Los Jueces aprueban el anteproyecto de Ley Orgánica de protección de datos de carácter personal

El Pleno del Consejo General del Poder Judicial ha aprobado hoy, por unanimidad, el informe al anteproyecto de Ley Orgánica de protección de datos de carácter personal, cuyo objetivo es adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y que debe entrar en vigor el 25 de mayo de 2018.

El texto, del que han sido ponentes los vocales Enrique Lucas y Álvaro Cuesta, analiza diversos preceptos del anteproyecto –en concreto, siete artículos, una disposición adicional y una disposición final- que contienen normas procesales o que afectan al CGPJ en tanto que autoridad de protección de datos en relación con los tratamientos de datos con fines jurisdiccionales o en su calidad de órgano constitucional en cuya actividad debe observar la normativa en materia de protección de datos personales.

En el documento, los ponentes señalan, no obstante, que dado que la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 de la Constitución y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho, el informe no debería limitarse a los preceptos señalados.

Por ello, el CGPJ se reserva un informe posterior sobre otras cuestiones competencia del órgano de gobierno de los jueces referidas a las autoridades de protección de las Comunidades Autónomas, al propio Consejo, a la disposición adicional quinta y a la prejudicialidad, así como a otros aspectos que afecten a derechos y libertades fundamentales.

En el texto aprobado por el Pleno se advierte en el anteproyecto una cierta falta de coherencia con la función y finalidad propia de una norma que ha de limitarse a adecuar y, en su caso –y con la configuración que ha hecho la jurisprudencia europea de esta función- de complementar el Reglamento europeo. En ocasiones, señala el informe, el articulado propuesto traspasa los límites de esas funciones, pues algunos artículos resultan innecesarios, otros reiterativos, y otros van más allá en sus marcos reguladores.

El informe es crítico con la redacción del artículo 1.2 del anteproyecto, que establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento 2016/679 y en la propia Ley Orgánica.

En opinión del CGPJ, esta formulación es incorrecta, ya que es la Ley Orgánica española la que debe amparar y desarrollar el derecho constitucional, y no el Reglamento. Al expresar que éste regula el ejercicio del derecho fundamental, se enturbia la clara percepción por los destinatarios del Reglamento de su naturaleza de norma de Derecho de la Unión, por lo que se cree conveniente eliminar esa referencia del artículo.

El documento aprobado por el Pleno también critica el artículo 50 del anteproyecto, que regula la composición del Consejo Consultivo de la Agencia Española de Protección de Datos (AEPD), entre cuyos miembros se prevé un representante designado por el CGPJ. El informe señala que se da un efecto demasiado expansivo a la AEPD, al contemplar el Consejo Consultivo como un órgano asesor al servicio del director de la Agencia, relegando al CGPJ o al representante del mismo a un papel subordinado.

Procedimiento judicial completo

El punto central del informe es el relativo a la disposición adicional quinta del anteproyecto, relativa a la autorización judicial en materia de transferencias internacionales de datos, que prevé el trámite que se dará a la reclamación que un afectado cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país –no comunitario, pero que haya sido declarado con nivel adecuado de protección por la Comisión Europea- presente ante la AEPD por considerar que el tratamiento de datos personales infringe el Reglamento 2016/679.

El anteproyecto prevé que, en caso de que la AEPD considere fundada la reclamación, deberá dirigirse a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional pidiendo autorización para declarar contraria a Derecho la transferencia internacional de datos. La Audiencia Nacional plantearía entonces una cuestión prejudicial de validez ante el Tribunal de Justicia de la Unión Europea, que podría declarar inválida la decisión de la Comisión Europea.
En su informe, el CGPJ sugiere mejoras técnicas en línea con el derecho alemán y considera que sería más adecuado que la Ley Orgánica contemplara “la completa configuración de un procedimiento judicial desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión”.

Así, siguiendo el modelo que ofrece la ley alemana por la que se desarrolla y adecúa al ordenamiento de ese país el Reglamento 2016/679, ese procedimiento trasladaría al tribunal nacional la decisión positiva de la validez de la decisión de la Comisión o, en caso de que considerara justificadas las dudas acerca de su conciliación con el Derecho de la Unión, el planteamiento de la cuestión prejudicial de validez.

La configuración legal del procedimiento, que se tramitaría por la vía contencioso-administrativa, debería contemplar la legitimación de la autoridad de control –la AEPD- para formular la solicitud ante el órgano judicial; la forma en que debe deducirse la solicitud y los efectos de la misma en el procedimiento seguido ante la AEPD; la condición de parte actora de la AEPD y, en garantía del principio de contradicción, la intervención como parte en el procedimiento de todos los interesados; así como la intervención de la Comisión Europea cuya decisión de adecuación está en cuestión.

Además, la disposición debería ir acompañada de la imprescindible atribución competencial al correspondiente órgano jurisdiccional que, tal y como se contempla en el anteproyecto, podría recaer en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, por ser este el órgano natural competente para conocer de los recursos contra las resoluciones de las autoridades de control.

El informe aprobado hoy concluye que este mecanismo procedimental se acomoda en todo a la jurisprudencia del Tribunal de Justicia de la Unión Europea y se ajusta a los requerimientos que derivan de la sentencia Schrems, que abordó la cuestión relativa a las facultades de las autoridades nacionales de control ante una decisión de la Comisión, siendo por tanto el modelo que debería seguir el prelegislador.

La alternativa, añade el texto, sería “articular un mecanismo de remisión prejudicial directa desde la autoridad de control –en España la AEPD-, en el marco del procedimiento en el que examina la reclamación formulada por el titular de los datos personales cuyo derecho se ha visto afectado por la transferencia internacional”.

Para ello debería dotar a la autoridad de control –o a un órgano dentro de la misma creado a ese fin- de una configuración tal que permita reconocer en ella de forma indubitada e indiscutible los rasgos que, conforme a la jurisprudencia europea, caracterizan el concepto autónomo de “órgano jurisdiccional” con arreglo al cual se confiere la legitimación para abrir el diálogo prejudicial.

Otro tanto, señala el informe, debería hacerse con las autoridades de control de las Comunidades Autónomas y con el propio CGPJ, en su función de autoridad de control, ya que el Reglamento expresa la salvaguarda de las funciones que la Ley Orgánica del Poder Judicial encomienda al CGPJ como autoridad de control en relación con los tratamientos de datos vinculados al ejercicio de la función jurisdiccional.

“Se posibilitaría, de ese modo, una tutela más directa y rápida del derecho fundamental, sin necesidad de configurar un procedimiento jurisdiccional ‘ad hoc’, ni de dotar de la correspondiente competencia a la Sala de lo Contencioso-Administrativa de la Audiencia Nacional mediante la imprescindible modificación de la Ley Orgánica del Poder Judicial”, concluye el informe.

Finalmente, el texto señala que el título competencial del anteproyecto está insuficientemente expresado, dado que se refiere al artículo 149.1.1º de la Constitución, debiendo citarse también el artículo 149.1.6º, referido a la legislación procesal, pues el anteproyecto es también una norma de Derecho Procesal.

(Fuente: Poder Judicial)