¿Tendremos nueva Ley de protección de datos en mayo de 2018?
Justicia ha presentado un anteproyecto de ley orgánica que regulará aquellos aspectos en los que el legislador europeo deja margen La premura de plazos y el equilibrio de mayorías parlamentarias pueden dificultar su aprobación en plazo
Queda menos de un año para que comience a ser aplicable el Reglamento General de Protección de Datos, una norma publicada en 2016 dedicada a regular esta materia en todo el ámbito de la Unión.
A diferencia de las Directivas, los Reglamentos europeos son directamente aplicables en los diferentes estados miembros, sin necesidad de ningún trámite previo de adaptación de la normativa interna, porque, por su propia naturaleza una vez que entran en vigor pasan a ser normativa interna.
Se trata con ello de evitar la disparidad de regulaciones que había generado la anterior Directiva 95/46/CE que, al dejar mucho margen de discrecionalidad a los estados, había provocado una elevada inseguridad jurídica, pues lo que en un Estado podía tener un alcance en otro tenía otro diferente.
Naturalmente para alcanzar un grado común de consenso entre países de muy diversos sistemas jurídicos y hábitos de trabajo en la protección de datos, establecer un marco unificado y de general cumplimiento ha requerido un largo período de negociaciones.
Y no solo eso, dado que se trata de una norma que va a afectar de manera muy profunda a todas las empresas que manejen datos personales, la Unión ha previsto un curioso mecanismo previo a su plena eficacia: el Reglamento ya entró en vigor a los veinte días de ser publicado, es decir, el 25 de mayo de 2016. Sin embargo, no comenzará a ser aplicable hasta dos años después, el próximo 25 de mayo de 2018.
Esto quiere decir que la norma ya está irradiando sus efectos a todos los países miembros y a sus respectivos ordenamientos, pero no será exigible su cumplimiento efectivo hasta el año próximo.
Sin embargo, el hecho de que el Reglamento sea directamente aplicable no priva de todo margen de actuación a los estados. En la propia norma se prevé que sus normas puedan ser especificadas o restringidas por el derecho interno de los Estados " en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios".
En el caso español, se ha decidido que esta especificación tenga la forma de una nueva ley orgánica de protección de datos que sustituya a la actual, publicada en diciembre de 1999.
Para ello el Gobierno encargó a la Comisión Nacional de Codificación la elaboración de un nuevo texto en el que se ha venido trabajando durante los últimos meses por el grupo de expertos de su sección tercera, de Derecho Público, en colaboración con la Agencia Española de Protección de Datos.
El texto finalmente aprobado ha sido remitido al Ministerio de Justicia y presentado por este al Consejo de Ministros del pasado día 24 de junio. Ahora este anteproyecto deberá ser objeto de las consultas, dictámenes e informes que se estimen convenientes, incluida la consulta a los ciudadanos y a las entidades afectadas, así como el dictamen por el Consejo de Estado. Todo ello con la finalidad de que la nueva ley entre en vigor a la vez que comience a ser aplicable el Reglamento Europeo, en mayo de 2018.
La versión final del anteproyecto, cuya elaboración se ha llevado a cabo con gran discreción por parte del ministerio, consta de 78 artículos estructurados en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria y cuatro disposiciones finales. Actualmente se encuentra en fase de información pública.
Dado que se trata de una norma eminente técnica el gobierno, según manifestó recientemente por boca del Secretario General Técnico del Ministerio de Justicia, José Amérigo en una reciente jornada de la asociación de profesionales de la privacidad APEP, considera posible su tramitación en dichos plazos.
Sin embargo, el diputado socialista y anterior director de la Agencia Española de Protección de Datos, Artemi Rallo, no lo ve igual de claro y en su intervención en la misma jornada manifestó sus serias dudas al respecto, achacando al Gobierno haber desperdiciado muchos meses del pasado año que se podían haber aprovechado para adelantar la preparación del texto.
Habrá que seguir a la expectativa pues esta norma deberá precisar el alcance en nuestro país de conceptos tan relevantes como el consentimiento para el tratamiento de datos; la edad mínima a la que esta podrá prestarse válidamente; el tratamiento de datos de personas fallecidas; los requisitos para la certificación de los delegados de protección de datos; el régimen sancionador o el propio estatuto de la Agencia Española de Protección de Datos.