PUBLICIDAD
PUBLICIDAD

El Congreso finalmente aprueba la transposición de la Directiva Europea por la que España fue condenada a pagar 15 millones de euros por el TJUE

TENÍA QUE HABER SIDO CONVERTIDA EN LEY ESPAÑOLA EL 6 DE MAYO DE 2018 España fue demandada por la Comisión Europea ante el TJUE por no haber transpuesto, el 6 de mayo de 2018, la ‘Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo. El tribunal de Luxemburgo condenó a España con 15 millones de euros de sanción más 89.000 euros diarios –a contar desde el 25 de febrero pasado– hasta que se publique en el BOE. Tras la aprobación por el Congreso resta que lo complete el Senado.
| | Actualizado: 19/04/2021 12:28

A esos 15 millones de euros hay que añadir otros 4.806.000 euros, hasta hoy. La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) C-658/19 impuso a España los 15 millones más 89.000 euros diarios hasta el día en que la ‘Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo fuera transpuesta, que será cuando sea publicada en el Boletín Oficial del Estado.

Desde el 25 de febrero hasta hoy han pasado 54 días, que multiplicados por los 89.000 euros diarios, dan esa cifra. La final superará, posiblemente, los cinco millones de euros. Total, más de 20 millones de euros por nos haber transpuesto la Directiva en tiempo y forma, ese decir, el 6 de mayo de 2018. Hace dos años y once meses.

El Pleno del Congreso de los Diputados finalmente aprobó la pasada semana el Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que remitió al Senado, donde continúa su tramitación parlamentaria.

El objeto de este proyecto de Ley Orgánica es establecer «las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública».

PUBLICIDAD
PUBLICIDAD

El texto aprobado también define qué autoridades públicas tienen competencias para el tratamiento de estos datos personales: las Fuerzas y Cuerpos de Seguridad; las Administraciones Penitenciarias, la Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

También se considerarán competentes las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.

Para Albert Castellanos, socio de la firma DPLL y vocal de la Comisión de Transformación Digital del Colegio de la Abogacía de Barcelona (ICAB), el Proyecto tiene como objetivo principal, de conformidad con lo que su propia Exposición de Motivos indica: transponer al ordenamiento jurídico español el contenido de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Castellanos recuerda la Directiva se aprobó conjuntamente con otros dos instrumentos normativos en la misma fecha, el 27 de abril de 2016. Esto es, el Reglamento General de Protección de Datos (RGPD) y la Directiva (UE) 2016/681, sobre la utilización de datos del registro de nombres de pasajeros (Directiva PNR).

PUBLICIDAD

“No se trata de una cuestión baladí, pues dichas normativas deben de entenderse como un mismo cuerpo jurídico que resulta complementario para su respectiva interpretación. Máxime, si tenemos en cuenta, que todas ellas intentan regular cuestiones vinculadas al derecho fundamental a la protección de los datos personales”, aclara

Este experto señala que el Proyecto llega tarde -y mal-, como suele ser costumbre en la técnica legislativa española.

Esta tesitura ha motivado que el Consejo de Ministros haya optado por la tramitación del Proyecto a través de los cauces del procedimiento de urgencia previsto en los artículos 93.1 del Reglamento del Congreso de los Diputados y 133.1 del Reglamento del Senado.

PUBLICIDAD
De acuerdo con Albert Castellanos, de la firma DPLL y vocal de la Comisión de Transformación Digital del Colegio de la Abogacía de Barcelona (ICAB), el Proyecto de Ley llega tarde -y mal-, como suele ser costumbre en la técnica legislativa española.

COPIA EXACTA DE LA DIRECTIVA EUROPEA

Respecto a su deficiente técnica legislativa, este experto indica que “su literalidad supone en muchos casos, casi una copia exacta del contenido previsto en la Directiva, que le lleva a incluir conceptos erróneos o poco precisos”.

Un ejemplo de lo anterior se denota con la inclusión del concepto “fichero” en determinados puntos, cuya utilización quizás hubiera sido mejor sustituida por “tratamiento”, en consonancia con la legislación vigente en materia de protección de datos.

