TOP

CONTENIDO DEL DICTAMEN DEL CONSEJO DE ESTADO SOBRE EL ANTEPROYECTO DE LOPD

Carlos B Fernández. El Pleno del Consejo de Estado ha emitido dictamen sobre el contenido del Anteproyecto de Ley Orgánica de Protección de Datos (LA LEY 10264/2017), aprobado por el Consejo de Ministros del pasado día 24 de julio, y de cuyo contenido ya dimos cuenta ese mismo mes.
En su informe, el alto órgano consultivo realiza una serie de observaciones, que considera “esenciales”, junto con otras consideraciones diversas a múltiples preceptos.
En concreto, los preceptos sobre los que realiza consideraciones “esenciales” son los siguientes: 5; 9.3; 13; 14; 20; 21; 22; 26; 35; 39; 49; 53 y 56.
Presentamos a continuación las principales modificaciones que propone para el texto del Anteproyecto.
Del Título II. Principios de protección de datos
- Artículo 5. Presunción de exactitud
Este artículo del Anteproyecto desarrolla el contenido del principio de exactitud consagrado en el artículo 5.1.d) del RGPDl, estableciendo a tal efecto la presunción de que son exactos y actualizados “los datos obtenidos directamente del afectado” (apartado 1), “del intermediario o mediador que recoja en nombre propio los datos para su transmisión al responsable”, cuando así proceda (apartado 2), o “de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad” (apartado 3).
Y sobre este precepto el Consejo de Estado considera que “En ausencia de una habilitación expresa a los Estados miembros para el desarrollo del referido principio de exactitud, ha de concluirse que la regulación anteproyectada va más allá de lo previsto en el Reglamento comunitario”.
Ahora bien, añade, dato que “tal y como ha explicado la Agencia Española de Protección de Datos, la razón de ser de este precepto radica en evitar que recaiga sobre el responsable del tratamiento la probatio diabolica de acreditar la exactitud de datos que ha recibido del propio afectado o incluso de otro responsable en caso de ejercicio del derecho a la portabilidad de los datos”, el Consejo considera “conveniente incluir en el Anteproyecto una previsión en el sentido indicado, pero, para ser respetuosa con los límites de intervención de los Estados miembros marcados por el Reglamento, tal disposición no puede revestir, como en el texto sometido a dictamen, la forma de una “presunción de exactitud” contraria al artículo 5.1.d), y en todo caso debe preservar la responsabilidad proactiva del responsable del tratamiento”.
A estos efectos, podría reemplazarse la presunción por la frase “no será imputable al responsable la inexactitud”, como propone la Agencia, pero ello debe además completarse con una cláusula de salvaguarda sobre la eventual responsabilidad del responsable en caso de no haber actuado con la diligencia mínima la comprobación de los datos que le exige el artículo 5.1.d). En otro caso, la redacción del Anteproyecto continuaría excediendo en este punto los límites de ese precepto y del apartado 2 del artículo 5 del Reglamento general.“
Por ello propone una redacción alternativa al artículo 5.1, que también debería afectar a los otros dos apartados del artículo.
- Artículo 9.3 Tratamiento de datos amparado por la ley
Sobre este número del artículo 9 el Consejo señala, de entrada que “… el encomiable esfuerzo del Anteproyecto por proteger la seguridad jurídica no le legitima para sobrepasar el estrecho margen de actuación que el Reglamento reconoce a los Estados miembros en la regulación de esta materia”, porque “a diferencia de lo que ocurre con la regulación de los supuestos legitimadores de las letras c) y e) del artículo 6.1, el Reglamento no efectúa ninguna llamada expresa al desarrollo y concreción por los Estados miembros del supuesto contemplado en la letra f) de ese artículo”.
Por ello señala que “En línea de principio, por consiguiente, y en ausencia de una habilitación implícita en este sentido, debe negarse toda competencia de los Estados miembros para imponer por vía normativa exigencias adicionales que vengan a modificar el alcance de esta hipótesis legitimadora del tratamiento”.
Sin embargo, “El diseño, en una norma legal, de las condiciones mínimas que ha de reunir un determinado tratamiento para que pueda concluirse que el interés legítimo del responsable prevalece sobre los derechos e intereses de los afectados va en contra de esa concepción, razón por la que, a juicio del Consejo de Estado, la introducción de una norma como la contenida en el artículo 9.3 del Anteproyecto no puede hacerse sin riesgo de incurrir en un incumplimiento de la norma europea”.
