Un adelanto urgente de la regulación sobre protección de datos
Algunas cuestiones necesitaban ser reguladas para hacer efectiva la protección de datos y en particular la actividad de supervisión y control
El pasado 25 de mayo, fecha desde la que es plenamente aplicable el nuevo Reglamento Europeo de Protección de Datos, debería haber estado aprobada la nueva Ley Orgánica de Protección de Datos.
El anterior Gobierno hizo sus deberes, pues en noviembre de 2017 presentó ante el Congreso de los Diputados el correspondiente Proyecto, pero su tramitación parlamentaria está demorándose más de lo deseado y he aquí que a estas alturas todavía no tenemos ley de adaptación al nuevo marco jurídico europeo. Que en aquélla fecha sólo Alemania, Austria y Reino Unido tuviesen aprobadas sus respectivas leyes no debe servir de consuelo, pues sin duda España estaba en condiciones de haber cumplido también los plazos previstos.
La situación sin embargo no debe generar más alarma de la necesaria, pues tratándose de un Reglamento Europeo es plenamente aplicable sin necesidad en principio de leyes nacionales para su aplicación directa. Sin embargo, algunas cuestiones necesitaban ser reguladas para hacer efectiva la protección de datos y en particular la actividad de supervisión y control, como venía poniendo de manifiesto la Agencia Española de Protección de Datos que, por cierto, con su Directora Mar España al frente, está llevando a cabo una labor ímproba y ejemplar para facilitar al máximo el tránsito al nuevo modelo de privacidad que el Reglamento trae consigo, basado en la responsabilidad proactiva de quienes manejan datos personales.
Para atajar la situación y en tanto no se aprueba la nueva Ley Orgánica, el Gobierno ha aprobado el Real Decreto Ley 5/2018, publicado en el BOE de ayer, 30 de julio (pinche aquí para acceder al texto). La norma no regula, pues no puede hacerlo, el contenido esencial del derecho a la protección de datos, pero sí cuestiones tan relevantes como la inspección en materia de protección de datos, el régimen sancionador y los procedimientos en caso de posible vulneración de la normativa sobre protección de datos. Además, atribuye a la Agencia Española de Protección de Datos la representación ante el importantísimo Comité Europeo de Protección de Datos, y regula la publicación de las resoluciones de la Agencia y el régimen transitorio tanto de los procedimientos como –muy importante- de la adecuación de los contratos de encargado del tratamiento. Materias todas ellas que en mi opinión justifican la aprobación de un Decreto Ley, pues de lo contrario podrían plantearse situaciones de difícil o imposible solución.
Poco más que dar cuenta de lo anterior es lo que cabe hacer en estas breves líneas, pero sí es muy importante subrayar que el cambio que el Reglamento trae consigo en el ámbito de los procedimientos y las sanciones es sencillamente capital. Los primeros pueden internacionalizarse en el ámbito de la Unión Europea (los procedimientos transfronterizos) y las segundas se incrementan notablemente (hasta 20 millones de euros). Por eso era imprescindible regular ya la actividad investigadora, la tramitación de los procedimientos de reclamación, la prescripción de las infracciones y sanciones, la colaboración con las autoridades de protección de datos del resto de los países de la Unión Europea y la determinación del alcance territorial (nacional o europeo) delos procedimientos.
En suma un Decreto Ley esencial para la plena aplicabilidad del nuevo marco europeo de protección de datos. Ahora sólo falta que la nueva Ley se apruebe cuanto antes. Ya no hay excusas para ello.
José Luis Piñar Mañas, Catedrático de Derecho Administrativo. Abogado