PUBLICIDAD

Castellanos recuerda que “sin perjuicio de ello, se trata de una norma necesaria para articular la cooperación judicial y penal en el contexto comunitario con las debidas garantías o, al menos, con mayores que las actuales”.

El Proyecto se estructura en sesenta y cinco artículos, cinco disposiciones adicionales, una disposición derogatoria y diez disposiciones finales.

Este jurista señala que “intenta conjugar una serie de garantías destinadas a tutelar los derechos y libertades de los afectados en contextos donde sus datos puedan verse involucrados en tratamientos llevados a cabo por las autoridades, que tengan por finalidad la prevención, investigación, detección o enjuiciamiento de infracciones penales -especialmente, vinculadas a la lucha contra el terrorismo”.

PUBLICIDAD

“Entre dichas garantías, se encuentra la prohibición de tratar categorías especiales de datos personales, salvo que ello resulte estrictamente necesario y se cumplan una serie de condicionantes”, comenta.

También revela que “la norma también aboga por la prohibición de adoptar decisiones individuales automatizadas, incluida la elaboración de perfiles, en consonancia con las recomendaciones que había tenido ocasión de apuntar el Supervisor Europeo de Protección de Datos cuando tuvo la oportunidad de emitir su opinión sobre la Directiva PNR».

REGULA EL DERECHO DE ACCESO, RECTIFICACIÓN Y SUPRESIÓN DE LOS DATOS DE LOS AFECTADOS

Castellanos destaca que se regulan los derechos de acceso, rectificación, supresión y limitación del tratamiento para los afectados, siempre que su ejercicio no obstaculice una investigación o la propia seguridad nacional. Asimismo, se prevén una serie de periodos de conservación de los datos y plazos de revisión sobre los datos tratados.

Por otro lado, se intenta garantizar que el movimiento de datos pueda realizarse sin restricciones derivadas de la protección de datos de carácter personal.

“El proyecto prevé incluso un capítulo exclusivo destinado a regular las transferencias internacionales de datos a un tercer país o organización internacional”, subraya.

Para estos supuestos, cree que “resultará esencial tener en cuenta las consideraciones efectuadas por el TJUE en su reciente sentencia, del pasado 16 de julio de 2020, en el asunto C-311/18, comúnmente conocida como Schrems II”.

Por último, se prevé un cuadro sancionador que puede oscilar entre multas de 6.000 euros para infracciones leves hasta los 1.000.000 euros para las muy graves.

Castellanos subraya que “se puede concluir afirmando que el mismo parece esperanzador, por incluir toda una serie de cuestiones que abogan por la licitud y transparencia en el tratamiento de datos personales, sobre las que tendremos que esperar para ver como despliegan su efectividad práctica”.

Para este experto, “en el momento en que se realiza un ejercicio de transposición como el que se exige en este supuesto, debe primar la protección de los derechos fundamentales frente a otros intereses que puedan entrar en jaque”.

GARANTÍA PARA PROTEGER DATOS PERSONALES

Por su parte, Mireia Paricio, secretaria de la Junta Directiva de Asociación Profesional Española de Privacidad (APEP) y abogada del área de protección de datos y tecnología en Ceca Magán Abogados, recuerda que “el Proyecto de Ley establece mayores garantías para hacer respetar el derecho fundamental a la protección de datos de los ciudadanos, en términos similares a lo establecido en el RGPD, con algunas especialidades en este ámbito”.

Entre las garantías de esta normativa “se reconocen idénticos principios reconocidos por el RGPD» sobre los derechos de las personas físicas que son parte en procesos penales, tales como víctimas, condenados, testigos y demás personas que tienen algún tipo de participación o presencia en los mismos.

Esto es “en cuestiones como la licitud del tratamiento, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, responsabilidad proactiva y seguridad del tratamiento adecuada a los riesgos para los derechos y libertades de las personas físicas”.

Respecto a la conservación de los datos, “cabe apuntar que el Proyecto de Ley va más allá de lo establecido en el RGPD al establecer un plazo máximo de conservación (20 años) y revisiones periódicas de la necesidad de conservar los datos (como máximo cada 3 años)”, subraya.

“En todo caso, el procedimiento de revisión debería documentarse y la decisión de ampliar el plazo de conservación de los datos debería estar debidamente justificada[1], en virtud del principio de responsabilidad proactiva”, advierte

“Se establecen también es este ámbito algunas obligaciones reconocidas de forma idéntica por el RGPD y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales [LOPDGDD], tales como la obligación de llevar documentado y actualizado un registro de actividades de tratamiento; de designar obligatoriamente a un delegado de Protección de Datos (dPD)”.

Paricio también destaca que debe “suscribirse un contrato de encargo de tratamiento con los encargados a los que se recurra que ofrezcan garantías suficientes; o la notificación obligatoria de las brechas de seguridad a la autoridad de control en el plazo de 72 horas y, en los casos más graves, a los propios interesados”.

Otra cuestión que la abogada destaca es que “se prohíben las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o que le afecten significativamente, salvo que esté autorizado expresamente por una ley, nacional o europea, y con las correspondientes salvaguardas adecuadas para los derechos y libertades y los intereses legítimos del interesado”.

Esta jurista señala que “existe la obligación de poner a disposición de los interesados la información relativa al tratamiento de sus datos, siendo algunos datos obligatorios en todo caso, y otros únicamente en casos concretos, pudiendo el responsable aplazar, limitar u omitir alguna información cuando resulte necesario y proporcional, por ejemplo, a fin de impedir que se obstaculice una investigación judicial en curso”.

“Igualmente, el responsable del tratamiento debe garantizar al interesado sus derechos de acceso, rectificación, supresión y limitación de su tratamiento, claro está, con una serie de restricciones, como lo son la posibilidad de denegar, total o parcialmente, las solicitudes de ejercicio de derechos cuando sea necesario, por ejemplo, para proteger la seguridad pública o la seguridad nacional”, revela.

Mireia Paricio, secretaria de la Junta Directiva de Asociación Profesional Española de Privacidad (APEP) y abogada del área de protección de datos y tecnología en Ceca Magán Abogados, opina que el Proyecto de Ley debería crear una nueva cultura de protección de datos.

PROTECCIÓN DE DATOS PERSONALES

Desde su punto de vista “con todo ello, se garantizan los derechos y libertades fundamentales de las personas físicas, especialmente su derecho a la protección de los datos personales, a la vez se posibilita el ejercicio de las funciones de prevención, investigación o enjuiciamiento de infracciones penales por las autoridades competentes”.

Al mismo tiempo, “se incluye la obligación de cumplir con las medidas incluidas en el Esquema Nacional de Seguridad, en coherencia con lo dispuesto ya en el artículo 77 de la LOPDGDD, sin perjuicio de aplicar aquellas otras medidas que resulten del correspondiente análisis de riesgos, tal y como ha venido informando reiteradamente la AEPD”.

Paricio revela que “como novedades, el Proyecto de Ley prevé que los derechos puedan ejercitarse “a través” de la autoridad de control en relación con los supuestos en que, legítimamente, se aprecien limitaciones al ejercicio de los derechos de los afectados, lo que constituye una salvaguarda adicional para los interesados”.

Finalmente, destaca “un particular régimen sancionador para los sujetos infractores distintos de los señalados en el artículo 77.1 de la LOPDGDD, multas de hasta 1.000.000 de euros, en el caso de las infracciones muy graves. En todo caso, se tendrán en cuenta los criterios del RGPD y LLOPDGDD a los efectos de la determinación de la cuantía de la sanción».

Como conclusión, Mireia Paricio considera “que el Proyecto de Ley, al igual que hizo el RGPD, debería crear una nueva cultura de protección de datos, esta vez, en el seno de las autoridades competentes, basada en un planteamiento de cumplimiento proactivo y diligente, que pone en el centro al ciudadano, y en el que deberían tener un papel fundamental los profesionales de la privacidad y los delegados de protección de datos que, en cada caso, se designen”.