Contencioso-administrativo

Las cláusulas de flexibilidad en el Reglamento General de Protección de Datos y su impacto en la práctica

Tribuna
protección-datos-privacidad

Ver especial completo sobre la protección de datos

I. Introducción

Este artículo busca estudiar el impacto de la inclusión y uso por los Estados miembros de cláusulas de flexibilidad contenidas en el Reglamento General de Protección de Datos («RGPD»)(1). Estas cláusulas de flexibilidad le permiten un margen de maniobra a los Estados miembros con respecto al RGPD -EDL 2016/48900-, y por tanto una aplicación diferenciada de las normas europeas, permitiendo remisiones a la normativa nacional en ciertos aspectos e incluso incluyendo exenciones a la aplicación de ciertas disposiciones previstas en el RGPD.

El RGPD se ha presentado como una norma necesaria para la armonización de la legislación europea sobre la protección de datos personales, pero al incluir numerosas cláusulas de flexibilidad, esta armonización nunca podrá ser total. Además, el uso indiscriminado de unas cláusulas de flexibilidad con un lenguaje laxo podría desvirtuar la protección otorgada por el RGPD -EDL 2016/48900-.

Seguirá siendo importante que los destinatarios de esta norma (tanto empresas nacionales e internacionales, como sus asesores legales, como los poderes públicos) tengan en cuenta las diferentes normativas de los Estados miembros, y las monitoricen para estudiar el uso de las cláusulas de flexibilidad.

Sin embargo, el uso de estas cláusulas de flexibilidad no va necesariamente en detrimento de la protección de los datos personales de los ciudadanos europeos, o de la economía y las empresas, ya que suponen un compromiso que ha sido necesario para aprobar una norma necesaria en la actualidad global y digital. La economía moderna se basa cada vez más en el uso y transferencia de datos personales, y los individuos tienden a compartir más fácilmente estos datos si hay un clima de confianza mutua. El hecho de que haya unas normas sólidas que protejan los datos personales animará al público a compartir sus datos, lo que a su vez beneficiará a la economía.

Además, hay numerosos mecanismos que limitan el uso indiscriminado de las cláusulas de flexibilidad, como el propio RGPD, las autoridades nacionales, o los tribunales (tanto nacionales como europeos).

El artículo pretende dar una visión general de los antecedentes del RGPD y estudiar los tipos de cláusulas de flexibilidad incluidas en el RGPD. Para ello será necesario explicar la justificación de estas cláusulas y las consecuencias de su inclusión, para analizar, por último, los controles que se pueden ejercer para evitar un uso incorrecto de estas cláusulas.

II. ¿Por qué se incluyen cláusulas de flexibilidad y qué finalidad persiguen?

El RGPD -EDL 2016/48900- se aprobó en 2016 y entró en vigor en mayo de 2018 con el fin de suplir las carencias demostradas de la Directiva de protección de datos(2), entre otras la falta de armonización de la normativa nacional(3).

Con la adopción de este Reglamento se buscaba una mayor seguridad jurídica para las empresas, así como mejores estándares de protección de los datos personales. El objetivo final era eliminar obstáculos al comercio transfronterizo, facilitando la expansión de negocios a lo largo de la Unión Europea con una única norma que regulara la protección de datos.

Los reglamentos, al contrario que las directivas, no precisan de transposición nacional y son de aplicación directa. Por ello, en principio, no haría falta normativa nacional relativa a la protección de datos.

Sin embargo, el largo y complicado proceso de aprobación del RGPD(4) (que se presentó en 2012 y no se aprobó hasta cuatro años después) ha tenido como resultado que los Estados miembros obtuvieran numerosas concesiones en forma de cláusulas de flexibilidad. La inclusión de estas cláusulas fue posiblemente el peaje que hubo que pagar ante ordenamientos distintos con respecto a la protección de datos personales para conseguir un texto consensuado y vinculante. Estas cláusulas permiten a los Estados miembros bien desviarse de las provisiones del RGPD -EDL 2016/48900-, bien desarrollarlas más a nivel nacional. El RGPD requiere la adecuación del Derecho interno aun sin haber una remisión directa y expresa al mismo, por ejemplo, con respecto al plazo de prescripción de las infracciones establecidas en el RGPD.

Además, ha sido necesario incluir cláusulas de flexibilidad en el RGPD -EDL 2016/48900- ya que la Unión Europea no tiene competencias en todos los ámbitos que se ven afectados por la normativa de protección de datos. Hubo muchas discusiones durante el proceso legislativo ya que la protección de datos afecta a todos los sectores de la vida.