Sin que para ello considere suficiente el caveat introducido en el párrafo segundo del artículo 9.3 “pues el problema serán precisamente los casos en los que sí exista una previsión legal específica, y ésta, de conformidad con lo establecido en el artículo 9.3 del Anteproyecto, efectúe la citada ponderación…”
Por todo ello “el Consejo de Estado considera que debe eliminarse la disposición contenida en el artículo 9.3 del Anteproyecto”.
Del Capítulo II. Ejercicio de los derechos del Título III. Derechos de las personas
- Artículo 13. Disposiciones generales sobre ejercicio de los derechos
Este precepto del Anteproyecto contiene una serie de disposiciones generales destinadas a regir el ejercicio de los derechos reconocidos al interesado en los artículos 15 a 22 del Reglamento (derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, derecho a ser notificado de la rectificación o supresión de datos personales o de la limitación del tratamiento, derecho a la portabilidad de los datos, derecho de oposición y derechos en relación con las decisiones individuales automatizadas, incluida la elaboración de perfiles).
Y al respecto señala el dictamen que la exigencia de un documento válido (aunque sea en formato electrónico) para acreditar la identidad del afectado y, en su caso, la de su representante “parece ir más allá de lo previsto en el Reglamento general, cuyo artículo 12.6 se limita a indicar que “cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado”, y el considerando 64 contiene también una referencia genérica en cuanto a los medios de identificación (“el responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten el acceso (…)”)”.
Por ello concluye que “La exclusión de otros medios de identificación alternativos al “documento válido” -de cualesquiera otras “medidas razonables” para practicar esa identificación, como un sistema de contraseñas, por ejemplo- contraviene, por tanto, lo dispuesto en el Reglamento, lo que lleva a recomendar la supresión de este artículo 13.2”.
- Artículo 14. Derecho de acceso
Según el Dictamen “La redacción [del apartado 3] del precepto da la impresión de que el acceso será a cargo del interesado siempre que éste se manifieste en desacuerdo con el medio que le ofrezca el responsable del tratamiento, lo que resulta frontalmente contrario al artículo 12.5 del Reglamento, que limita esa excepción a la regla general de la gratuidad del ejercicio de los derechos del interesado a los casos en que “las solicitudes sean manifiestamente infundadas o excesivas, especialmente dado su carácter repetitivo”.
En consecuencia, la opinión del Consejo de Estado es que “debe, por tanto, eliminarse esta disposición del texto del Anteproyecto”.
Del Título IV. Disposiciones aplicables a tratamientos concretos
- Artículo 20. Tratamiento de datos de contacto y de empresarios individuales
Este artículo del Anteproyecto regula el tratamiento de datos de contacto de las personas físicas que presten servicios en una persona jurídica (apartado 1) y de empresarios individuales (apartado 2), en ambos casos invocando como amparo normativo lo dispuesto en el artículo 6.1.f) del Reglamento.
En cuanto al número 1 el Consejo de Estado señala que su exigencia que para que exista licitud al amparo de ese artículo, el tratamiento debe referirse únicamente a los datos necesarios para la localización profesional del interesado y la finalidad del tratamiento ser únicamente para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios; resulta contrario a la flexibilidad en la ponderación de intereses querida por el legislador comunitario, de acuerdo con lo anteriormente observado en relación con el artículo 9.3 del Anteproyecto.
Sin embargo añade que “las disposiciones del apartado 1 de este artículo podrían, no obstante, tener cobertura en el artículo 88 del Reglamento, en la medida en que se refieran a trabajadores”, pues “el citado artículo de la norma europea habilita a los Estados miembros para establecer, a través de disposiciones legislativas o de convenios colectivos, “normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral”.
Por ello concluye a este respecto que “El apartado 1 del artículo 20 puede, por consiguiente, mantenerse, reemplazando la referencia al artículo 6.1.f) del Reglamento por una remisión a lo establecido en su artículo 88, y velando por que el precepto se refiera exclusivamente a trabajadores”.
Sin embargo, añade también que “El apartado 2 debe, por el contrario, suprimirse”.
