Carlos B Fernández.- El pasado 26 de julio, el Pleno del Consejo General del Poder Judicial emitió el informe solicitado ("con carácter urgente e improrrogable"), por la Secretaría de Estado de Justicia, sobre el anteproyecto de Ley Orgánica de protección de datos de carácter personal (ALOPD).
En dicho informe el órgano de gobierno de los jueces realiza lo que cabe considerar una severa crítica del proyecto remitido, en el que advierte "una cierta falta de coherencia con la función y finalidad propia de una norma, como la proyectada, que ha delimitarse a adecuar y, en su caso complementar el Reglamento europeo". Además, considera que "en ocasiones, el articulado propuesto traspasa los límites de aquellas funciones para establecer disposiciones más allá de lo que habilital a norma europea", en otros casos, que es "innecesaria y vacía de contenido, habida cuenta del efecto directo del Reglamento, que impide la traslación, sin más, y sin función de adecuación y de complemento del ordenamiento interno, de sus preceptos", en otros supuestos, que es "reiterativa" y, finalmente, que en otras ocasiones "no respeta debidamente la prelación normativa, derivada de la primacía de la norma del Derecho de la Unión y de la eficacia y aplicabilidad directa de los Reglamentos".
Discrepancia del CGPJ sobre el objeto del informe
La solicitud de informe se refería a los artículos 2.3, 29.2, 43. 45.3, 50, 54, 77.1, la disposición adicional quinta y la disposición final tercera del citado anteproyecto, que son los preceptos del anteproyecto que contienen normas procesales, o que afectan al Consejo General del Poder Judicial. Sin embargo, el informe del CGPJ, del que han sido ponentes los vocales Enrique Lucas Murillo de la Cueva y Álvaro Cuesta Martínez, comienza señalando su discrepancia con esta acotación sobre los artículos que debe informar.
Por un lado, porque entiende que "la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 CE y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho". En consecuencia el Consejo considera que el informe "no ha de limitarse a los preceptos señalados sino que debe incluir en su examen a otras disposiciones, además de las indicadas, situadas dentro del marco de su competencia consultiva a la que afecta la preceptividad del dictamen que ha de librar."
Por otra parte, el Consejo considera que "de lo que se trata aquí es de ejercer la competencia de información de los anteproyectos de ley que versen sobre normas procesales o que afecten a aspectos jurídico-constitucionales de la tutela ante los tribunales ordinarios del ejercicio de Derechos Fundamentales. (561.1-6º LOPJ )."
Por ello, el Consejo se reserva la emisión de "un informe posterior sobre otras cuestiones competencia de este órgano de gobierno del Poder Judicial referidas a las autoridades de control autonómicas, al Consejo General del Poder Judicial, a la Disposición adicional quinta y al planteamiento de la cuestión prejudicial de validez ante el Tribunal de Justicia, así como a otros aspectos que afecten a derechos y libertades fundamentales".
Naturaleza jurídica atribuida al RGPD
Pese a esa limitación del objeto del informe, este se inicia con una referencia crítica a un artículo del anteproyecto que no está incluido en el mismo. Se trata del artículo 1.2 del texto, según el cual «El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución , se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica».
Según el CGPJ, este precepto "introduce cierta confusión sobre la naturaleza del RGPD" (apartado 24 del informe, incluido en su capítulo II - Consideraciones generales al anteproyecto).
Parece claro, destaca, "que el RGPD ni es norma de desarrollo del derecho a la protección de datos reconocido en el artículo 18.4 CE , a los efectos del artículo 81.1 CE , ni es ley de regulación de su ejercicio, en el sentido del artículo 53.1 CE".
Por ello, declara, "el artículo 1.2 ALOPD al expresar que el RGPD regula el ejercicio del derecho fundamental reconocido en el artículo 18.4 CE enturbia la clara percepción por los destinatarios del RGPD de su naturaleza de norma de Derecho de la Unión".
Y lo hace, añade "porque la primacía de la Carta y del RGPD sobre el Derecho interno, incluso de rango constitucional, obliga a replantearse en gran medida la articulación entre la ley orgánica y ley ordinaria que resulta de los artículos 81.1. y 53.1 CE para el desarrollo de los preceptos que contienen normas sobre derechos fundamentales (en este caso el artículo 18.4 CE ) y la regulación de su ejercicio, respectivamente y la jurisprudencia constitucional sobre la colaboración entre ambos tipos de leyes".
En definitiva, "la formulación del artículo 1.2 ALOPD es, por tanto, incorrecta y de alguna manera innecesaria. Por ello, se señala la conveniencia de eliminarla".
Por ello, concluye, "de decir algo, sería más correcto aludir a que el ALOPD establece las previsiones legales pertinentes para dar cumplimiento a los mandatos que, de acuerdo con el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea , contiene el RGPD para la protección del derecho fundamental a la protección de datos personales".
Defectos de técnica normativa del anteproyecto
En el mismo capítulo de consideraciones generales, el informe critica varias deficiencias de técnica normativa que atribuye al anteproyecto:
- En primer lugar en su apartado 44 indica que "se advierte en el ALOPD una cierta falta de coherencia con la función y finalidad propia de una norma, como la proyectada, que ha de limitarse a adecuar y, en su caso complementar el Reglamento europeo".
- También que "en ocasiones, el articulado propuesto traspasa los límites de aquellas funciones para establecer disposiciones más allá de lo que habilita la norma europea". Así sucede, por ejemplo, indica, "al regular, dentro de los principios generales de protección de datos –y de un modo asistemático-, los datos relativos a infracciones y sanciones administrativas (artículo 4 ALOPD), o con el apartado cuarto del artículo 23, relativo al derecho de acceso, que establece las condiciones en las que se podrá considerar repetitivo el ejercicio del derecho de acceso, a los efectos de lo dispuesto en el artículo 12.5 RGPD".
- En otros casos, indica el informe en su apartado 45 "la norma es innecesaria y vacía de contenido, habida cuenta del efecto directo del Reglamento, que impide la traslación, sin más, y sin función de adecuación y de complemento del ordenamiento interno, de sus preceptos". Tal cosa sucede, por ejemplo, "en el artículo 28, que se refiere al derecho de oposición".
- El informe considera también que en otros supuestos, la norma es "reiterativa", como ocurre "con el artículo 43.1, al aludir a las trasferencias internacionales de datos a países u organizaciones que no cuenten con decisión de adecuación de la Comisión Europea o que '[n]o se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (…)', cuando este ya contempla las previstas en el artículo 42 del ALOPJ. 47".
- Finalmente, en otras ocasiones el ALOPD no respeta debidamente la prelación normativa, derivada de la primacía de la norma del Derecho de la Unión y de la eficacia y aplicabilidad directa de los Reglamentos, "como sucede en el artículo 9, referido al tratamiento de datos amparado por la ley, en donde soslaya o desplaza el Derecho de la Unión Europea frente a la norma de producción interna, y en el apartado sexto del artículo 22, relativo al ejercicio de los derechos sujetos a un régimen especial, donde hace lo propio".
Tratamiento de datos llevado por los órganos judiciales (artículo 2.3 ALOPD)
El informe considera que la redacción actual de este precepto es confusa, por lo que resulta necesario que el segundo párrafo del artículo 2.3 ALOPD se numere separadamente como apartado 4.
En concreto se indica que el conector "en particular", que relaciona el segundo párrafo de este precepto con el primero da la idea de aquel es una concreción de la regla establecida en éste, lo cual no es cierto, pues un párrafo y otro tienen objetos y disponen reglas distintas (el primero se refiere a los tratamientos no previstos en el RGPD pero incluidos en el ámbito del ALOPD, mientras que el segundo tiene por objeto un tratamiento de datos, el efectuado por los tribunales, que entran dentro del ámbito de aplicación del RGPD y el ALOPD pero respecto del cual es de aplicación preferente la normativa específica contenida en la LOPJ ).
Obligación de bloqueo de los datos respecto de los que se ejerza el derecho de rectificación (artículo 29.2 ALOPD)
El informe considera que esta previsión se adecúa al RGPD en tanto que medida adecuada y proporcionada, al amparo del artículo 23 RGPD.
Supuestos que requieren autorización previa de la AEPD para la realización de transferencias internacionales de datos (artículo 43 ALOPD)
Según el CGPJ este precepto se ajusta al contenido de los parámetros establecidos en el RGPD, si bien, añade "convendría manifestar, por una parte, que la claridad del artículo podría resultar incrementada y, por ende, descartar cualquier incertidumbre en su exégesis, si se modificase su redacción en el sentido de reemplazar la expresión 'siempre que los mismos incluyan derechos efectivos y exigibles para los afectados' por 'que incluyan derechos efectivos y exigibles para los interesados' ".
Además, el informe considera que "se observa una discordancia entre el contenido del artículo 43 del ALOPD, que incluye como sujetos que llevarán a cabo la autorización previa a la AEPD o, en su caso, a las autoridades autonómicas de control de datos, y el encabezamiento, en el que únicamente se hace mención a la AEPD".