Por lo tanto, la introducción de cláusulas de flexibilidad en el RGPD -EDL 2016/48900- implica que ciertas categorías de normas nacionales se siguen aplicando tras la entrada en vigor del RGPD. Esto es especialmente cierto en áreas como la salud o el derecho laboral, donde el margen nacional es amplio.

En España, la normativa(5) ha sido modificada para adaptarse al RGPD -EDL 2016/48900-, pero no reproduce el contenido del RGPD. La nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales(6) («nueva LOPD») tiene como fin la armonización de la legislación española con el RGPD, así como regular aquellas disposiciones de la norma europea que no están expresamente recogidas o que necesitan una regulación más detallada a nivel nacional. Por ello, se necesita consultar los dos textos legales para asegurar la correcta aplicación del RGPD en España(7).

1. La necesidad de incluir cláusulas de flexibilidad en el RGPD

Todos los ordenamientos jurídicos (incluyendo el de la Unión Europea) tienen ciertos elementos de flexibilidad(8). La flexibilidad le aporta dinamismo a la normativa, lo que le permite evolucionar a medida que evoluciona la sociedad a la que pretende regular.

El propio proceso de la integración europea ha estado siempre apoyado en un diálogo constante entre dos intereses: aquellos de la Unión Europea, y aquellos de los Estados miembros. Hay un diálogo entre la unidad y la diversidad(9). Esto implica que alcanzar una uniformidad absoluta no es posible(10). Sin embargo, la existencia de cláusulas de flexibilidad no tiene por qué atentar contra el principio de unidad, sino que puede actuar como catalizador de una mayor integración a nivel europeo ya que se tienen en cuenta los diferentes objetivos existentes entre Estados miembros(11). Es decir, puede que las cláusulas de flexibilidad atenten contra la uniformidad, pero son beneficiosas para la unidad de la Unión Europea(12).

En el caso del RGPD -EDL 2016/48900-, fueron necesarias ciertas concesiones para la aprobación de la norma. Había muchos intereses en juego: públicos (incluyendo la seguridad nacional) y privados (tanto de los individuos como de las empresas, quienes buscaban maximizar el potencial de la economía digital). Por ello, no es sorprendente que el RGPD se considere como «la norma sobre la que se ha tratado de influir más en la historia de la Unión Europea»(13).

Teniendo en cuenta las circunstancias del momento, con una normativa no tan preparada para la economía digital (mientras que esta está cada vez más basada en los datos personales), transferencias de datos cada vez más frecuentes, y un mundo globalizado que pide simplificar el poder hacer negocios en diferentes países, era importante llegar a un consenso para poder aprobar una norma que se adaptara mejor a las circunstancias. Es más, incluso las grandes compañías tecnológicas estadounidenses, en especial Microsoft pero también Google o Apple, han respaldado el RGPD -EDL 2016/48900- ya que son conscientes de la necesidad de cumplir con su responsabilidad (principio de accountability en inglés, uno de los grandes principios del RGPD) si se pretende retener la confianza de los usuarios(14).

III. La introducción de cláusulas de flexibilidad en el RGPD: dónde y de qué tipo son

El RGPD contiene un total de cincuenta y seis remisiones a los ordenamientos nacionales. Las remisiones se refieren tanto al derecho público como al derecho privado y su analisis se abordará segun el margen de maniobra que otorgan a los Estados miembros.

1. Remisiones a derecho público y derecho privado

Las remisiones sobre aspectos del derecho público incluyen la identificación del personal competente para el ejercicio de los poderes de investigación (art.51 s RGPD -EDL 2016/48900-), las garantías para el ejercicio de estos poderes, o el otorgamiento de más poderes de investigación (considerando 129 y art.58 RGPD) la regulación del procedimiento administrativo en caso de vulneración del RGPD (art.80.2, 83.7, 84) o la articulación del régimen sancionador (considerandos 148, 149, 150, 151 y 152, así como los art.2.d, 23.1.d y 84). Con respecto al régimen sancionador, los Estados miembros han de establecer, por ejemplo, los plazos de prescripción de las infracciones previstas en el RGPD(15).

Estas remisiones sobre aspectos del derecho público tienen en cuenta las particularidades de los diversos ordenamientos jurídicos nacionales. Por ejemplo, los ordenamientos jurídicos de Dinamarca y Estonia no permiten las multas administrativas tal y como están contempladas en el RGPD, por lo que el Reglamento se remite a los tribunales penales daneses y a las autoridades de control en un juicio de faltas estonas.

Las remisiones sobre aspectos del derecho privado abarcan, entre otros, la edad mínima para otorgar el consentimiento para el tratamiento de los datos personales (art.8 -EDL 2016/48900-), el tratamiento de datos en el ámbito laboral (art.9.2 y 88) o la conciliación entre la libertad de expresión y la protección de datos (considerando 153 y art.85).

2. Tipos de remisiones (16)

En el RGPD -EDL 2016/48900- hay varios tipos de cláusulas de flexibilidad, que se pueden agrupar en cuatro categorías según el margen de maniobra que se otorga a los Estados miembros: (i) disposiciones que o bien parten de la normativa nacional, o bien permiten a la normativa nacional desarrollarse basándose en el RGPD; (ii) disposiciones que le permiten a la normativa nacional alejarse del RGPD; (iii) disposiciones que le permiten a la normativa nacional desarrollar más los principios del RGPD; y (iv) cláusulas de exclusión.

(A) Disposiciones que, o bien parten de la normativa nacional, o bien permiten a la normativa nacional desarrollarse basándose en el RGPD

Este tipo de cláusulas de flexibilidad son las que menor margen de maniobra conceden a los Estados miembros, y por tanto, las menos problemáticas.

Un ejemplo de la primera categoría (disposiciones que parten de la normativa nacional) es el art.6.1.c RGPD -EDL 2016/48900-, que incluye una de las condiciones para que el tratamiento de datos personales sea lícito: cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

El art.83 RGPD -EDL 2016/48900- es un ejemplo de la segunda categoría (disposiciones que permiten a la normativa nacional desarrollarse basándose en el RGPD). Este artículo establece las condiciones generales para imponer multas administrativas. Por lo tanto, los diferentes Estados miembros tendrán que regular cómo articular esta imposición de multas administrativas. El propio artículo establece que «cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro». Como se ha explicado ya (ver punto 3.1 supra) este artículo se matiza para el caso de Estonia y Dinamarca, Estados que no permiten multas administrativas tal y como están contempladas en el RGPD.

El Supervisor Europeo de Protección de Datos («SEPD») ha justificado la necesidad de estas provisiones por razones de respeto a los sistemas institucionales y constitucionales de los Estados miembros(17), tal y como se establece en el art.4.2 del Tratado de la Unión Europea -EDL 1992/17993-:(18) «La Unión respetará la igualdad de los Estados miembros ante los Tratados, así como su identidad nacional, inherente a las estructuras fundamentales políticas y constitucionales de éstos (...)».

Según se desprende del principio de la autonomía procesal nacional(19), la normativa nacional ha de darle efecto a las disposiciones del RGPD -EDL 2016/48900-(20). Son los diferentes Estados miembros los que han de determinar las reglas procesales aplicables para la protección de los derechos determinados en la normativa europea(21). Para ello, los Estados miembros deben de cumplir con los principios de equivalencia y efectividad, recogidos, entre otras, en la STJUE Francovich y otros c. República Italiana(22). El Tribunal de Justicia de la Unión Europea («TJUE») ha sido estricto en la interpretación de esta doble condición(23).

(B) Disposiciones que permiten a la normativa nacional desviarse del RGPD -EDL 2016/48900-

En la medida en que estas disposiciones incluyen un lenguaje vago (como referencias al «interés público») este tipo de disposiciones pueden ser algo más problemáticas en la práctica, y han sido criticadas por el SEPD, que aboga por una limitación de las circunstancias en las cuales el RGPD -EDL 2016/48900- pueda ver su aplicación restringida(24).

El RGPD contiene diversas disposiciones que permiten a la normativa nacional desviarse del RGPD, por ejemplo, en el art.23 RGPD -EDL 2016/48900-. Este artículo especifica las circunstancias en las cuales se puede limitar la aplicación de ciertas disposiciones del RGPD: por ejemplo, para salvaguardar la seguridad pública (art.23.1.c), u otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular intereses económicos o financieros (art.23.1.e.). La expresión «en particular» en el art.23.1.e. indica la naturaleza no exhaustiva de los intereses públicos contenidos en la lista de esta disposición. Esta previsión podría ser problemática si los Estados miembros la sobreutilizaran, haciendo una interpretación laxa de cuáles son estos objetivos importantes de interés público general(25). En cualquier caso, la norma que limite la aplicación de las disposiciones del RGPD cuenta con ciertos límites, como los principios de necesidad y proporcionalidad.

Algunos ejemplos de las disposiciones que pueden ver su aplicación limitada son las relativas a: (i) los derechos del interesado; (ii) los principios relativos al tratamiento de datos; y (iii) las normas sobre la comunicación de una violación de la seguridad de los datos personales al interesado.

