lunes, 17 de diciembre de 2018

Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales: aplicación en situaciones internacionales


                Ni el artículo 2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), relativo al “Ámbito de aplicación de los títulos I a IX y de los artículos 89 a 94”, ni otras disposiciones de la citada norma, regulan su ámbito de aplicación a las situaciones internacionales. La ausencia de una norma sobre el ámbito territorial o espacial de la LOPDGDD se corresponde con la circunstancia de que esta ley tiene fundamentalmente por objeto, conforme a su artículo 2, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) y completar sus disposiciones. Como es conocido, y he tratado ya en otros lugares (por ejemplo, aquí), el RGPD sí dedica su artículo 3, una de sus disposiciones esenciales, a concretar su ámbito territorial. Con carácter general, debe entenderse que los criterios establecidos en el artículo 3 RGPD resultan también determinantes para concretar el ámbito territorial de aplicación de la LOPDGDD en la medida en que sus disposiciones tengan por objeto  desarrollar o complementar el RGPD. De este modo, el artículo 3 RGPD limita el alcance del artículo 2.1 LOPDGDD, según el cual “(l)o dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales”. Ahora bien, el artículo 3 RGPD va referido a la delimitación de su ámbito territorial de aplicación (y de la normativa complementaria de los Estados miembros, como las disposiciones relevantes de la LOPDGDD) en las situadas conectadas con Estados terceros. Al tratarse de un Reglamento, normalmente no resultará necesario en las situaciones intracomunitarias determinar la legislación de qué concreto Estado miembro es aplicable con respecto a las materias objeto del RGPD. No obstante, el contenido de la LOPDGDD es ilustrativo de la peculiaridad del RGPD a este respecto. En la medida en que en ciertos ámbitos el RGPD no lleva a cabo una unificación plena, sino que prevé que los Estados miembros pueden complementarlo, especificando o restringiendo sus normas, se planteará en algunas situaciones la necesidad de concretar la legislación de qué Estado miembro es aplicable en situaciones intracomunitarias. Por ejemplo, en relación con la edad para el consentimiento de los niños el artículo 8 del RGPD establece que el tratamiento será lícito si el menor que lo ha consentido tiene 16 años, pero permite que los Estados miembros puedan establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años. El artículo 7 LOPDGDD fija a estos efectos la edad de catorce años. En consecuencia la licitud del tratamiento de los datos personales de un menor de entre 13 y 16 años fundado en su consentimiento dependerá de la legislación del Estado miembro que resulte aplicable a esta concreta cuestión. En el sistema del RGPD no debe corresponder a las legislaciones de los Estados miembros la determinación de la ley aplicable en esas situaciones sino que lo apropiado es que opere un criterio común de Derecho de la Unión.


I. Alcance territorial de los procedimientos ante la AEPD

                El artículo 66 LOPDGDD sí lleva por título “Determinación del alcance territorial”, pero no va referido al alcance territorial de la Ley sino al de los procedimientos en caso de posible vulneración de la normativa de protección de datos que se sigan ante la Agencia Española de Protección de Datos. El artículo 66.1 LOPD contempla que la AEPD, con carácter previo a cualquier actuación respecto de una reclamación o actuación de investigación, debe “examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir”, salvo cuando el procedimiento se tramite como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la reclamación formulada ante la misma, cuando la AEPD tuviese la condición de autoridad de control principal en los términos del RGPD.

                Cabe recordar que, según el artículo 4.23) RGPD el término “tratamientos transfronterizos” incluye dos tipos de supuestos: “a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro”. En la medida en que la supervisión de la aplicación del RGPD  es responsabilidad de las autoridades de control de los Estados miembros, en las situaciones vinculadas con más de un Estado miembro resulta de importancia la determinación del Estado o Estados miembros cuyas autoridades de control son competentes, aunque a diferencia de la Directiva 95/46/CE, en el RGPD no son ya decisivos a este respecto los criterios sobre el ámbito de aplicación territorial de la legislación sino normas específicas sobre competencia en el ámbito administrativo.

El RGPD introduce un modelo de ventanilla única y regula un régimen específico para la determinación de las autoridades de control competentes en ciertas situaciones vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo a varias autoridades de control. En este contexto, se enmarca el artículo 66 LOPDGDD, al establecer en su artículo 65.2 que con carácter previo a la tramitación de cualquier procedimiento ante la AEPD resulta preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal. Como excepción a la aplicación del procedimiento de coordinación liderado por la autoridad de control principal o mecanismo de ventanilla única, regulado en el artículo 60 del RGPD, el Reglamento contempla que cada autoridad de control es competente para tratar una reclamación que le sea presentada o una posible infracción del RGPD, cuando se refiera únicamente a un establecimiento situado en su Estado o solo afecte de manera sustancial a interesados en su Estado (art. 56.2), incluso cuando sean procedimientos relativos a responsables o encargados con establecimiento principal en otro Estado miembro.

