Como destaca en su Exposición de
motivos el Anteproyecto de Ley Orgánicade Protección de Datos de Carácter Personal (APLOPD), actualmente en
trámite de audiencia e información pública en la página web del Ministerio de
Justicia, una de las particularidades del Reglamento (UE) 2016/679, general de
protección de datos (RGPD) -aplicable a partir del 25 de mayo de 2018- es que,
frente a lo que resulta habitual como consecuencia de la aplicación directa
propia de los reglamentos de la Unión, el RGPD no sólo faculta a los Estados
miembros para mantener o adoptar disposiciones nacionales que especifiquen o
restrinjan sus normas en ámbitos importantes sino que además en esos casos
permite expresamente que las legislaciones nacionales incorporen en su texto
elementos del Reglamento. Es cierto que conforme al considerando 8 del RGPD esa
posibilidad se ciñe a “la medida en que sea necesario por razones de coherencia
y para que las disposiciones nacionales sean comprensibles para sus
destinatarios”. Consecuencia de este planteamiento del RGPD es que la continua
incorporación de elementos de un reglamento, que en otras circunstancias podría
ser muy criticable, deba merecer en este anteproyecto una valoración propia.
Por otra parte, el enfoque adoptado en el RGPD determina que, pese a la
pretendida superación de un modelo basado en la mera armonización de las
legislaciones nacionales por otro fundado en el establecimiento de una
legislación común en materia de datos personales para todos los Estados de la
Unión, lo cierto es que tras el 25 de mayo de 2018 se mantendrá un cierto nivel
de diversidad entre las legislaciones nacionales en algunos de los aspectos
regulados por el Reglamento. En esta reseña me voy a referir sólo a cómo cabe
entender que debe delimitarse en el marco del RGPD el ámbito de aplicación de
las distintas legislaciones nacionales que lo complementan, con especial
referencia a algunas dificultades que pueden surgir en los que el Reglamento
denomina “tratamientos transfronterizos”, así como a la circunstancia de que el
APLOPD incluye algunas disposiciones que pueden merecer una valoración
específica a este respecto, como es el caso de las normas sobre datos de
personas fallecidas (art. 3 y disp. adic. 7ª APLOPD) y la previsión de que los
representantes respondan solidariamente de los daños y perjuicios causados
(art. 32.2 APLOPD).
I. Planteamiento
Un
primer aspecto esencial con respecto al ámbito territorial es que en lo
relativo a las situaciones propiamente internacionales –es decir, conectadas
con terceros Estados o Estados no miembros de la UE- resulta en todo caso
determinante en relación con el RGPD –y el APLOPD en la medida en que regula
cuestiones incluidas en el RGPD- lo establecido en el artículo 3 RGPD. Sobre
esta norma, su comparación con la disposición equivalente de la Directiva
95/46/CE, y la ausencia en el RGPD de una norma que delimite el ámbito de
aplicación de las legislaciones de los diversos Estados miembros en las
situaciones intracomunitarias, me remito, para no repetirme, a lo que ya dije en
este otro lugar. Con carácter
general, cabe entender que en la medida en que especifiquen o restrinjan disposiciones
del RGPD la aplicación de las diversas legislaciones nacionales ha de venir en
primer lugar determinada por la tradicional correlación entre autoridad
competente y normativa aplicable que es característica del ámbito
administrativo, de modo que el ámbito de aplicación del APLOPD se corresponde
con la competencia de las autoridades administrativas españolas.
II. Correlación entre autoridad competente y ley aplicable en los
“tratamientos transfronterizos”
No obstante,
en ciertas situaciones pueden plantearse dificultades específicas, en especial
en relación con los denominados en el RGPD “tratamientos transfronterizos”. El
artículo 4.23) RGPD, al definir esta categoría, incluye dos tipos de supuestos:
“a) el tratamiento de datos personales realizado en el contexto de las
actividades de establecimientos en más de un Estado miembro de un responsable o
un encargado del tratamiento en la Unión, si el responsable o el encargado está
establecido en más de un Estado miembro, o b) el tratamiento de datos
personales realizado en el contexto de las actividades de un único
establecimiento de un responsable o un encargado del tratamiento en la Unión,
pero que afecta sustancialmente o es probable que afecte sustancialmente a
interesados en más de un Estado miembro”.
En la medida
en que la supervisión de la aplicación del RGPD
es responsabilidad de las autoridades de control de los Estados
miembros, en las situaciones vinculadas con más de un Estado miembro continúa
siendo de importancia la determinación del Estado o Estados miembros cuyas
autoridades de control son competentes, aunque a diferencia de la Directiva 95/46/CE,
en el RGPD no son ya decisivos a este respecto los criterios sobre el ámbito de
aplicación territorial de la legislación sino normas específicas sobre competencia
en el ámbito administrativo. El RGPD introduce un modelo de ventanilla única y
regula un régimen específico para la determinación de las autoridades de
control competentes en ciertas situaciones vinculadas con dos o más Estados
miembros, que evite el sometimiento cumulativo a varias autoridades de control.