Como contraposición a los límites contenidos en el art.23 -EDL 2016/48900-, el art.9.4 RGPD también contiene cláusulas de flexibilidad, pero no contiene controles ni particularidades de cara al sobreuso de esta cláusula. El artículo 9.4 RGPD permite a los Estados miembros mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

(C) Disposiciones que permiten a la normativa nacional desarrollar más los principios del RGPD -EDL 2016/48900-

Los problemas que se pueden plantear en la práctica sobre la aplicación de las cláusulas de flexibilidad previstas en este tipo de disposiciones aparecen referidos al ámbito de aplicación de las mismas, ya que el SEPD ha considerado que este ámbito no es suficientemente claro.

El SEPD expresó sus dudas sobre que estas exenciones y derogaciones fueran necesarias para todos los sectores del Capítulo IX del RGPD, que fundamentalmente se refieren a libertad de expresión y de información (art.85 -EDL 2016/48900-); documentos oficiales (art.86); número nacional de identificación (art.87); y al ámbito laboral (art.88).

Una diferente regulación respecto a la ponderación de los intereses en conflicto entre la protección de datos y libertad de expresión e información, por ejemplo, puede dar lugar a una aplicación de las normas muy diversa e incluso contradictoria en los Estados miembros. Por ello toman aún más importancia las directrices sobre protección de datos, y una jurisprudencia (fundamentalmente europea) que armonice y asegure la uniformidad en la aplicación del RGPD.

(D) Cláusulas de exclusión

Cuando una cláusula de flexibilidad se clasifica como una cláusula de exclusión, quiere decir que el RGPD -EDL 2016/48900- no se aplica a la materia a la que esta cláusula se refiere.

Las cláusulas de exclusión son las más problemáticas de cara a la consecución de los objetivos del RGPD y su aplicación uniforme. Esto es así ya que directamente la disposición en cuestión no es aplicable en algunas áreas, como actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea (como la seguridad nacional), actividades dentro del ámbito de la Política Exterior y de Seguridad Común, o el tratamiento por autoridades competentes en relación con infracciones penales (art.2 RGPD -EDL 2016/48900-)(26).

IV. Las consecuencias en la práctica de incluir cláusulas de flexibilidad en el RGPD

En la práctica, hay una consecuencia clara que se deriva de la inclusión de cláusulas de flexibilidad en el RGPD -EDL 2016/48900-: no se consigue una armonización completa de la normativa europea de protección de datos. De esta consecuencia se infieren a su vez otras: (i) hay un impacto en el mecanismo de ventanilla única (también conocido como one-stop shop); y (ii) continúa la necesidad de consultar la normativa nacional de cada Estado miembro y ver si hay restricciones específicas en la materia en cuestión.

Los Estados miembros han enfocado de manera distinta el uso de las cláusulas de flexibilidad:(27) mientras que algunos han tenido un enfoque más minimalista, implementando sólo aquellas cláusulas para las cuales era obligatorio desarrollar a nivel nacional (por ejemplo, Países Bajos, Austria o Letonia), otros Estados miembros han sido más expansivos a la hora de hacer uso de estas cláusulas (por ejemplo, Francia o España)(28).

Por ejemplo, en España la nueva LOPD -EDL 2018/128249- ha introducido cláusulas ciertamente polémicas con respecto a las actividades de los partidos políticos: (i) permite a los partidos políticos la recopilación de datos personales relativos a las opiniones políticas en el marco de sus actividades electorales; (ii) permite a los partidos políticos utilizar datos personales para envíos de propaganda electoral por medios tecnológicos; y (iii) estos envíos no tienen el carácter de comunicación comercial (las comunicaciones comerciales requieren el consentimiento previo).

Si bien la armonización a nivel europeo de la normativa de protección de datos era uno de los objetivos principales del RGPD -EDL 2016/48900-, estaba claro desde el primer momento que una armonización completa era prácticamente imposible de conseguir. Esto es así debido a que la normativa de protección de datos entra en la esfera de otras materias sobre las cuales la Unión Europea no tiene o tiene limitadas competencias (como por ejemplo defensa, seguridad nacional, penal y laboral). Por ello hay numerosas cláusulas de flexibilidad en estas materias.

Además, podría argumentarse que en ocasiones falta compromiso por parte de los Estados miembros con la Unión Europea, y que los Estados miembros mantienen instrumentos cuya utilidad podría discutirse (por ejemplo, el bloqueo en España).