- Artículo 21. Tratamiento de datos hechos manifiestamente públicos por el afectado
El Consejo considera que “El precepto no hace en este caso referencia expresa al artículo 6.1.f) del Reglamento ni al artículo 9.3 del Anteproyecto, y no puede con carácter general considerarse incluido en ninguno de los supuestos de licitud contemplados en el artículo 6.1 de la norma europea, por lo que extralimita los límites al desarrollo del Reglamento por los Estados miembros”.
Además, añade, “Hay que recordar que la justicia europea ya se pronunció en relación con la incompatibilidad con el Derecho de la Unión de la incorporación en el ordenamiento nacional de principios de legitimación del tratamiento no incluidos en la regulación comunitaria (entonces, la Directiva 95/46), precisamente con referencia al artículo 10.2.b) del Reglamento de la Ley Orgánica 15/1999, que, como el precepto aquí comentado, hacía referencia al supuesto de datos hechos manifiestamente públicos por el afectado (SSTJUE ASNEF y, en el mismo sentido, Breyer, ambas citadas)”.
En consecuencia, “dada la existencia de un pronunciamiento judicial expreso en esta materia y la nítida previsión del Reglamento de que el consentimiento para el tratamiento de datos personales sea expreso, la previsión del artículo 21 del Anteproyecto resulta contraria a la norma europea y sobrepasa los límites conferidos a los Estados miembros para su desarrollo”.
Por ello, concluye, “El artículo 21 debe, en consecuencia, eliminarse del texto del Anteproyecto”, pues ni siquiera su reformulación en forma de presunción iuris tantum “permitiría en este caso remediar su incompatibilidad con el Reglamento Europeo”.
- Artículo 22. Sistemas de información crediticia
Señala el Dictamen que “Parece ser la voluntad del legislador comunitario, por tanto, que la determinación de las circunstancias en que un determinado sistema de información crediticia sea legítimo deba ser valorado caso a caso por el propio responsable del tratamiento y, en último término, por las autoridades de protección de datos y por los tribunales”.
En opinión del Consejo, esto implica “la desaparición de la vigente regulación sobre tales tratamientos (artículo 29 de la Ley Orgánica 15/1999) y la consiguiente supresión del artículo 22 del Anteproyecto y de la disposición adicional octava del mismo, vinculada al primero”.
Añadiendo que “La única área de intervención del legislador nacional en estos casos sería el relativo a aquellos sistemas de información crediticia que respondan a un determinado interés público, al amparo de lo dispuesto en el artículo 6.2 y 3 del Reglamento”.
Y concluyendo que “Todo lo anterior ha de entenderse sin perjuicio de la ya apuntada posibilidad de redactar estas previsiones en forma de presunción iuris tantum, tal y como se indicó en las observaciones al artículo 9.3 del Anteproyecto”.
- Artículo 26. Tratamientos relacionados con la realización de determinadas operaciones mercantiles
Señala el Dictamen que “parece evidente que la regulación anteproyectada pretende ampararse en lo previsto en el artículo 9.3 del Anteproyecto y, en último término, en el artículo 6.1.f) del Reglamento, por lo que, en línea con las observaciones ya reiteradas, debe concluirse que el legislador nacional carece de habilitación suficiente para regular estos tratamientos. Debe, por tanto, eliminarse este artículo”.
Del Capítulo III. Delegado de protección de datos del Título V. Responsable y encargado del tratamiento
- Artículo 35. Designación de un delegado de protección de datos
Sobre esta importante figura el Dictamen señala que “… parece que la norma proyectada esté llevando a cabo una interpretación del citado artículo 37.1 de la norma europea que constituiría en realidad una extensión siempre que una entidad del 35.1 del Anteproyecto no encajara en alguno de los tres supuestos recogidos en el 37.1 del Reglamento Europeo (lo que no es difícilmente imaginable); nótese que los términos del inciso inicial son terminantes y parecen establecer una especie de presunción iuris et de iure: las categorías de entidades relacionadas se consideran incluidas “en todo caso” en los supuestos del 37.1 del Reglamento Europeo”.
A juicio del Consejo de Estado “no resulta necesario –ni aceptable- forzar en esos términos la letra del artículo 37.1 del Reglamento Europeo: el mismo efecto se puede conseguir por la vía del 37.4 del Reglamento Europeo, de acuerdo con el cual, en casos distintos de los contemplados en el apartado 1, el responsable (o el encargado, asociaciones u organismos allí mencionados) podrán designar un delegado de protección de datos “o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. De este modo, se incluye una habilitación específica para que el Derecho interno amplíe los casos en que es necesario designar un delegado de protección de datos, sin necesidad de forzar la letra del artículo 37.1 del Reglamento Europeo”.
Por ello el Consejo de Estado propone, con carácter esencial, una redacción alternativa al art. 35.1 y, en cuanto al número 2 de este precepto, propone, sin carácter esencial, “completar el texto proyectado con la mención expresa del Reglamento Europeo”.
Del Capítulo IV. Códigos de conducta y certificación del mismo Título V
- Artículo 39. Códigos de conducta
Indica el Dictamen que “a juicio del Consejo de Estado, la Ley proyectada sí puede establecer la existencia de otras entidades y organismos que promuevan la elaboración de códigos de conducta más allá de lo previsto en el Reglamento Europeo. Así se desprende del inciso inicial del artículo 40.1 del Reglamento Europeo, de acuerdo con el cual los Estados miembros promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del propio Reglamento Europeo. Una forma de promoverlos es, precisamente, habilitar a determinadas entidades para que lo hagan”.
Sentado lo anterior, añade, “se advierte que el artículo 39 del Anteproyecto se refiere a los códigos de conducta, pero tiene una estructura que, a juicio del Consejo de Estado, conduce a apartarse del esquema previsto en el Reglamento Europeo. Así, el apartado 2 y el apartado 3 establecen a quién corresponde promover los códigos, en unos términos que se consideran correctos; pero al llevar al apartado 3 la posibilidad de su promoción por los organismos o entidades de supervisión a que se refiere el artículo 41 del Reglamento Europeo, la regulación de las posibles actuaciones o funciones de los citados organismos o entidades de supervisión queda limitada a los códigos que hayan sido promovidos por los propios organismos o entidades de supervisión”.
Por ello el Dictamen señala, con carácter esencial, que “la supervisión de los códigos de conducta a que se refiere el artículo 41 del Reglamento Europeo por parte de los organismos o entidades de supervisión allí contemplados ha de preverse en relación con todos los códigos de conducta aprobados de conformidad con lo dispuesto en artículo 40 del Reglamento Europeo”.
Para ello, añade, “bastaría llevar el primer párrafo del apartado 3 (del artículo 39 proyectado) al apartado 2, y dejar en el apartado 3 la regulación de los organismos o entidades de supervisión y sus actuaciones que ahora se recoge en sus párrafos segundo y tercero (pero modificando el inciso inicial para que las funciones de los repetidos organismos y entidades no queden limitadas a los códigos de conducta aprobados por ellos mismos)”. A la vez que, “Para mayor coherencia, el párrafo segundo del proyectado 39.4 también podría llevarse al apartado 3, una vez configurado en los términos aquí propuestos; ello supondría también una mejor ilación entre el apartado 4 (limitado ya a su primer párrafo) y el apartado 5”.
De la Sección 1.ª Disposiciones generales del Capítulo I. La Agencia Española de Protección de Datos del Título VII. Autoridades de protección de datos
- Artículo 49. El Presidente de la Agencia Española de Protección de Datos
Según el alto órgano consultivo “en el proyectado régimen jurídico aplicable al Presidente de la Agencia se echa en falta la regulación de las condiciones por las que se rigen sus obligaciones, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el mandato y después del mismo. Se trata de cuestiones que el artículo 54.1 del Reglamento Europeo remite expresamente a determinación de los Estados por Ley”.
Por ello, y “en coherencia con el mandato del reglamento comunitario, el Consejo de Estado entiende que ha de incorporarse a la proyectada Ley un artículo o varios epígrafes al proyectado artículo 49, con la finalidad de dar adecuada y completa regulación al régimen aplicable al Presidente de la Agencia Española de Protección de Datos en los aspectos antes señalados [nombramiento, duración del cargo y renovación en el mismo] y a los que se refiere expresamente el artículo 54.1 del aludido Reglamento”.
De la Sección 2.ª Potestades de investigación y planes de auditoría preventiva del mismo Capítulo y Título
- Artículo 53. Deber de colaboración
En relación con este precepto, el Consejo de Estado llama la atención sobre “su vinculación con la potestad sancionadora de la Agencia y su incidencia sobre la configuración del derecho a la protección de datos de carácter personal y del derecho al secreto de las comunicaciones”.
Por ello entiende, con carácter esencial, que “habría que dotarlo de carácter orgánico haciendo mención expresa de ello en la proyectada disposición final primera”.
Y de la Sección 3.ª Otras potestades de la Agencia Española de Protección de Datos del mismo Capítulo y Título
- Artículo 56. Potestades de regulación. Circulares de la Agencia Española de Protección de Datos
En relación con este aspecto el Dictamen comienza destacando que las potestades normativas atribuidas por este precepto al Presidente de la Agencia “constituyen una importante novedad no prevista en los vigentes artículos 36 y 37 de la Ley Orgánica 15/1999, que le facultaban para dictar instrucciones precisas e informar los proyectos de disposiciones generales que desarrollaran la Ley”.
En opinión del Consejo, “En sus términos actuales, el artículo 56 no sólo atribuye potestad reglamentaria al Presidente de la Agencia, sino que configura tal potestad en términos muy amplios, permitiendo ejercerla para dictar disposiciones de desarrollo y ejecución necesarias para la interpretación y el cumplimiento de una Ley orgánica y de un Reglamento de la Unión Europea”.
Sin embargo, añade, de la literalidad del artículo 129. 4 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, “se desprende, formalmente, que la habilitación directa requiere que esas autoridades u organismos tengan previamente atribuida potestad para dictar normas en desarrollo y aplicación siempre y cuando, materialmente, la naturaleza de la materia así lo exija”. Además, y “desde un punto de vista material”, dicho artículo 129.4 supedita esa atribución normativa a que “la naturaleza de la materia así lo exija”, “requisito que no concurre en este caso”.
“No ha de perderse de vista, continúa, que el Anteproyecto aborda un derecho fundamental –a la protección de datos de carácter personal- y que la Jurisprudencia constitucional se ha mostrado restrictiva incluso a la hora de enjuiciar la hipotética relación entre la ley orgánica y la ley ordinaria habiendo admitido que la ley orgánica aborde ese “desarrollo” correspondiendo al legislador ordinario la regulación de la materia sobre la que se proyecta el derecho fundamental, lo que restringe el ámbito de actuación del Gobierno al respecto y, con más claridad, la del Presidente de una Administración Independiente-“.
“En estas circunstancias, concluye, teniendo en cuenta además que el Reglamento Europeo no habilita a las autoridades de control para dictar disposiciones de desarrollo y ejecución para su interpretación y cumplimiento de aquél, el Consejo de Estado entiende que han de reconsiderarse esas potestades normativas del Presidente de la Agencia Española de Protección de Datos, suprimiendo, de una parte, la referencia que se hace al Reglamento Europeo –por cuya aplicación deberá velar la Agencia, pero no desarrollar-, manteniendo la habilitación al Gobierno de la Nación para aprobar o modificar las disposiciones reglamentarias para la aplicación y desarrollo de lo previsto en la Ley, -siempre, como complemento indispensable en plano subordinado de la misma, en el sentido de que, la norma reglamentaria que colabora en la precisión de los mandatos de la ley orgánica es en sí misma parte integrante del grupo normativo del derecho fundamental concreto y por lo tanto, en sus determinaciones es consecuencia y complemento de las previsiones de la ley orgánica (dictamen nº 1909/2007, de 15 de noviembre) y contemplando la potestad del Presidente de la Agencia Española de Protección de Datos de dictar Circulares e Instrucciones que fijen los criterios y guías a que responderá la actuación de esa entidad en el tratamiento de las materias y cuestiones que recomienden tal explicitación de criterios”.
Carácter de las observaciones esenciales del Consejo de Estado
Debe recordarse que, conforme al artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio, “Cuando el dictamen contenga observaciones y sugerencias de distinta entidad establecerá, siempre que sea posible, cuáles se consideran esenciales a efectos de que, si éstas son atendidas en su totalidad, la resolución que se dicte pueda utilizar la fórmula «de acuerdo con el Consejo de Estado»”.