A este respecto el APLOPD prácticamente se limita a establecer en su artículo
65.2 que con carácter previo a la tramitación de cualquier procedimiento ante
la Agencia Española de Protección de Datos resulta preciso determinar si el
tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué
autoridad de protección de datos ha de considerarse principal. Como excepción a
la aplicación del procedimiento de coordinación liderado por la autoridad de
control principal o mecanismo de ventanilla única, regulado en el artículo 60
del RGPD, el Reglamento contempla que cada autoridad de control es competente
para tratar una reclamación que le sea presentada o una posible infracción del
RGPD, cuando se refiera únicamente a un establecimiento situado en su Estado o
solo afecte de manera sustancial a interesados en su Estado (art. 56.2),
incluso cuando sean procedimientos relativos a responsables o encargados con
establecimiento principal en otro Estado miembro.
Ahora bien,
cabe recordar que el procedimiento típico en relación con los tratamientos
transfronterizos es el de cooperación del art. 60 del RGPD, que fija el marco
en el que la autoridad de control principal debe cooperar con las demás autoridades
de control interesadas para esforzarse en llegar a un consenso de cara a
adoptar una decisión vinculante. La autoridad de control principal puede
solicitar asistencia mutua (art. 61) y la realización de operaciones conjuntas
(art. 62) y es a ella a quien corresponde preparar un proyecto de decisión. Si
cualquiera de las autoridades de control interesadas formula una objeción
pertinente y motivada en un plazo de cuatro semanas, la autoridad de control
principal puede optar por seguir la objeción y adoptar la decisión en la que
estén de acuerdo todas las autoridades implicadas, que además notificará al
establecimiento principal del responsable o encargado, mientras que la
autoridad de control ante la que se haya presentado una reclamación informará de
la decisión al reclamante. En el supuesto de que la decisión sea desestimar o
rechazar una reclamación, será la autoridad de control ante la que se haya
presentado la que adopte la decisión, la notifique al reclamante e informe al
responsable del tratamiento, lo que condiciona la competencia en relación con
el derecho a la tutela judicial efectiva contra una autoridad de control. Si
alguna de las autoridades de control interesadas ha presentado objeciones al
proyecto de decisión con las que no esté de acuerdo la autoridad de control
principal, ésta habrá de someter el asunto al mecanismo de coherencia del art.
63. Dicho mecanismo contempla que el Comité Europeo de Protección de Datos
adopte decisiones vinculantes, entre otros casos, en aquellas situaciones en
las que haya divergencias sobre cuál de las autoridades de control «es
competente para el establecimiento principal»; así como cuando una autoridad de
control interesada haya manifestado una objeción pertinente y motivada a un
proyecto de decisión de la autoridad principal. En estos supuestos la autoridad
de control principal o, en su caso, la autoridad de control ante la que se
presentó la reclamación adoptará su decisión definitiva sobre la base de esa
decisión (art. 65). Según el considerando 143 del RPD, en caso de impugnación
un tribunal nacional no es competente para declarar inválida la decisión del
Comité, debiendo remitirlo al Tribunal de Justicia conforme al art. 267 TFUE.
Cuando deba
seguirse el procedimiento de cooperación del artículo 60 RGPD cabe entender que
la idea de estricta correlación entre autoridad competente y legislación
aplicable –en lo relativo a los aspectos del RGPD especificados o restringidos
por las legislaciones nacionales- debe ser reelaborado, para eventualmente
poder tener en cuenta junto al propio RGPD las particularidades de las
legislaciones de los varios Estados miembros afectados (incluso en este marco
parte del art. 3 RGPD puede ser un útil referente hermenéutico). Se trata de
una circunstancia que también puede tener importantes implicaciones –y plantear
nuevos retos- en lo relativo a la tutela judicial frente a la decisión de la
autoridad de control, en la medida en que no cabe excluir que en la decisión
objeto de recurso hayan sido tenidas en cuenta normas que especifican o
restringen el RGPD de las legislaciones de Estados miembros afectados distintos
de aquel cuya autoridad de control adopta la decisión y cuyos tribunales son
competentes para conocer del eventual recurso conforme al artículo 87 RGPD.
III. Responsabilidad civil de los representantes
El artículo
32.2 del RGPD, relativo a los representantes de los responsables o encargados
del tratamiento no establecidos en la Unión Europea, merece aquí una especial
atención por varios motivos. Esta norma establece que en caso de exigencia de
responsabilidad en los términos previstos en el artículo 82 del RGPD, “los
responsables, encargados y representantes responderán solidariamente de los
daños y perjuicios causados”. Desde el punto de vista sustantivo parece una
norma no exenta de problemas. El artículo 82 del RGPD sólo contempla la
responsabilidad de los responsables y los encargados, por lo que la norma del
APLOPD parece pretender extender el círculo de responsabilidad a los representantes.
Por su parte, el cdo. 80 del RGPD, si bien contempla que el representante
designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por
parte del responsable o del encargado, prevé que la designación del
representante no afecta a la responsabilidad del responsable o del encargado en
virtud del presente RGPD. En la misma línea el artículo 27.5 del RGPD prevé que
la designación de un representante por el responsable o el encargado del
tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse
contra el propio responsable o encargado. Con respecto a los encargados, el
artículo 82.2 del RGPD prevé: “Un encargado únicamente responderá de los daños
y perjuicios causados por el tratamiento cuando no haya cumplido con las
obligaciones del presente Reglamento dirigidas específicamente a los encargados
o haya actuado al margen o en contra de las instrucciones legales del
responsable.” En este contexto, llama la atención formulación tan amplia del
artículo 32.2 del APLOPD –relativo a la responsabilidad civil por daños y
perjuicios- y la inclusión en esos términos de los representantes. La falta de
coherencia con el RGPD del planteamiento del artículo 32.2 se ve acentuada por
la circunstancia de que el fuero de competencia del artículo 79 RGPD en esta
materia sólo contempla las acciones contra un responsable o encargado del
tratamiento, pero no contra un representante.
El
ámbito de aplicación del artículo 32 APLOPD también merece particular atención.
Por una parte, la norma en su apartado 1, ideado para la actividad de las
autoridades de supervisión, limita su aplicación a aquellos casos en los que
siendo precisa conforme al RGPD la designación de un representante “el
tratamiento se refiera a afectados que se hallen en España”, lo que proyecta sobre el ámbito nacional el criterio utilizado en el artículo 3.2 del RGPD (pese a que la versión española del art.3.2 RGPD haga referencia a la residencia de los interesados, la redacción en otras lenguas -más acertada- va referida al tratamiento de datos de interesados que se encuentren en la Unión) y pretende operar como elemento que condiciona cuándo se aplica la legislación española (incluso frente a la de otros Estados miembros). Ahora bien,
especialmente en el ámbito de la exigencia de responsabilidad civil a la que va
referido el apartado 2 del artículo 32 ese requisito puede plantear un riesgo de
descoordinación con la aplicación del artículo 82 RGPD. En principio la ley
aplicable a la determinación de los responsables en el marco de un acción civil
por daños vendrá determinada por la ley aplicable a la responsabilidad
extracontractual. No obstante, en relación con el ejercicio de este tipo de
acciones en situaciones transfronterizas pueden plantearse complejas cuestiones,
tanto de delimitación –entre cuestiones de protección de datos sometidas a
conexión autónoma (e imperativa) a partir del art. 3 del RGPD y cuestiones regidas por la ley
aplicable a las obligaciones extracontractuales-, como de determinación de la
ley aplicable, para las que el Derecho de la UE no proporciona una respuesta,
habida cuenta también de que se trata de una materia excluida del ámbito de aplicación
del Reglamento Roma II, conforme a su artículo 1.2.g).
IV. Referencia a los datos de las personas fallecidas
Sin
duda uno de los aspectos del APLOPD que suscita más interés por su carácter
innovador es el relativo a los datos de las personas fallecidas. Se trata de
una cuestión excluida del RGPD y también del APLOPD. Ahora bien, éste último al
excluir en su artículo 2.d) de su ámbito de aplicación los tratamientos de
datos de personas fallecidas, lo hace “sin perjuicio de lo establecido en el
artículo 3”. El artículo 3 regula la posibilidad de que los herederos puedan solicitar
el acceso a los datos relativos a personas fallecidas, así como su
rectificación o supresión, en su caso con sujeción a las instrucciones del
fallecido. Por su parte, la disposición adicional séptima extiende los mismos
criterios en relación con el acceso a contenidos gestionados por prestadores de
servicios de la sociedad de la información a favor de personas fallecidas.
La
pregunta que cabe hacerse con respecto al artículo 3 APLOPD, ante lo no
aplicación del RGPD con respecto a los datos de personas fallecidas y la
desaparición de reglas sobre el ámbito de aplicación territorial de la LOPD, es
cuáles son los criterios que determinan en qué medida el artículo 3 y la
disposición adicional séptima APLOPD son aplicables a las situaciones
internacionales. La extensión de esta reseña aconseja posponer ese análisis
para otra ocasión, si bien no cabe ignorar que el artículo 3 RGPD puede resultar
un valioso referente.