1. Problemas con el sistema de ventanilla única

Mediante el sistema de ventanilla única las empresas multinacionales con establecimiento en la Unión Europea tendrán como interlocutora a una única autoridad nacional de control: aquella del establecimiento principal de la entidad. Se busca que haya una cooperación entre autoridades nacionales para el cumplimiento de este sistema.

Las cláusulas de flexibilidad suponen un desafío para aquellas empresas multinacionales que buscaban implementar un único estándar para sus productos a nivel de la Unión Europea. Las soluciones que encuentren para el cumplimiento del RGPD -EDL 2016/48900- tendrán que ser lo suficientemente flexibles como para permitir las excepciones recogidas en las distintas normativas nacionales(29).

2. Necesidad de seguir teniendo en cuenta la normativa nacional

Tanto las empresas como sus asesores tendrán que seguir consultando la normativa nacional, y estudiar si hay restricciones específicas en el ámbito en el que operan. Esto deriva en la necesidad de monitorizar los cambios normativos de cada Estado miembro.

Por ejemplo, empresas como Instagram o Facebook tendrán que seguir teniendo en cuenta las diversas disposiciones nacionales relativas a la edad mínima para poder otorgar un consentimiento válido para el tratamiento de los datos personales. Este tipo de redes sociales son ampliamente utilizadas por menores de edad, y las plataformas han de buscar una vía para poder determinar la edad del usuario, y establecer si el consentimiento que se otorga es válido o no. Como se ha expuesto anteriormente, el RGPD -EDL 2016/48900- establece esta edad en 16 años, con la posibilidad de que los Estados miembros la rebajen hasta los 13 años. Estados miembros como España o la República Checa han hecho uso de esta cláusula. España ha rebajado esta edad hasta los 14 años, y por tanto el consentimiento de un menor de 14 años español es válido. Otros Estados miembros como Alemania o Francia no han disminuido esta edad. Parece por tanto que en este aspecto, el RGPD no ha facilitado mucho la tarea a empresas multinacionales que buscan beneficiarse de un sistema de ventanilla única a la hora de determinar sus obligaciones normativas a nivel de la Unión Europea.

Otro aspecto en el que las empresas tendrán que seguir monitorizando la normativa nacional son las obligaciones relativas a la designación de un delegado de protección de datos (art.37-39 RGPD -EDL 2016/48900-). Las circunstancias en las que se activa la obligación de designar a un delegado de protección de datos varían entre Estados miembros, y son relativas a casos concretos.

V. Límites en las cláusulas de flexibilidad

a. El propio RGPD

El RGPD -EDL 2016/48900- incluye disposiciones que permiten ejercer un control sobre el uso de las cláusulas de flexibilidad contenidas en el texto, empleando como instrumentos su propio articulado y las remisiones a la Comisión Europea y al Comité Europeo de Protección de Datos («CEPD»). El CEPD es un organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la Unión Europea(30).

Varios artículos y considerandos también introducen límites al uso de las cláusulas de flexibilidad. Con respecto a la finalidad del tratamiento de los datos personales, el art.6.3 RGPD -EDL 2016/48900- establece las disposiciones específicas que puede tener la base jurídica sobre la que se basa esta finalidad para que no se desvirtúen los objetivos del RGPD. El considerando 10 del RGPD limita la aplicación de las cláusulas de flexibilidad en tanto que exige una aplicación coherente y homogénea de la normativa de protección de datos personales con el fin de garantizar un nivel uniforme y elevado de protección en la Unión Europea. El considerando 153 también establece ciertas directrices dirigidas a los Estados miembros a la hora de conciliar la libertad de expresión e información con el derecho a la protección de los datos personales. Este último considerando establece normas de competencia para el caso en que haya exenciones o excepciones que difieran de un Estado miembro a otro: debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento.

El RGPD determina que los Estados miembros han de notificarle a la Comisión Europea las disposiciones nacionales relativas a: las autoridades de protección de datos,(31) sanciones,(32) conciliación entre el derecho a la protección de datos y la libertad de expresión y de información,(33) tratamiento de datos en el ámbito laboral,(34) y obligaciones de secreto profesional o equivalentes.(35) Por otro lado, el RGPD también prevé que la Comisión Europea dicte actos delegados (art.92 RGPD -EDL 2016/48900-).

