PUBLICIDAD
PUBLICIDAD

España se olvidó de las fuentes de acceso público en el Reglamento y en la LOPDGDD

El autor de la columna, Josep Jover, abogado. Foto: Isaac Meler.
|

Hemos hablado en los artículos precedentes de las auditorias LOPDGDD, su obligatoriedad, su periodicidad y su nueva función. También hemos hablado de las sanciones y su nuevo rango; nada que ver el proceso sancionatorio con los “atracos” sufridos hasta ahora y justificados, muchos de ellos, por la Audiencia Nacional.

También visionamos la videovigilancia y su “todo el campo es orégano” y acabamos señalando la desaparición en la Ley de la regulación de los datos de salud, de opinión y biométricos.

Pero no podríamos marcharnos sin hablar de las “fuentes de acceso publico”: Hemos cedido nuestra soberanía a la Union Europea en el tema de protección de datos de carácter personal.

Y eso ha sido en dos fases: la primera, a través de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y, posteriormente, la segunda, a través del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

PUBLICIDAD
PUBLICIDAD

Para hacer un símil, en la primera fase, la de la Directiva, lo que hace la UE es construir unos cimientos, y sobre ellos, los estados pueden construir lo que crean oportuno: El Reglamento Europeo correspondería, a una segunda fase, a la construcción, sobre esos cimientos comunes, de la caja del edificio.

Todos los Estados tienen los mismos cimientos, forma y volumen edificado; eso es cierto, pero a partir de ahí, cada Estado debe ocuparse de hacer las distribuciones internas, decidir el techado, poner las ventanas ajustadas para su clima, etc.

Así, solo se tiene capacidad de adaptar con una norma interna ese mínimo común denominador que es el Reglamento europeo, y en la medida que el Reglamento lo permite.

PUBLICIDAD

Nos encontraremos con Estados muy concienciados que pondrán cristal doble en las ventanas, el tejado a prueba de tifones y calefacción central, y otros que creen que, para sus intereses, o mejor dicho, los de sus dirigentes, les basta con un tejado de uralita y unos plásticos para cuando llueve.

Lo anteriormente explicado se ve de manera palmaria con las llamadas “fuentes de acceso público”.

En la extinta LOPD, quedaban señaladas indubitativamente. Eran el censo promocional, lo publicado en gacetas oficiales y lo publicado por los medios de comunicación.

PUBLICIDAD

Otros países han continuado con esa definición que nace de la derogada directiva y que la UE permite a los estados mantener.

PUBLICIDAD

El Estado Español, decidió olvidarse de ese concepto que ya ni figura en el Reglamento ni en la LOPDGDD y que otros Estados, como por ejemplo el francés sí han mantenido.

Una paradoja

Así, cualquier dato que se publique en las redes sociales, boletines, medios o por la calle, es susceptible de ser aprehendido y tratado, porque se entiende que es público.

Esto nos lleva a la paradoja que, pongamos el ejemplo, de que un tercero ha colgado sin mi autorización un dato personal familiar mío, digamos una fotografía de mi entorno familiar, fotografía que nunca colgaría, en ningún caso.

Pues bien, posiblemente por publicar ese dato personal, la persona que lo ha hecho habría de responder delante de la Justicia.

PUBLICIDAD

Pero, hete aquí, que cualquier tercero podría recaudar ese dato y tratarlo sin mi permiso, ya que es un dato que ha devenido publico.

La suspensión de ese tratamiento vendría a partir de la acreditación de la primera ilicitud.

Recordemos el carajal que se montó con el tema de recaudación de esos datos por parte de los partidos políticos, como públicos que son, y que la AEPD, visto el escándalo montado, ha emitido un bienintencionado dictamen, para evitar que la quemasen en hoguera pública.

Y puede ser cierto que directamente no los utilicen, pero es el propio Reglamento amplía esa excepción de consentimiento a las fundaciones, centros filosóficos, entidades sin ánimo de lucro, etc.

Recordemos la excepción a la autorización de tratamiento del artículo 9 del Reglamento General de Protección de Datos. Si…

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares( concepto más que indeterminado)con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados; Y aquí cabria añadir “y que no sean públicos”.

Todo dato publicado es, en principio, público

Actualmente pues, todo dato publicado es, en principio público. Aunque su publicación sea ilícita.

Y finalmente me queda una duda;

¿De quién es la potestad sancionadora?, y realmente, ¿es una potestad?, o ¿una delegación de competencias?.

Si nos leemos el RGPD llegaremos a la conclusión que es solo una delegación de competencias, con obligación de ponerse en línea la Administración con unos estándares determinados que quedan más allá de la discrecionalidad de la AEPD o de la Magistratura.

Así, el antecedente 13 el RGPD nos dice:

(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos… con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentesen todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros.

Y es que estamos delante de una cesión completa de soberanía. Ello es así y queda acreditado por la sentencia del TJUE Van Gend & Loos de 5 de febrero de 1963. España ya no es soberana en materia de Protección de Datos. Es el Reglamento, que le otorga unas competencias a España a partir de esa soberanía cedida. 

El RGPD plantea así el marco sancionatorio ya desde el 25 de mayo de 2016, (fecha de entrada en vigor del reglamento), obligando a que las sanciones sean equivalentes independientemente del lugar donde ocurra la contravención, y con especial ponderación a las pequeñas y medianas empresas.

Cualquier sanción fuera de ese marco desde el 25 de mayo de 2016 plantearía la Responsabilidad del Estado por la no aplicación prevalente del Derecho de la Unión.

Y junto con la del Estado, la de los funcionarios intervinentes, sean jueces o no.

Y ya me callo, porque sé lo pesado que llego a ser.