El Ministerio de Justicia ha abierto una consulta pública sobre la adaptación al Reglamento General de Protección de Datos, con carácter previo a la elaboración del anteproyecto de ley que modificará la actual Ley Orgánica de Protección de Datos, con el objetivo de recabar la opinión de los sujetos y de las organizaciones más representativas acerca de los problemas que se pretenden solucionar con el nuevo marco normativo, la necesidad y oportunidad de su aprobación, los objetivos de la norma y las posibles soluciones alternativas regulatorias y no regulatorias.

ISMS Forum, a través de su iniciativa Data Privacy Institute, participará en la consulta planteada aglutinando la posición de empresas y profesionales del sector. Así, los miembros de la comunidad ISMS Forum que deseen contribuir, podrán hacer llegar sus comentarios a la dirección dpi@ismsforum.es, antes del 22 de febrero, y serán tenidos en cuenta en la interpretación que planteará la asociación.

Los puntos principales que plantea la consulta se resumen de la siguiente manera:

1.       Problemas que se pretenden solucionar con la nueva norma.

El Reglamento general de protección de datos pretende con su eficacia directa superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. La transposición de la Directiva por los Estados miembros se ha plasmado en un mosaico normativo con perfiles irregulares en el conjunto de la Unión Europea lo que, en último extremo, ha conducido a que existan diferencias apreciables en la protección de los derechos de los ciudadanos.

Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de datos personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rápida evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso fundamental de la sociedad de la información. El carácter central de la información personal tiene aspectos positivos, porque permite nuevos y mejores servicios, productos o hallazgos científicos. Pero tiene también riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, son más accesibles, por más actores, y cada vez son más fáciles de procesar mientras que es más difícil el control de su destino y uso.

El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa.

2.       Necesidad y oportunidad de su aprobación.

El Reglamento general de protección de datos procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. En concreto, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del Reglamento.

Asimismo, es preciso tener en cuenta que existen normas sectoriales específicas junto a la normativa general y horizontal en materia de protección de datos, la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y junto a la Agencia Española de Protección de Datos coexisten agencias en los territorios de las Comunidades Autónomas.

La adaptación al Reglamento general de protección de datos podría requerir, en suma, la elaboración de una nueva Ley Orgánica que sustituya a la actual. El Reglamento será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99.

3.       Objetivos de la norma.

Los objetivos de la reforma proyectada deben ser examinados con relación a los siguientes aspectos:

I. Adaptación al Reglamento general de protección de datos para evitar contradicciones con la normativa interna y proceder a ejecutar las previsiones del Reglamento en los puntos que el mismo Reglamento habilita.

II. Posible introducción de mejoras concretas en relación a aspectos del ordenamiento jurídico español en la normativa general en materia de protección de datos.

III. Posible introducción de mejoras concretas en relación a aspectos del ordenamiento jurídico español en las normas sectoriales en materia de protección de datos.

4.       Posibles soluciones alternativas, regulatorias y no regulatorias.

En virtud del artículo 288 del Tratado de Funcionamiento de la Unión Europea, el reglamento "tendrá un alcance general" y "será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro". Se integra, pues, en los ordenamientos jurídicos nacionales a partir de su publicación en el Diario Oficial de la Unión Europea, desplegando su eficacia a partir de la fecha que él mismo fije o, a falta de ella, a los veinte días de su publicación (artículo 297 del citado tratado internacional).

Dado que se trata de una norma no necesitada de incorporación mediante otra de naturaleza interna, presenta una clara vocación unificadora de los Derechos nacionales, tendente a excluir cualquier particularidad o diversidad interna en la materia por él regulada, al limitar la intervención de los Estados, en principio, a la aplicación material de la norma única europea, sin perjuicio de la labor de depuración normativa y de los eventuales desarrollos de los que aquella pueda ser objeto, y teniendo en cuenta lo que establece el considerando 8 del Reglamento general de protección de datos.

Así, no se excluye toda intervención del Derecho interno en los ámbitos concernidos por los reglamentos europeos. Al contrario, tal intervención puede ser procedente, incluso necesaria, tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento del reglamento de que se trate. Ambas cuestiones han de ser analizadas someramente por separado:

 a) El principio de seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente obligación de depurar el ordenamiento jurídico.

En definitiva, el principio de seguridad jurídica obliga a que la normativa interna que resulte incompatible con el Derecho europeo quede definitivamente eliminada "mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse" (Sentencias del Tribunal de Justicia de 23 de febrero de 2006, asunto Comisión vs. España; de 13 de julio de 2000, asunto Comisión vs. Francia; y de 15 de octubre de 1986, asunto Comisión vs. Italia).

 b) Los reglamentos, pese a su característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de "desarrollo" o complemento del Derecho europeo. Por tanto, no hay una alternativa no regulatoria para la adaptación al Reglamento general de protección de datos, que, por una parte, exige la depuración de todas aquellas disposiciones, incluidas las de rango legal, contrarias a su dicción y, por otra, incluye numerosas previsiones en que hay una autorización o una remisión a la normativa estatal, la cual ha de operar de complemento necesario para la plena efectividad del referido reglamento europeo.