Què fer amb la Llei Orgànica de Protecció de Dades?, per María del Mar Pérez Velasco

(English version).

El Reglament europeu general de protecció de dades (RGPD) va a plantejar una singular novetat en el nostre sistema de fonts ja que, per primera vegada, la regulació del desenvolupament i de l’exercici d’un dret fonamental, que la CE reserva a la llei orgànica, va a estar continguda en un Reglament de la UE, que per la seva pròpia naturalesa, queda exclòs del control de constitucionalitat.

Efectivament, a partir del 25 de maig de 2018, el RGPD serà obligatori i directament aplicable en cada Estat membre en tots els seus elements excloent amb això a la vigent Llei Orgànica 15/1999, de 13 de desembre de Protecció de Dades (LOPD) i el seu Reglament de desenvolupament, aprovat pel Reial decret 1720/2007, de 21 de desembre. Ha de recordar-se que d’acord amb l’article 288 del TFUE els reglaments comunitaris tenen un abast general, són obligatoris en tots els seus elements i directament aplicables, és a dir, no requereixen de cap norma d’incorporació a l’ordenament ni de publicació per assortir plens efectes.

El RGPD el títol complet del qual és Reglament (UE) 2016/679, del Parlament Europeu i del Consell de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE ( DOUE, L 119, del dia 4 de maig de 2016), es va dictar sobre la base de l’article 8, apartat 1, de la Carta dels Drets Fonamentals de la Unió Europea i l’article 16, apartat 1, del TFUE, i va ser aprovat després d’un dilatat i complex procés d’elaboració, que ja en si mateix podria ser objecte d’anàlisi específica. Introdueix un nou model de protecció de dades personals basat en l’ús responsable de la informació superant el recollit en la Directiva que es deroga consistent en la gestió de les dades. Conscients que vivim en una “law-satured society”, com va qualificar Stefano Rodotà, el RGPD, en la seva relativa simplicitat, es configura com un nou estàndard global al món digital.

Amb l’aplicació del RGPD es produirà una exclusió de les vigents normes internes que es solapen amb el seu àmbit de regulació i amb això una indisponibilidad de l’espai ocupat pel mateix. En realitat, l’efecte d’exclusió aconseguirà fins i tot a les normes internes que en el futur poguessin dictar-se i que, d’una manera o un altre, envaeixin l’espai regulatori ocupat pel Reglament.

No obstant això, aquest efecte d’exclusió ha de matisar-se. En primer lloc, el RGPD delimita el seu àmbit d’aplicació material a les activitats compreses en l’àmbit d’aplicació del dret de la Unió. S’exclouen de manera expressa els tractaments de dades relacionades amb la política exterior i de seguretat comuna, els associats amb les activitats de prevenció, recerca, detecció o enjudiciament d’infraccions penals, o d’execució de sancions penals, inclosa la de protecció enfront d’amenaces a la seguretat pública i la seva prevenció. Aquestes exclusions, a grans trets, coincidirien amb les actualment previstes en la Directiva que es deroga i en la LOPD.

Es tracta d’àmbits que, d’altra banda, quedessin condicionats per les noves regulacions europees. Serveixin com a exemple la Directiva (UE) 2016/680 de 27 d’abril relativa a la protecció de les persones físiques pel que fa al tractament de dades personals per part de les autoritats competents per a finalitats de prevenció, recerca, detecció o enjudiciament d’infraccions penals o d’execució de sancions penals, i a la lliure circulació d’aquestes dades i per la qual es deroga la Decisió marco 2008/977/JAI del Consell, i la Directiva (UE) 2016/681 de la mateixa data, relativa a la utilització de dades del registre de noms dels passatgers (PNR) per a la prevenció, detecció, recerca i enjudiciament dels delictes de terrorisme i de la delinqüència greu, que van conformant un nou espai de regulació europeu.

En segon lloc, el RGPD en els supòsits al fet que s’al·ludeix en el considerant 10, faculta als Estats membres per mantenir o adoptar disposicions nacionals a fi d’especificar en major grau l’aplicació de les normes del mateix, així com també reconeix un marge de maniobra, perquè els Estats especifiquin en les seves normes sectorials en àmbits que precisen disposicions més específiques. Per això, el RGPD no exclou el Dret dels Estats membres que determina les circumstàncies relatives a situacions específiques de tractament, inclosa la indicació detallada de les condicions en les quals el tractament de dades personals és lícit.

En qualsevol cas, aquest espai que el RGPD deixa a la regulació dels Estats no autoritza a equiparar el Reglament a una directiva, per la qual cosa queda obert el problema de l’adaptació de l’ordenament intern a l’establert per aquest Reglament. A aquests efectes, el Ministeri de Justícia va sotmetre a consulta pública, el passat 7 de febrer de 2017, diverses opcions regulatòries, consistents a “depurar l’ordenament jurídic” eliminant la normativa interna que resulti incompatible amb el Dret europeu i, si escau, aprovar aquelles normes complementàries que siguin necessàries per fer plenament efectiva l’aplicació del Reglament. D’altra banda, mitjançant Ordre de 2 de novembre de 2016, es va constituir en el si de la Secció tercera de la Comissió general de Codificació una ponència per a l’adaptació de la normativa espanyola al RGPD. Aquesta ponència havia de lliurar una proposta l’1 de maig de 2017, si bé, al moment de redactar aquestes línies no ha estat feta pública.

En definitiva, la LOPD sembla tenir una data certa de inaplicación i amb això es trencarà el monopoli de les Corts Generals en matèria de regulació dels drets fonamentals, la qual cosa al seu torn pot condicionar també el sistema d’empara judicial i constitucional en relació al dret fonamental a la protecció de dades personals.

Tags: