¿Qué hacer con la Ley Orgánica de Protección de Datos?, por María del Mar Pérez Velasco
Profesora asociada de Derecho Constitucional de la UB
El Reglamento europeo general de protección de datos (RGPD) va a plantear una singular novedad en nuestro sistema de fuentes ya que, por primera vez, la regulación del desarrollo y del ejercicio de un derecho fundamental, que la CE reserva a la ley orgánica, va a estar contenida en un Reglamento de la UE, que por su propia naturaleza, queda excluido del control de constitucionalidad.
Efectivamente, a partir del 25 de mayo de 2018, el RGPD será obligatorio y directamente aplicable en cada Estado miembro en todos sus elementos excluyendo con ello a la vigente Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Debe recordarse que de acuerdo con el artículo 288 del TFUE los reglamentos comunitarios tienen un alcance general, son obligatorios en todos sus elementos y directamente aplicables, es decir, no requieren de ninguna norma de incorporación al ordenamiento ni de publicación para surtir plenos efectos.
El RGPD cuyo título completo es Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( DOUE, L 119, del día 4 de mayo de 2016), se dictó en base al artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del TFUE, y fue aprobado tras un dilatado y complejo proceso de elaboración, que ya en sí mismo podría ser objeto de análisis específico. Introduce un nuevo modelo de protección de datos personales basado en el uso responsable de la información superando el recogido en la Directiva que se deroga consistente en la gestión de los datos. Conscientes de que vivimos en una “law-satured society”, como calificó Stefano Rodotà, el RGPD, en su relativa simplicidad, se configura como un nuevo estándar global en el mundo digital.
Con la aplicación del RGPD se producirá una exclusión de las vigentes normas internas que se solapen con su ámbito de regulación y con ello una indisponibilidad del espacio ocupado por el mismo. En realidad, el efecto de exclusión alcanzará incluso a las normas internas que en el futuro pudieran dictarse y que, de un modo u otro, invadan el espacio regulatorio ocupado por el Reglamento.
No obstante, este efecto de exclusión debe matizarse. En primer lugar, el RGPD delimita su ámbito de aplicación material a las actividades comprendidas en el ámbito de aplicación del derecho de la Unión. Se excluyen de modo expreso los tratamientos de datos relacionados con la política exterior y de seguridad común, los asociados con las actividades de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención. Estas exclusiones, a grandes rasgos, coincidirían con las actualmente previstas en la Directiva que se deroga y en la LOPD.
Se trata de ámbitos que, por otra parte, quedaran condicionados por las nuevas regulaciones europeas. Sirvan como ejemplo la Directiva (UE) 2016/680 de 27 de abril relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión marco 2008/977/JAI del Consejo, y la Directiva (UE) 2016/681 de la misma fecha, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave, que van conformando un nuevo espacio de regulación europeo.
En segundo lugar, el RGPD en los supuestos a que se alude en el considerando 10, faculta a los Estados miembros para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del mismo, así como también reconoce un margen de maniobra, para que los Estados especifiquen en sus normas sectoriales en ámbitos que precisan disposiciones más específicas. Por ello, el RGPD no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.
En cualquier caso, ese espacio que el RGPD deja a la regulación de los Estados no autoriza a equiparar el Reglamento a una directiva, por lo que queda abierto el problema de la adaptación del ordenamiento interno a lo establecido por este Reglamento. A estos efectos, el Ministerio de Justicia sometió a consulta pública, el pasado 7 de febrero de 2017, diversas opciones regulatorias, consistentes en “depurar el ordenamiento jurídico” eliminando la normativa interna que resulte incompatible con el Derecho europeo y, en su caso, aprobar aquellas normas complementarias que sean necesarias para hacer plenamente efectiva la aplicación del Reglamento. Por otro lado, mediante Orden de 2 de noviembre de 2016, se constituyó en el seno de la Sección tercera de la Comisión general de Codificación una ponencia para la adaptación de la normativa española al RGPD. Dicha ponencia debía entregar una propuesta el 1 de mayo de 2017, si bien, en el momento de redactar estas líneas no ha sido hecha pública.
En definitiva, la LOPD parece tener una fecha cierta de inaplicación y con ello se quebrará el monopolio de las Cortes Generales en materia de regulación de los derechos fundamentales, lo que a su vez puede condicionar también el sistema de amparo judicial y constitucional en relación al derecho fundamental a la protección de datos personales.