Además, el RGPD -EDL 2016/48900- le encarga al CEPD que garantice la coherencia en la aplicación del RGPD, por ejemplo, mediante directrices, recomendaciones y buenas prácticas. El CEPD ha elaborado mediante 22 opiniones unos criterios comunes para la elaboración de evaluaciones de impacto relativas a la protección de datos. Estas evaluaciones se emplean para identificar y mitigar riesgos en ciertos tratamientos de datos. Estos criterios comunes serán beneficiosos para la armonización con respecto a las evaluaciones de impacto, ya que asegurarán que los criterios seguidos en los diversos Estados miembros sean los mismos.

b. Mediante las autoridades nacionales y europea (CEPD) de protección de datos

El RGPD -EDL 2016/48900-, gracias al nuevo mecanismo de coherencia contenido en el artículo 63, otorga a las autoridades de control un papel fundamental en asegurar la aplicación consistente de las normas de protección de datos personales, en especial para casos transfronterizos.

En los casos transfronterizos, hay una autoridad nacional que lidera el caso, coopera con las demás autoridades para lograr un consenso, y emite una decisión, pudiéndose activar el mecanismo de coherencia si esta decisión afecta a varios Estados miembros. Mediante este mecanismo, la autoridad que lidera el caso, le pide al CEPD (compuesto por representantes tanto de las autoridades nacionales de protección de datos como del SEPD) que emita un dictamen. En caso de que este dictamen no se respete, o en caso de disputa entre autoridades nacionales, el CEPD ejerce como árbitro, emitiendo opiniones vinculantes.

En la actualidad, esta cooperación entre autoridades nacionales es intensa: hay unos 220 casos transfronterizos donde al menos dos autoridades nacionales están cooperando, según declaró Andrea Jelinek (presidenta del CEPD y directora de la autoridad austríaca de protección de datos) en un evento en Bruselas.(36)

Además, se ha discutido emplear el caso Schrems(37) con respecto a la independencia de las autoridades nacionales de supervisión para realizar una analogía entre las decisiones de la Comisión y las implementaciones nacionales de la normativa de protección de datos personales. El TJUE estableció en su sentencia Schrems que «incluso habiendo adoptado la Comisión una decisión (...), las autoridades nacionales de control (...) deben poder apreciar con toda independencia si la transferencia de esos datos cumple las exigencias establecidas».(38) Si se extendiera esta aplicación a implementaciones nacionales en lugar de decisiones de la Comisión, cabría defender que las autoridades nacionales de control podrían intervenir si consideran que el resultado es el posible tratamiento ilícito de datos personales.(39)

c. La Comisión Europea

El RGPD -EDL 2016/48900- recoge la necesidad de que la Comisión implemente tanto actos reglamentarios como directrices para la aplicación de numerosas disposiciones.(40)

Además, la Comisión Europea está preparando un estudio para evaluar el uso de este tipo de cláusulas, como indicó Vera Jourová (comisaria europea de Justicia, Consumidores e Igualdad) en la respuesta a una pregunta parlamentaria en julio de 2018.(41)

La Comisión Europea, como guardiana del cumplimiento de la normativa europea, ha estado en contacto con los Estados miembros durante los procesos legislativos nacionales, y no es descartable que pudiera iniciar procedimientos sancionadores contra algún Estado miembro si considerase que la normativa nacional es contraria al RGPD -EDL 2016/48900-.

d. Mediante los tribunales nacionales y europeos

Los tribunales (tanto nacionales como europeos) son indispensables a la hora de interpretar las normas y asegurar gracias a ello una interpretación consistente en toda la Unión Europea.

En esta línea, el TJUE ha establecido que cualquier medida que tenga como resultado la creación de un obstáculo al efecto directo del RGDP -EDL 2016/48900- o haga peligrar su aplicación simultánea y uniforme en la Unión Europea es contraria al derecho de la Unión.(42)

Además, y como se ha examinado en el apartado 6.bsupra -EDL 2016/48900-, el TJUE ha defendido la independencia de las autoridades nacionales de control, y ha contribuido a otorgarles un papel importante a la hora de cumplir los objetivos del RGPD.

VI. Conclusión

La necesidad de promulgar nueva normativa de protección de datos personales en la Unión Europea ha llevado a la inclusión de numerosas cláusulas de flexibilidad, que han sido tan criticadas como alabadas.

Estas cláusulas no permiten lograr completamente importantes objetivos del RGDP, como la armonización de la normativa nacional, ya que los Estados miembros han elegido implementar cláusulas de flexibilidad de manera diferente, y algunos han hecho un uso extensivo de las mismas (por ejemplo, Francia o España) mientras que otros han sido más parcos en su utilización (por ejemplo, Alemania). Esta falta de armonización en la normativa nacional implica la persistencia de una cierta inseguridad jurídica acerca del alcance de obligaciones y derechos. Por ello, seguirá siendo necesario para las empresas multinacionales tener en cuenta la normativa nacional a la hora de tomar decisiones. También será fundamental que se asegure una aplicación uniforme del RGDP mediante los medios propuestos en el apartado 5 supra.

Sin embargo, estas cláusulas permiten recoger particularidades del derecho nacional, y conciliar los intereses de los Estados miembros con los de la Unión Europea.

Ello, junto a los varios mecanismos de control de los que se dispone (el propio RGPD, las autoridades nacionales y europeas, la Comisión y los tribunales) permite afirmar que se velará por una aplicación lo más armonizada posible, y que permita fortalecer lazos de confianza, en los que se sustenta parte de la economía digital.

NOTAS:

1.- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -EDL 2016/48900- (Reglamento general de protección de datos). Diario Oficial de la Unión Europea L 119, de 4 de mayo de 2016, pp. 1-88.

2.- Directiva (UE) 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos –EDL 1995/16021-. Diario Oficial de la Unión Europea L 281 de 23 de noviembre de 1995, pp. 31-50.

3.- Otras carencias de esta Directiva –EDL 1995/16021- incluyen la falta de adaptación de esta norma al impacto de las nuevas tecnologías, a un aumento considerable de flujos transfronterizos de datos personales como consecuencia del funcionamiento del mercado interior, así como a transferencias masivas de datos personales a raíz de la globalización.

4.- Se considera que el RGPD -EDL 2016/48900- ha sido uno de los textos legislativos europeos sujeto a mayores presiones por parte de gobiernos, asociaciones y grupos de presión.

5.- LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Boletín Oficial del Estado nº 298, de 14 de diciembre de 1999 –EDL 1999/63731-, pp. 43088-43099.

6.- O 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -EDL 2018/128249-, Boletín Oficial del Estado nº 294, de 6 de diciembre de 2018, pp. 119788-119857. Esta norma entró en vigor al día siguiente de su publicación en el Boletín Oficial del Estado, es decir, el 7 de diciembre de 2018.

7.- C. Pauner, C., y J. Viguri, «The adaptation of the GDPR in Spain: the new data protection act (LOPD)», Blog Droit Européen, Junio 2018, pp. 2 y 7, disponible en: https://blogdroiteuropeen.files.wordpress.com/2018/06/spain-2.pdf (última visita 12/11/2018).

8.- O. Lynskey, The Foundations of EU Data Protection Law, Oxford, Oxford University Press, 2015, p.1.

9.- La evolución en el derecho de la Unión Europea se ha dado bajo la idea de unidad (tanto en la interpretación como en la aplicación) desde la STJUE Costa c. ENEL (Costa c. E.N.E.L., C-6/64, del 15 de julio de 1964, ECLI:EU:C:1964:66) –EDJ 1964/3212-, que es una «piedra angular» del ordenamiento jurídico de la Unión Europea (S. Marciali, La flexibilité du droit de l’Union Européenne. Bruylant, Bruxelles, 2007, préface, XV ) estableciendo el principio de primacía del derecho de la Unión Europea.

10.- Ibid. p. 38.

11.- Ibid

12.- MARCIALI, supra nota 20, préface, XX.

13.- Traducción libre de V. Hordern, ‘The Final GDPR Text and What It Will Mean for Health Data’, Hogan Lovells’ Chronicle of Data Protection, 20/01/2016, disponible en <http://www.hldataprotection.com/2016/01/articles/health-privacy-hipaa/the-final-gdpr-text-and-what-it-will-mean-for-health-data/ > (ultima visita 19/11/2018).

14.- J. Thornhill «There is a “third way” for Europe to navigate the digital world», Financial Times, 19/11/2018, disponible en https://www.ft.com/content/9da4156c-ebd4-11e8-89c8-d36339d835c0 (última visita 21/11/2018).

15.- Véase el RDL 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos –EDL 2018/113961-, Boletín Oficial del Estado nº 183, de 30 de julio de 2018, pp. 1-9.

16.- Esta clasificación se basa en la realizada por el Supervisor Europeo de Protección de Datos («SEPD») en su Dictamen de 7 de marzo de 2012 sobre el paquete legislativo de la protección de datos (pp. 9-10). La versión íntegra de dicho Dictamen está disponible en inglés, francés y alemán en la página web del SEPD: https://edps.europa.eu/sites/edp/files/publication/12-03-07_edps_reform_package_en.pdf.

17.- SEPD, Dictamen de 7 de marzo de 2012 sobre el paquete legislativo de la protección de datos, p.9.

18.- Versión consolidada del Tratado de la Unión Europea -EDL 1992/17993-. Diario Oficial nº C 326 de 26 de octubre de 2012, p.13-0390.

19.- Consagrado en sentencias del Tribunal de Justicia de la Unión Europea («STJUE») como International Fruit Company C-51-54/71 ECLI:EU:C:1971:128, paras. 3 y 4

20.- Lynskey, The Foundations of EU Data Protection Law, supra nota 8 p. 72.

21.- Ibid

22.- Estos dos principios se desarrollan en la STJUE Francovich y otros c. República Italiana, asuntos acumulados C-6/90 y C-9/90, ECLI:EU:C:1991:428 –EDJ 1991/12584-, para. 43: «Las condiciones, de fondo y de forma, establecidas por las diversas legislaciones nacionales (...) no pueden ser menos favorables que las referentes a reclamaciones semejantes de naturaleza interna (principio de equivalencia) y no pueden articularse de manera que hagan p´racticamente imposible o excesivamente difícil obtener la indemnización (principio de efectividad)».

23.- Véase por ejemplo la STJUE Marshall c. Southampton and South-West Hampshire Area Health Authority, C-271/91, ECLI:EU:C:1993:335 –EDJ 1993/14652-.

24.- SEPD, Dictamen de 7 de marzo de 2012 sobre el paquete legislativo de la protección de datos, p.11.

25.- El RGPD -EDL 2016/48900- incluye otros ejemplos de lo que puede constituir «interés público», pero siempre como listas abiertas, empleando expresiones como «en particular» o «como», por ejemplo, en el ámbito de la salud pública (art. 9.2.i.).

26.- Nótese que los proyectos legislativos de siete Estados miembros (Bulgaria, República Checa, Eslovenia, Estonia, Finlandia, Grecia y Portugal) no están aprobados a fecha de noviembre de 2018, por lo que su versión final podría alterar el resultado de las consideraciones de este apartado.

27.- Baker McKenzie, «GDPR National Legislation Survey 2018», Disponible en: https://www.bakermckenzie.com/-/media/minisites/tmt/files/gdpr_national_legislation_survey.pdf?la=en (última visita: 21/11/2018).

28.- DLA Piper, «EU General Data Protection Regulation - Key changes», disponible en: https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes/ (última visita: 19/11/2018).

29.- Para más información sobre el CEPD, visitar: https://edpb.europa.eu/about-edpb/about-edpb_es.

30.- Art.51.4 RGPD -EDL 2016/48900-.

31.- Art.84.2 RGPD -EDL 2016/48900-.

32.- Art.85.3 RGPD -EDL 2016/48900-.

33.- Art.88.3 RGPD -EDL 2016/48900-.

34.- Art.90.2 RGPD -EDL 2016/48900-.

35.- El evento en cuestión es «Women in Privacy», que tuvo lugar en Bruselas el 27 de noviembre de 2018.

36.- TJUE Maximilian Schrems c. Data Protection Commissioner, asunto C-362/14 de 6 de octubre de 2015, ECLI:EU:C:2015:650 –EDJ 2015/171779-. En este caso se dirimió si la autoridad irlandesa de protección de datos podía emplear sus poderes para investigar transferencias de datos personales a un responsable de tratamiento de datos mediante el mecanismo de Puerto Seguro (Safe Harbour) si la Comisión Europea había determinado que este mecanismo ofrecía un nivel adecuado de protección.

37.- TJUE Maximilian Schrems c. Data Protection Commissioner, asunto C-362/14 de 6 de octubre de 2015, ECLI:EU:C:2015:650, apartado 57 –EDJ 2015/171779-.

38.- Amberhawk Training, «How “flexible” can the UK actually be on EU data protection law?», The Register, 04/05/2016, disponible en: https://www.theregister.co.uk/2016/05/04/will_the_uks_approach_to_the_gdpr_be_harmonised/ (última visita: 19/11/2018).

39.- Lynskey, The Foundations of EU Data Protection Law, supra nota 8, p.71.

40.- La respuesta completa, dada el día 13 de julio de 2018, está disponible en inglés en el siguiente enlace: http://www.europarl.europa.eu/doceo/document/P-8-2018-003121-ASW_EN.pdf (última visita 12/11/2018).

41.- Véase en esta línea la STJUE Fratelli Zerbone Snc c. Amministrazione delle finanze dello Stato, asunto 94/77, del 31 de enero de 1978, ECLI:EU:C:1978:17.

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 1 de abril de 2019.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación