El Pleno del Consejo General del Poder Judicial (CGPJ) aprobó ayer, por unanimidad, el informe al anteproyecto de Ley Orgánica de protección de datos de carácter personal, aunque ha propuesto articular un procedimiento judicial completo para resolver las reclamaciones contra las transferencias internacionales de datos personales.
El texto, del que han sido ponentes los vocales Enrique Lucas y Álvaro Cuesta, analiza diversos preceptos del anteproyecto -en concreto, 7 artículos, una disposición adicional y una disposición final- que contienen normas procesales o que afectan al CGPJ en tanto que autoridad de protección de datos en relación con los tratamientos de datos con fines jurisdiccionales o en su calidad de órgano constitucional en cuya actividad debe observar la normativa en materia de protección de datos personales.
El objetivo de este anteproyecto de ley es adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y que debe entrar en vigor el 25 de mayo de 2018.
Así, dado que la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 de la Constitución y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho, el CGPJ considera que su informe no debería limitarse a los preceptos señalados y anuncia que se pronunciará sobre el resto en cuanto le sea posible.
El punto central del informe hace referencia a la autorización judicial en materia de transferencias internacionales de datos, que prevé el trámite que se dará a la reclamación que un afectado cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país -no comunitario, pero que haya sido declarado con nivel adecuado de protección por la Comisión Europea- presente ante la Agencia Española de Protección de Datos (AEPD) por considerar que el tratamiento de datos personales infringe el Reglamento 2016/679.
PROCEDIMIENTO JUDICIAL PROPUESTO
A este respecto, el CGPJ considera que sería más adecuado que la Ley Orgánica contemplara «la completa configuración de un procedimiento judicial desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión».
Así, siguiendo el modelo que ofrece la ley alemana, ese procedimiento trasladaría al tribunal nacional la decisión positiva de la validez de la decisión de la Comisión o, en caso de que considerara justificadas las dudas acerca de su conciliación con el Derecho de la Unión, el planteamiento de la cuestión prejudicial de validez.
La configuración legal del procedimiento, que se tramitaría por la vía contencioso-administrativa, debería contemplar la legitimación de la autoridad de control -la Agencia Española de Protección de Datos- para formular la solicitud ante el órgano judicial; la forma en que debe deducirse la solicitud y los efectos de la misma en el procedimiento seguido ante la AEPD; la condición de parte actora de la AEPD y, en garantía del principio de contradicción, la intervención como parte en el procedimiento de todos los interesados; así como la intervención de la Comisión Europea cuya decisión de adecuación está en cuestión.
Además, la disposición debería ir acompañada de la imprescindible atribución competencial al correspondiente órgano jurisdiccional que, tal y como se contempla en el anteproyecto, podría recaer en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, por ser este el órgano natural competente para conocer de los recursos contra las resoluciones de las autoridades de control.
El informe aprobado concluye que este mecanismo procedimental se acomoda en todo a la jurisprudencia del Tribunal de Justicia de la Unión Europea y se ajusta a los requerimientos que derivan de la sentencia Schrems, que abordó la cuestión relativa a las facultades de las autoridades nacionales de control ante una decisión de la Comisión, siendo por tanto el modelo que debería seguir el prelegislador.
La alternativa, añade el texto, sería «articular un mecanismo de remisión prejudicial directa desde la autoridad de control -en España la AEPD-, en el marco del procedimiento en el que examina la reclamación formulada por el titular de los datos personales cuyo derecho se ha visto afectado por la transferencia internacional».
Para ello debería dotar a la autoridad de control, o a un órgano dentro de la misma creado a ese fin, de una configuración tal que permita reconocer en ella de forma indubitada e indiscutible los rasgos que, conforme a la jurisprudencia europea, caracterizan el concepto autónomo de «órgano jurisdiccional» con arreglo al cual se confiere la legitimación para abrir el diálogo prejudicial.
«Se posibilitaría, de ese modo, una tutela más directa y rápida del derecho fundamental, sin necesidad de configurar un procedimiento jurisdiccional ‘ad hoc’, ni de dotar de la correspondiente competencia a la Sala de lo Contencioso-Administrativa de la Audiencia Nacional mediante la imprescindible modificación de la Ley Orgánica del Poder Judicial», concluye el informe. EP.
