Este mes de febrero han empezado, por fin, los trámites parlamentarios para aprobar el Proyecto de Ley Orgánica de Protección de Datos propuesto por el Ministerio de Justicia. A menos de 4 meses para la entrada en vigor del Reglamento General de Protección de Datos (RGPD) — fijada en el 25 de mayo de 2018 — el Ministerio quiere que esta ley sirva para adaptar la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) a las exigencias previstas en el texto europeo y para zanjar cualquier duda entorno a la aplicabilidad del mismo en nuestro país. La única duda que ahora nos queda es:¿lograremos aprobar la ley a tiempo?
La necesidad de un texto nacional
Desde que se aprobara la versión definitiva del RGPD en abril de 2014, muchos han sido los movimientos institucionales destinados a aclarar las dudas de aplicabilidad del Reglamento. Desde el ya inoperativo Grupo de Trabajo del Artículo 29 hasta el nuevo European Data Protection Supervisor (EDPS) pasando por las autoridades de protección de datos nacionales como la Agencia Española de Protección de Datos, han sido varias las publicaciones presentadas para facilitar la interpretación y la aplicación de la norma europea. Sin embargo, había siempre un punto que quedaba en el aire: cómo iban a aplicar las leyes nacionales las exigencias contempladas en el Reglamento europeo.
Mientras en abril de 2017 Alemania promulgaba una ley para modificar su actual Bundesdatenschutzgesetz [Ley federal de Protección de Datos] o, en noviembre de ese mismo año, Italia aprobaba la Ley n. 167/2017 para reformar el Codice in materia di protezione dei dati personali [Código sobre la Protección de Datos Personales], países como Francia y España se habían quedado atrás en la modificación de sus leyes de protección de datos y hacían un poco más compleja la adaptación del RGPD. Ello provocaba que, mientras esta pieza del engranaje no se pusiera en marcha, las más de cincuentena referencias al derecho nacional dispuestas a lo largo del RGPD no pudiesen ser interpretadas correctamente en cada Estado Miembro.
Hablamos de referencias del RGPD como podrían ser la edad mínima para otorgar el consentimiento, los poderes de la autoridad nacional de control, el tratamiento de datos en el ámbito laboral, la prestación de servicios médicos o las sanciones a determinadas conductas. Todos ellos aspectos que la normativa europea exigía que fuesen definidos o completados por los Estados Miembros de cara a facilitar su adaptación a cada legislación nacional. No debemos olvidar que, pese a los intentos del Reglamento para alcanzar una uniformidad en materia de protección de datos personales, lo cierto es que la Unión no tiene competencias en todos los sectores que se ven afectados por el texto promulgado. De ahí a que sea más que necesario que todos los Estados Miembros adapten sus actuales legislaciones a aquellos aspectos que el Reglamento les exige.
Ahora bien, mientras en Francia ya tienen su Project de Loi relatif à la protection des données personnelles [Proyecto de ley relativo a la protección de los datos personales] debatiéndose en el Senado y están cerca de terminar con el trámite legislativo, en España justo acabamos de iniciar el primer debate en las Cortes.
¿Qué está sucediendo en España con la nueva LOPD?
A propuesta del Ministro de Justicia Rafael Catalá, el pasado 10 de noviembre de 2017 el Consejo de Ministros aprobó el primer Anteproyecto de Ley Orgánica de Protección de Datos con el objetivo de adaptar a nuestra legislación vigente a las disposiciones del RGPD. Un Anteproyecto de ley que, después de obtener los informes de impacto y el correspondiente Dictamen del Consejo de Estado, se convertiría en el actual Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Un Proyecto que sería presentado en el Congreso el pasado el 14 de noviembre de 2017, momento en el que empezó su tramitación parlamentaria. Sin embargo, tras tres meses de “inactividad” por un período para la presentación de enmiendas postergado, no fue hasta el pasado día 15 de febrero cuando pudimos presenciar la primera sesión de debate en el Congreso de los Diputados. Una sesión parlamentaria que, eso sí, sirvió tanto empezar a visualizar las distintas posturas de cada grupo político en relación con el Proyecto, como para para debatir sobre la enmienda a la totalidad presentada por el Grupo Parlamentario Mixto (en este caso el PDeCAT).
Pese a estar claramente marcada por los últimos acontecimientos políticos de nuestro país y por el clima político habitual en las Cortes, podríamos decir que fue un debate que giró entorno a dos grandes ejes: el papel de las agencias autonómicas de protección de datos y la tardanza en el inicio del proyecto. Así, mientras los Diputados del PDeCAT y del Grupo Parlamentario de EAJ-PNV defendían que la ley no respetaba la distribución de competencias y otorgaba mucho más poder a la Agencia Española de Protección de Datos que a las agencias autonómicas, los diputados de Ciudadanos, el grupo Socialista y de grupo parlamentario confederal de Unidos Podemos-En Comú Podem-En Marea le recriminaban al Gobierno que hubiese presentado el Proyecto de ley a menos de seis meses para la aplicación del RGPD lo que limitaba los plazos temporales para la actividad parlamentaria. Y es precisamente este último aspecto el, en mi opinión, es el más preocupante de todos.
Mientras la enmienda a la totalidad fue rechazada por 318 votos en contra y 16 a favor porque los grupos entendieron que esta no tenía muchos fundamentos, los grupos parlamentarios “amenazaron” con presentar enmiendas parciales y llamar a expertos de distinto tipo para proseguir con los trámites habituales y necesarios para la aprobación de este tipo de ley. O, dicho en otras palabras, a casi un trimestre para la entrada en vigor del RGPD muchos diputados dejaban entrever que este iba a ser una tramitación larga y que difícilmente llegaríamos a tiempo para la entrada en vigor del Reglamento.
Dudas en el aire
Esperando a la aprobación de la Proposición, son muchos los aspectos que quedan en el aire a la espera de solución legal. Si bien gran parte del texto propuesto desarrolla aspectos “nuevos” (por ejemplo, presenta una nueva regulación para los ficheros de morosos, temas de videovigilancia o la eliminación del consentimiento tácito) lo cierto es que muchos de ellos aún podrían ser resueltos con la actual LOPD o con la aplicación directa del RGPD. No obstante, en casos podría ser más problemático dar una solución. Este sería el caso de la figura del Delegado de Protección de Datos (DPD), no prevista en la actual LOPD y no del todo regulada en el texto europeo, donde no disponer de una regulación específica podría hacer muy difícil la aplicación de la figura.
Y esto es algo que también se está viendo reflejado en las Cortes, puesto que de forma paralela a la tramitación del proyecto de ley, algunos diputados han registrado preguntas oficiales dirigidas al Gobierno y relacionadas con los requisitos exigidos para ser DPD o derivados de los fundamentos legales de la Certificación provisional otorgada por la AEPD. Dudas que, aparentemente, ya deberían estar solucionadas a estas alturas de año.
En definitiva, estamos en un proceso parlamentario para la modificación de la Ley Orgánica de Protección de Datos que ha empezado tarde y que se prevé largo y complejo. Veremos como van avanzando los trámites y qué reformas termina sufriendo el Proyecto presentado.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación