recordar el “dicho-maldición” de Julius Hermann von Kirchmann (uno de los más grandes críticos de la Ciencia del Derecho de todos los tiempos) que con gran acierto sentenció que:

“Tres palabras innovadoras del legislador, y bibliotecas enteras se convierten en papel mojado.”

Pues el legislador español no ha tenido a bien introducir “tres palabras” inspiradoras sino toda una completa Ley Orgánica con contenidos algunos no exigidos por el RGPD, lo que nos lleva a los juristas a un gran trabajo conciliador e interpretativo.

La lectura del nuevo texto legislativo me ha convencido que dicho instrumento normativo, quizás, dicho sea en estrictos términos doctrinales, que dicha norma ha sido realizada y publicada un poco a “lo loco” …

La primera pauta de convivencia y de aplicación entre ambas normas es la prevalencia del derecho europeo sobre el derecho nacional así como la eficacia directa del derecho de la Unión Europea sobre el Derecho español, por lo que la LOPD (según criterios de las Sentencias del Tribunal Constitucional 145/2012, de 2 de julio y 232/2015, de 5 de noviembre) ha de interpretarse conforme a lo establecido en el RGPD.

Esta compleja coordinación normativa que requería un plazo de comunicación a la Comisión Europea de las disposiciones legales adoptadas “a más tardar el 25 de mayo de 2018”

Procrastinando, ​ postergando …

Nuestro primera critica a la nueva LOPD (+ GDD) es su tardanza. Su publicación se ha realizado en una fecha constitucionalmente emblemática: el 6 de diciembre, pero ha sido in extremis antes de finalizar el año de entrada en vigor del RGPD y habiendo transcurrido con creces el plazo marcado por el propio RGPD (25 de mayo).

¿Se ha tardado porque se estaba coordinando de forma extensa y detallada su contenido con el RGPD? ¿O porque se estaba desarrollando las materias que el propio RGPD permitía a la normativa nacional?

Las respuestas a esas cuestiones os sorprenderán …

¿Era necesaria “otra LOPD” con la aplicación directa y obligatoria del RGPD?

La filosofía de la regulación mediante la técnica de Reglamento UE es eliminar la disparidad de criterios en una normativa común, evitando la estructura legislativa de Directiva con desarrollo normativo por parte de cada Estado miembro. El propio RGPD en su considerando 9 reconoce que “la protección de los datos en el territorio de la Unión” se ha estado aplicando “de manera fragmentada” y que se han dado “diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal

y que “Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE”  y por ello en su considerando 10 habla de “garantizar un nivel uniforme y elevado de protección de las personas físicas” y conseguir que “el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros.”  y que así “Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea”.

El RGPD permite “En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento.” y también en relación a posibles normas sectoriales específicas reconoce también “un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»).

Y por ello …

¿Qué permite el RGPD que cada Estado miembro desarrolle en su Derecho interno?

El considerando 8 del RGPD de forma genérica establece que:

“En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento.”

Y ¿cuáles son las cuestiones que permite el RGPD ampliar por cada estado miembro? A saber:

  • Artículo 51.4: autoridades de control.
  • Artículo 84.2: sanciones aplicables a las posibles infracciones.
  • Articulo 85.3: lo relativo al tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria para establecer determinadas exenciones o excepciones (entre otras cuestiones, en relación a los principios y derechos del interesado aplicables) para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.
  • Artículo 88.3: en relación al tratamiento de datos en el ámbito laboral para garantizar la protección de los derechos y libertades de los interesados.
  • Artículo 90.1: para establecer normas específicas para fijar los poderes de las autoridades de control cuando exista una obligación de secreto profesional u otras obligaciones de secreto equivalentes cuando sea necesario y proporcionado para conciliar el derecho a la protección de los datos personales con la obligación de secreto.

Estableciendo cada uno de estos apartados que “Cada Estado miembro notificará a la Comisión las normas adoptadas” de conformidad con cada apartado “a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas.”

Estas remisiones son muy específicas concretas y muy importantes. ¿Se realizan en la nueva LOPD?

Si, pero solamente en relación a las dos primeras:

  • Para la regulación de la Agencia Española de Protección de Datos se dicta la Disposición transitoria primera. Estatuto de la agencia española de protección de datos.  (con carácter de ley ordinaria)

“El Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, continuará vigente en lo que no se oponga a lo establecido en el Título VIII de esta ley orgánica.”

 

  • Para la regulación de las infracciones: Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos (también con carácter de ley ordinaria) y lo relativo a las sanciones donde solamente se especifica los plazos de prescripción y criterios de aplicación de las mismas: Artículo 76. Sanciones y medidas correctivas y Artículo 78. Prescripción de las sanciones (ambos con carácter de ley orgánica).

Aparte de esas menciones, nada se ha establecido o regulado en las materias que el RGPD remite para su desarrollo al Derecho Nacional, algunas de vital importancia y trascendencia.

Qué hace, en su mayor parte, la nueva LOPD

No considerando necesario desarrollar lo que expresamente permitía el RGPD, la nueva LOPD se dedica a una constante remisión al RGPD

con un interés aclaratorio (parcial) y de un (incipiente) desarrollo: “Conforme al artículo xxxx del Reglamento (UE) 2016/679 …”A los efectos previstos en el artículo xxxx del Reglamento (UE) 2016/679 …” “… al que se refiere el artículo xxxx del Reglamento (UE) 2016/679” “De conformidad con lo dispuesto en el artículo xxxx del Reglamento (UE) 2016/679” etc … “… en los términos previstos en el artículo xxx del Reglamento (UE) 2016/679” Más de doscientas remisiones al RGPD …

No obstante, si esa es la intención de legislador ¿se desarrollan y aclaran conceptos nuevos para la tradición española en protección de datos (no para la europea) como por empleo el interés legítimo como base legitimadora del tratamiento de datos personales? Tampoco.

En cambio coquetea con exceder de lo establecido por la norma europea, que se habrá de tener por no aplicable si la contradice, añadiendo incluso elementos de confusión como por ejemplo el artículo 19 en relación con el tratamiento de datos de empresarios individuales y de contacto (antes excluidos de manto protector de la normativa de protección de datos).

¿Y en que se ha dedicado el tiempo de desarrollo parlamentario de una ley de tan vital importancia? En algo tampoco pedido ni solicitado por la normativa europea y que quizás no encaja totalmente en esta área: los derechos digitales de los particulares.

Un añadido no solicitado y a destiempo

No obstante, y sin pedírselo nadie y existiendo dudas de si era el momento y la ubicación oportuna, se añaden los derechos digitales.

Y surge la duda: hablar de derechos digitales en la misma normativa de protección de datos ¿no puede dar lugar también a otra confusión? ¿es la privacidad y la protección de datos solamente lo que sean de contenido digital? Los tratamientos manuales o en papel seguirán existiendo (cada vez de forma más residual) pero el tratamiento automatizado no es el único.

¿Por qué se añaden en este momento y en esta ley orgánica?

La LOPD vuelve a ser un producto tipical spanish

Por todo lo expuesto considero que la LOPDGDD a todas luces realizada a prisa y corriendo, en contra de lo que requiere la transcendencia de una ley orgánica en una materia tan importante, con remisiones constantes al RGPD, y con añadidos no pedidos por la normativa “habilitante” cuya ubicación puede descolocar un poco, es por lo que, como siempre, vamos de nuevo a lo loco

¿Se ha preparado y aprobado una Ley Orgánica tan importante como la relativa a la protección de datos personales demasiado rápido y sin la suficiente profundidad en temas troncales y añadiendo aspectos quizás no muy bien ubicados y no relevantes en el área de la privacidad?

¿Quizás vamos con la nueva LOPD “a lo loco”?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *