Las atribuciones que el nuevo Reglamento General de Privacidad reconoce principalmente a los reguladores o autoridades nacionales en materia de protección de datos de carácter personal, pasan necesariamente por la exigencia de proteger a las personas físicas en el tratamiento de sus datos personales, y facilitar la libre circulación de los datos personales en el mercado interior.
Para ello, las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas de conformidad con la normativa contemplada dentro de dicho Reglamento comunitario. Y, además, contribuir a su aplicación coherente en toda la Unión Europea.
Como consecuencia de ello, las autoridades de control deben cooperar primero entre ellas mismas y con el Consejo Europeo de Protección de Datos, como órgano superior comunitario en la materia. Sin la necesidad de que, para ello, se tengan previamente que obtener o suscribir los correspondientes acuerdos o convenios entre los Estados miembros sobre la prestación de asistencia mutua, ni tampoco sobre las circunstancias en que ha de llevar a cabo dicha cooperación.
Complementariamente a ello, y para hacer que efectivamente exista cooperación y coherencia en las decisiones que se adopten por los reguladores nacionales, se hace preciso proceder al reconocimiento -tal como sucede en el Reglamento-, de poderes a los mismos para el ejercicio de las facultades de todo tipo que les son propias.
Con relación a esta exigencia de cooperación de coherencia en la actuación de los reguladores, debe indicarse que estos mecanismos que ahora se articulan juegan un papel determinante, ya que funcionan a modo de nexos, que ayudan a conectar la relación lógica entre la actuación de sus autoridades de protección de datos, de modo que no se produzca contradicciones ni oposiciones en la actuación que se lleve a cabo entre ellas, en el ejercicio de las facultades que les son propias.
Por todo ello, puede afirmarse que estos mecanismos constituyen el conjunto de acciones llevadas a cabo por los reguladores europeos en materia de protección de datos, en torno al Consejo Europeo sobre la materia en aras de un desarrollo común y unívoco sobre la materia, que a diferencia de la Directiva 95/46/CE, trata de ser global, y de aplicación directa a todos los Estados miembros de la Unión.
COHERENCIA EN LA ACTUACIÓN
Es importante recalcar que el principio de la coherencia en la actuación, persigue, sobre todo, encontrar una unidad de actuación entre todos los reguladores, de acuerdo con las bases o principios establecidos que regulan la actuación de los diferentes reguladores europeos de protección de datos de carácter personal.
En este orden de ideas, es sumamente explícito el párrafo o considerando número 129 de la Exposición de Motivos de dicho Reglamento, donde se afirma que, para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos.
El planteamiento que ahora se efectúa parte de la necesidad de que las funciones de supervisión y ejecución de la nueva norma cuenten con unas autoridades de control o reguladores dotados de las mismas funciones y poderes efectivos.
Es cierto, que los mismos estarán muy supeditados en todo caso, a la normativa interna de cada Estado, que condicionará mucho el funcionamiento de cada una de los ciudadanos pertenecientes a los distintos Estados miembros de la Unión, así como de la forma de aplicar e interpretar esta nueva normativa.
Probablemente, el propósito uniformador y unificador previsto en el nuevo Reglamento chocará con el escollo difícilmente franqueable de dichas normativas internas. Pero, en todo caso, la situación, sin lugar a dudas, será más favorable en aras de la homogeneidad del sistema, que la existente actualmente, la cual se derivaba de la situación contemplada en la citada Directiva 95/46/CE.
QUÉ SE NECESITA HACER EN ESPAÑA
En España, por ejemplo, se hace necesario completar el Reglamento europeo con el desarrollo de normativa interna, y ello sea mediante una modificación de la Ley Orgánica 15/1.999, de 13 de diciembre, al estar afectas materias que afectan a la regulación de los derechos fundamentales, principalmente al derecho sancionador contenida en dicha normativa europea.
O mediante la elaboración adicional de otras normas complementarias, y ello pese, a que por ejemplo, la existencia de posiciones jurídicas muy restrictivas en la materia, como la expresada recientemente por Rafael García del Poyo, quien con mucha razón jurídica y siendo consciente de su necesidad, cree que debe tenerse una visión ciertamente restrictiva de estos desarrollos normativos internos, al ser el Reglamento General de Protección de Datos, no sólo de aplicación general en toda la Unión Europea, sino lo que es más importante, de aplicación directa, siendo, en todo caso, necesario preservar esta, a los efectos de evitar la dispersión normativa dentro del nuevo marco jurídico comunitario.
El Reglamento, en el citado párrafo, prevé también que dichas facultades atribuidas a las autoridades europeas deben incluir en igual manera los llamados “poderes de investigación”, así como los “poderes correctivos o de naturaleza sancionadora”.
Ello refleja una situación muy comentada durante la vigencia de la meritada Directiva, y que ha levantado numerosas críticas en todos los ámbitos y sectores, ya que existían regímenes jurídicos ciertamente benignos a la hora de reprimir las infracciones en esta materia, frente a otras normativas nacionales ciertamente severas sobre la cuestión, y dentro de estas últimas, de manera concreta podemos encontrar el caso español.
LORTAD Y LOPD, REFLEJOS DE DESIGUALDAD JURÍDICA
En este sentido, la LORTAD primero, y posteriormente la propia LOPD, han sido reflejos muy evidentes de esta desigualdad jurídica, si lo comparamos, por ejemplo, con la normativa griega, muy dispar y tolerante en esta materia, con relación, precisamente, a la legislación española.
Entre los poderes que componen estos mecanismos de cooperación y coherencia, debe hacerse una especial mención a los llamados “poderes de autorización” y de carácter “consultivos”, especialmente, en aquellos casos en los que se produzcan reclamaciones de personas físicas, y todo ello, como expresa el Reglamento, sin perjuicio de las competencias de las autoridades encargadas de la persecución de los delitos con arreglo al Derecho de los Estados miembros para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones judiciales.
Lo indicados poderes de “autorización” y los de matiz “consultivos” van a ganar en esta nueva reglamentación un mayor peso específico, pues constituye una manifiesta voluntad del legislador comunitario, el que exista una mayor comunicación entre los reguladores locales de protección de datos, y la sociedad civil en la que aquellos se encuentran insertos, en aras de potenciar el efectivo cumplimiento de la normativa sobre protección de datos, y mejorar la calidad y en sentido social de sus funciones.
Buena muestra de ello, lo encontramos a través de las múltiples facultades y conceptos incorporados a dicho Reglamento, que tratan de potenciar, precisamente, esa faceta consultiva del regulador, y ello con independencia de las facultades represivas o sancionadoras que de manera simultánea se les reconoce, y que los mismos ostentan para el cumplimiento de sus fines.
Los poderes que los reguladores nacionales han de tener en común, han de incluir, al mismo tiempo, el poder de imponer una limitación temporal o definitiva a los tratamientos, y ello debe llevar incluida, por ejemplo, las facultades tendentes a su prohibición, en aquellas situaciones, en que motivadamente, ello sea pertinente para garantizar los derechos de los ciudadanos.
Este conjunto de facultades atribuidas a los reguladores, se encuentran ampliamente reforzadas en esta nueva normativa al establecerse en dicho Reglamento, la consideración relativa a que la aplicación del mismo, y el reconocimiento expreso a los poderes atribuidas a dichos reguladores, no constituye un límite jurídico, para que sean los propios Estados miembros quienes puedan especificar y atribuir a sus respectivas autoridades en la materia, de manera adicional, otras funciones y actuaciones relacionadas con la protección de datos personales, pero todo ello siempre respetando los límites establecidos, y con arreglo a lo dispuesto en dicho Reglamento.
Un capítulo al que hay que prestar especial interés, es el relativo a la necesidad de observar las garantías procesales, las cuales se caracterizan en primer término, por el acceso que siempre ha de tener el ciudadano a la jurisdicción, a los efectos de poder esgrimir y disipar cualquier controversia que se suscite con relación a la actuación del regulador.
Recientemente, hemos sido testigos de la importancia que la Unión Europea ha prestado expresamente al derecho al acceso a la jurisdicción.
Un ejemplo más que patente de ello lo encontramos en la desvirtuación de la doctrina “Safe Harbour” (puerto seguro), y la exigencia del reconocimiento a los E.E.U.U. de esta garantía, como punto de partida del respeto al derecho al “habeas data”.
El Reglamento General ha determinado que los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable.
Las garantías, como contrapunto de los poderes que ahora se reconocen, deben presidir todos los procesos administrativos, o incluso judiciales sobre la materia.
Lo que se exige de manera particularizada que todas las medidas que se adopten, como expresión de la limitación de la posición jurídica de los ciudadanos/administrados, deben ser fundamentalmente adecuadas, necesarias y proporcionadas con vistas a garantizar el cumplimiento de lo previsto en el citado Reglamento.
Se hace especial alusión que tienen las autoridades administrativas de proceder siempre teniendo en cuenta las circunstancias concurrentes en cada caso concreto, sin que para ello sea evidentemente óbice alguno, el hecho de que se encuentre debidamente consolidada una línea de doctrina o jurisprudencia, que marque el cauce a seguir en supuestos que presente identidad de razón, ya que, de lo contrario, se conculcaría el derecho a la igualdad en la aplicación de la ley (v.gr.: artículo 14 de la CE).
Del mismo modo, pero en este mismo sentido, se hace completamente necesario respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas.
En lo que atañe a los denominados “poderes de investigación”, que facultan para el acceso a instalaciones, el Reglamento supedita su ejercicio de acuerdo con los requisitos específicos propios del Derecho procesal de los cada uno de los Estados miembros, con especial referencia, como no podía ser de otro modo, al de la autorización judicial previa, en la forma y en el fondo tal como se encuentre establecido con carácter general por cada uno de los Estados miembros de la Unión Europea.
Constituye una clara voluntad del legislador comunitario, como antes se indicó, reforzar los poderes de las autoridades de protección de datos, pero sin que ello conlleve, en todo caso, una merma o quiebra de las garantías jurídicas que debe presidir el funcionamiento de todo estado de derecho.
Por ello, señala el Reglamento, que toda medida jurídicamente vinculante de la autoridad de control debe constar por escrito, ser clara e inequívoca, indicar la autoridad de control que dictó la medida, y la fecha en que se dictó, llevar la firma del director o de un miembro de la autoridad de control autorizado por este, y finalmente, especificar los motivos de la medida y mencionar el derecho a la tutela judicial efectiva.
Estos principios, ciertamente elementales y básicos, son imprescindibles para garantizar el correcto funcionamiento de las autoridades de control, y que tanto sus actuaciones, como sus resoluciones, se ajusten plenamente a derecho, y a las expectativas razonables que los ciudadanos esperan del funcionamiento de sus instituciones en materia de protección de datos.
Del mismo modo, el establecimiento de este conjunto de garantías no debe llevar consigo una limitación de la capacidad normativa de los Estados miembros, en el sentido, de que puedan establecerse requisitos adicionales, con arreglo al Derecho procesal de los Estados miembros, y ello por ejemplo, puede ser representativo el establecimiento de otras garantías adicionales, o una reinterpretación de las establecidas en el indicado Reglamento, sin que ello conlleve detrimento o quiebra alguna de los derechos que asisten a los ciudadanos según el derecho nacional.
Finalmente, debe tenerse en cuenta que la adopción de una decisión jurídicamente vinculante por parte de una autoridad nacional, tal como antes se anticipó, debe conllevar siempre, que la misma pueda ser objeto de control judicial en el Estado miembro de la autoridad de control que adoptó la decisión.