No obstante, el procedimiento típico en relación con los tratamientos transfronterizos es el de cooperación del art. 60 del RGPD, que fija el marco en el que la autoridad de control principal debe cooperar con las demás autoridades de control interesadas para esforzarse en llegar a un consenso de cara a adoptar una decisión vinculante (la LOPDGDD presta especial atención a la eventual intervención de las autoridades autonómicas). La autoridad de control principal puede solicitar asistencia mutua (art. 61) y la realización de operaciones conjuntas (art. 62) y es a ella a quien corresponde preparar un proyecto de decisión. Si alguna de las autoridades de control interesadas presenta objeciones al proyecto de decisión con las que no esté de acuerdo la autoridad de control principal, ésta habrá de someter el asunto al mecanismo de coherencia del art. 63. Dicho mecanismo contempla que el Comité Europeo de Protección de Datos adopte decisiones vinculantes, entre otros casos, en aquellas situaciones en las que haya divergencias sobre cuál de las autoridades de control “es competente para el establecimiento principal”. Se trata de una cuestión sobre la que el entonces denominado Grupo de trabajo del artículo 29 ya adoptó unas pautas al poco tiempo de adopción del Reglamento (en concreto, sus Directrices sobre la identificación de la autoridad de control principal de los responsables y encargados de tratamiento).

II. Determinación de la normativa aplicable

Aunque el artículo 66 LOPDGDD no va referido al ámbito de aplicación territorial de la LOPDGDD, sí es cierto que en relación con las actuaciones de las autoridades de control el criterio de partida ha de ser la correlación entre la autoridad competente y la normativa aplicable, por ejemplo en todo lo relativo a las normas de procedimiento. Ahora bien, no cabe desconocer que esa correlación se traduce básicamente en la aplicación por todas las autoridades nacionales de control de los Estados miembros de las disposiciones del RGPD. Sin embargo, no es posible afirmar con carácter general la correlación plena entre la concreta autoridad nacional de control y la aplicación de sus concretas normas de complemento del RGPD.

De hecho, cuando deba seguirse el procedimiento de cooperación del artículo 60 RGPD cabe entender que la idea de estricta correlación entre autoridad competente y legislación aplicable –en lo relativo a los aspectos del RGPD especificados o restringidos por las legislaciones nacionales- debe ser reelaborada, para eventualmente poder tener en cuenta junto al propio RGPD las particularidades de las legislaciones de los varios Estados miembros afectados (incluso en este marco parte del art. 3 RGPD puede ser un útil referente hermenéutico). Se trata de una circunstancia que también puede tener importantes implicaciones –y plantear nuevos retos- en lo relativo a la tutela judicial frente a la decisión de la autoridad de control, en la medida en que no cabe excluir que en la decisión objeto de recurso hayan sido tenidas en cuenta normas que especifican o restringen el RGPD de las legislaciones de Estados miembros afectados distintos de aquel cuya autoridad de control adopta la decisión y cuyos tribunales son competentes para conocer del eventual recurso conforme al artículo 87 RGPD.

Otro elemento a tener en cuenta es que la eventual licitud o ilicitud de un concreto tratamiento (por infringir o no el RGPD)  no debería variar en función de la autoridad o tribunal que conozca de una determinada reclamación o litigio. Los criterios para determinar la ilicitud de un concreto tratamiento de datos de un menor –o dicho de otro modo la edad que ha de tener el menor para que su consentimiento resulte determinante de la licitud en un caso concreto- deben ser los mismos con independencia de que la cuestión relativa a ese concreto tratamiento se plantee en el marco de una reclamación tramitada ante la autoridad de control de un Estado miembro o de otro o en el marco de un proceso judicial –por ejemplo al hilo de una demanda relativa a la aplicación privada del derecho de protección de datos- que eventualmente se inicie ante los tribunales de un Estado miembro distinto que puedan tener competencia para conocer de la demanda civil en cuestión.

En la medida en que lo apropiado es que opere un criterio común de Derecho de la Unión para establecer el Estado miembro cuya normativa “complementaria” del RGPD es aplicable para determinar la licitud o ilicitud del tratamiento conforme al RGPD, cabe considerar que, aunque no esté diseñado para esa función, el art. 3 RGPD puede servir de referencia al respecto. Normalmente la legislación complementaria del RGPD aplicable habrá de ser, en aquellos ámbitos en los que no opere una estricta correlación entre autoridad competente y ley aplicable (como es propio de los aspectos relativos al procedimiento), la de establecimiento del responsable (solo si está situado en un Estado miembro) o la del Estado miembro en el que se encuentre el interesado. En el caso de las normas relativas al consentimiento de los menores, su fundamento parece aconsejar acudir en principio a esta segunda opción, cuya aplicación práctica se ve favorecida por el empleo generalizado de mecanismos de geolocalización. En otros supuestos, puede resultar más apropiado –y coherente con los fundamentos del mercado interior- el recurso a la normativa del Estado miembro en el que el responsable o encargado del tratamiento tenga su establecimiento principal.

Ahora bien, en muchas situaciones el fundamento de las disposiciones nacionales que especifican lo previsto en el RGPD puede resultar determinante para concretar su ámbito de aplicación. Por ejemplo, si las especificaciones tienen que ver con el tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, cabe entender que las disposiciones nacionales relevantes serán las del Estado miembro que impone la obligación legal en cuestión, al que va referido la misión en interés público de que se trate o, en su caso, aquel que confiere al responsable el ejercicio de poderes públicos en cuestión.

III. Tutela civil de la legislación de protección de datos

                A diferencia del RGPD, la LOPDGDD no hace referencia específica a la llamada tutela privada del derecho a la protección datos, salvo en lo relativo a la responsabilidad de los representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea, a los que me referiré más adelante. Como es sabido, la tutela privada del derecho a la protección de datos gira básicamente en torno al derecho a indemnización y responsabilidad regulado en el artículo 82 RGPD, que en su artículo 79 incluye reglas de competencia internacional específicas para la salvaguarda del derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, en relación con el ejercicio de acciones civiles por las personas que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD.

                Las normas del RGPD, en tanto que legislación sobre protección de datos, son dentro de su ámbito territorial aplicables en todo caso por los tribunales de los Estados miembros para determinar si los derechos de los interesados con base en el RGPD han sido vulnerados por un tratamiento de datos. Ello no excluye que sea preciso determinar conforme a las reglas de conflicto correspondientes, por ejemplo, la ley aplicable a los aspectos de la responsabilidad civil derivada de tal infracción no regulados por el RGPD, por ejemplo, en España a partir del artículo 10.9 Cc, a falta de una regla específica y ante la exclusión de esta materia del Reglamento Roma II. Ahora bien, en la medida en que para determinar la ilicitud del tratamiento por ser contrario al RGPD deba establecerse el concreto Estado miembro cuya normativa complementaria del RGPD ha de tenerse en cuenta, habrá que estar a lo indicado en la sección precedente, habida cuenta de que las normas de conflicto nacionales, como es el caso del 10.9 Cc, no pueden ser determinantes a ese respecto.

IV. Responsabilidad civil de los representantes

               Como adelantaba, el artículo 30.2 LOPDGDD, relativo a los representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea, merece aquí una especial atención. El artículo 27 RGPD impone la obligación a los responsables o encargados no establecidos en la Unión Europea, a los que resulte de aplicación el RGPD en virtud de su artículo 3.2, de designar un representante  establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado. El artículo 30.2 LOPDGDD establece que en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del RGPD, “los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados”. Desde el punto de vista sustantivo parece una norma no exenta de problemas, como ya señalé en relación con el Anteproyecto de Ley Orgánica.

El artículo 82 (y el considerando 146) del RGPD sólo contempla la responsabilidad de los responsables y los encargados, por lo que la norma de la LOPDGDD parece pretender extender el círculo de responsabilidad a los representantes. Por su parte, el cdo. 80 del RGPD, si bien contempla que el representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado, prevé que la designación del representante no afecta a la responsabilidad del responsable o del encargado en virtud del presente RGPD. En la misma línea el artículo 27.5 del RGPD prevé que la designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado. Con respecto a los encargados, el artículo 82.2 del RGPD prevé: “Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.” En este contexto, llama la atención formulación tan amplia del artículo 30.2 LOPDGDD –relativo a la responsabilidad civil por daños y perjuicios- y la inclusión en esos términos de los representantes. La falta de coherencia con el RGPD del planteamiento del artículo 30.2 se ve acentuada por la circunstancia de que el fuero de competencia del artículo 79 RGPD en esta materia sólo contempla las acciones contra un responsable o encargado del tratamiento, pero no contra un representante (quien puede estar domiciliado en un Estado miembro distinto al del interesado).

               El ámbito de aplicación del artículo 30 LOPDGDD también merece particular atención. Por una parte, la norma en su apartado 1, ideado para la actividad de las autoridades de supervisión, limita su aplicación a aquellos casos en los que siendo precisa conforme al RGPD la designación de un representante “el tratamiento se refiera a afectados que se hallen en España”, lo que proyecta sobre el ámbito nacional el criterio utilizado en el artículo 3.2 del RGPD y pretende operar como elemento que condiciona cuándo se aplica la legislación española (incluso frente a la de otros Estados miembros). Ahora bien, especialmente en el ámbito de la exigencia de responsabilidad civil a la que va referido el apartado 2 del artículo 32 ese requisito puede plantear un riesgo de descoordinación con la aplicación del artículo 82 RGPD. En principio la ley aplicable a la determinación de los responsables y al alcance de su responsabilidad en el marco de un acción civil por daños vendrá determinada, en la medida en que no se trate de una cuestión regulada por el RGPD, por la ley aplicable a la responsabilidad extracontractual (en España, en principio, el art. 10.9 Cc). Una interpretación de esta última norma en el sentido de que el lugar donde ocurre el hecho del que deriva la obligación extracontractual coincide en estos casos con el lugar donde se hallen los afectados puede contribuir a evitar el aludido riesgo de descoordinación. En todo caso, la libre circulación de datos personales en el mercado interior y la libre circulación de los servicios de la sociedad de la información entre los Estados miembros son también elementos a ponderar en este ámbito.

V. El Título X sobre “Garantía de los derechos digitales”

                El Título X de la LOPDGDD ha sido utilizado para dar cabida a una seria de normas heterogéneas, muchas de ellas de carácter meramente programático, y que en su mayor parte no son normas destinadas a complementar el RGPD en cuestiones reguladas por este, de modo que quedan al margen del análisis anterior.

Dejando a un lado su pretendida buena intención, la efectividad práctica de muchas de esas disposiciones, en particular de sus artículos 89 a 93, –con afirmaciones abiertamente contrarias a la realidad de los hechos (por ejemplo en lo relativo al acceso a Internet)- resulta, como mínimo, incierta, y su formulación en un texto legal discutible, incluso desde la perspectiva de su coordinación con otras normas de nuestro ordenamiento. Por ejemplo, la referencia en el artículo 79, bajo el rótulo, nada más y nada menos que “(l)os derechos en la Era digital”, a los “prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet”, parece desconocer que el concepto consolidado –y procedente del Derecho de la Unión- de “prestadores de servicios de la sociedad de la información” incluye todos los proveedores de servicios de Internet. Otras normas cabe pensar que nada aportan a la luz del contenido previo de nuestro ordenamiento, como es el caso del escueto artículo 82 relativo al “Derecho a la seguridad digital”.  La formulación de alguna de esas normas es manifiestamente deficiente, como las que hacen referencia a que “(E)l acceso a Internet procurará…” o “(E)l acceso a Internet deberá garantizar…” (¿quién es el acceso a Internet?), la que alude a “la utilización de las TIC”, sin aclarar en ningún lugar qué ha de entenderse por “TIC” (no se trata de un documento técnico para entendidos sino de una Ley Orgánica), o la que contempla que los planes de estudio “garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet”. (Tampoco estaría de más que en el apartado III del Preámbulo de una Ley de 5 de diciembre de 2018 no se dijera “…adaptación al Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de 2018”).

Algunas normas del Título X sí van referidas a cuestiones complementarias de las tratadas en el RGPD, como parece ser en general el caso de las contenidas en los artículos 89 a 94 (derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, derechos digitales en la negociación colectiva, protección de datos de los menores en Internet, derecho al olvido en búsquedas de Internet,  y derecho al olvido en servicios de redes sociales y servicios equivalentes). En consecuencia, con respecto al ámbito territorial de estas normas cabe entender que el criterio de base es la aplicación del artículo 3 RGPD en línea con lo ya señalado en los apartados anteriores. Todo ello sin perjuicio de que el alcance territorial preciso de alguna de estas normas continúe suscitando dudas, como ilustra en relación con el llamado derecho al olvido ante motores de búsqueda el asunto C-507/17, ante el TJUE). También en el Título X figuran otras normas que merecerán un análisis específico a estos efectos, como la relativa al derecho al testamento digital (art. 96).