Mandato de colaboración entre la AEPD y el CGPJ (artículo 45.3 ALOPD)
El informe considera que este mandato de colaboración entre la AEPD y el CGPJ en el ejercicio de sus respectivas competencias "se corresponde con lo previsto en los artículos 236 nonies.2 y 560.1.19 LOPJ".
Participación del CGPJ en la composición del Consejo Consultivo de la AEPD (Art. 50 aLOPD)
El informe considera, por una parte, que este principio "es coherente" con la función que le corresponde al CGPJ en materia de protección de datos. Sin embargo añade también que la regulación proyectada "es incorrecta", en la medida en que pretende atribuir un efecto "demasiado expansivo" a la AEPD, al contemplar a ese Consejo Consultivo como un órgano asesor al servicio del Director de la Agencia, "relegando al Consejo General del Poder Judicial o al representante del mismo a un papel subordinado, y convirtiendo a un órgano que debería ser de cooperación interinstitucional en un órgano subordinado a un Director".
Por ello considera que "sería conveniente" que el Consejo Consultivo apareciera en la Ley Orgánica proyectada no como un órgano de asesoramiento del Presidente de la autoridad de control sino como un órgano asesor en el marco de la cooperación y colaboración institucional".
Alcance de la función de investigación de la AEPD (Art. 54 ALOPD)
El informe considera que la previsión del artículo 54 ALOPD sobre el alcance de la actividad de investigación de la AEPD cuando se trate de órganos judiciales u Oficinas Judiciales es conforme a la atribución constitucional al CGPJ de la inspección de los tribunales y a la configuración del alcance de la competencia de la AEPD sobre los ficheros no jurisdiccionales derivada del artículo 236 nonies.2 LOPJ .
Régimen sancionador aplicable a determinadas categorías de responsables o encargados del tratamiento (Art. 77 ALOPD)
El GGPJ considera que la medida de apercibimiento prevista en el artículo 77 ALOPD "es compatible con el estatus de independencia propio de los órganos constitucionales dado que su configuración, a pesar de la denominación como sanción, derivada del artículo 58.2.b RGPD, no responde al concepto material de sanción al carecer del carácter punitivo o aflictivo y, en todo caso, de los efectos desfavorables propios del instituto sancionatorio".
Autorización judicial en materia de transferencias internacionales de datos (disposición adicional quinta)
Este precepto regula un novedoso mecanismo procedimental a través del cual la AEPD puede solicitar de la Sala de lo contencioso-administrativo de la Audiencia Nacional que declare contraria a Derecho una transferencia internacional de datos que se funde en una decisión de adecuación de la Comisión Europa.
Según el CGPJ resultaría más adecuado que esta disposición contemplara, "en el correcto desarrollo y adaptación del RGPD y en cumplimiento de las exigencias impuestas desde la jurisprudencia europea, y más en particular por la Sentencia Schrems, la completa configuración de un procedimiento judicial [cuyo contenido presenta a continuación] desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión".
El CGPJ recomienda también que las previsiones contenidas en esta disposición adicional "tuviesen su reflejo en la LOPJ", y que venieran "acompañadas de la oportuna previsión en ella de la atribución a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de esta específica competencia". Además, este mecanismo debería proyectarse a los casos "en los que son competentes las autoridades de control autonómicas, y también a los supuestos de competencia de este Consejo General del Poder Judicial, en su función de autoridad de control".
Modificación del artículo 15 bis de la LEC (disposición final tercera)
Esta previsión introduce una modificación del artículo 15 bis de la LEC de acuerdo con la cual se adiciona un apartado 3 al precepto en el que se prevé la intervención procesal de la Comisión Europea, la AEPD y las autoridades autonómicas de protección datos cuando el proceso afecte a cuestiones relativas a la aplicación del RGPD.
Según el CGPJ esta extensión de la figura del amicus curiae a los procedimientos civiles en los que se ventilen cuestiones relativas al RGPD, permitiendo la intervención en ellos de la Comisión Europea y las autoridades nacionales de control, merece una favorable acogida, pero, además de efectuar determinadas observaciones adicionales, indica también que deberían modificarse, al menos, los artículos 212 , 404 , 434 , 461 y 465 de la LEC , "para dar cabida en ellos a la intervención en los procesos que afecten a cuestiones relativas a la aplicación del RGPD, junto con todos aquellos preceptos cuya modificación fuere igualmente precisa a tales efectos".
