Ni el artículo
2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (LOPDGDD), relativo al “Ámbito
de aplicación de los títulos I a IX y de los artículos 89 a 94”, ni otras
disposiciones de la citada norma, regulan su ámbito de aplicación a las
situaciones internacionales. La ausencia de una norma sobre el ámbito
territorial o espacial de la LOPDGDD se corresponde con la circunstancia de que
esta ley tiene fundamentalmente por objeto, conforme a su artículo 2, adaptar
el ordenamiento jurídico español al Reglamento (UE) 2016/679 o Reglamento
General sobre Protección de Datos (RGPD) y completar sus disposiciones. Como es
conocido, y he tratado ya en otros lugares (por ejemplo, aquí), el RGPD sí dedica su artículo 3, una de sus disposiciones
esenciales, a concretar su ámbito territorial. Con carácter general, debe
entenderse que los criterios establecidos en el artículo 3 RGPD resultan
también determinantes para concretar el ámbito territorial de aplicación de la
LOPDGDD en la medida en que sus disposiciones tengan por objeto desarrollar o complementar el RGPD. De este
modo, el artículo 3 RGPD limita el alcance del artículo 2.1 LOPDGDD, según el
cual “(l)o dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la
presente ley orgánica se aplica a cualquier tratamiento total o parcialmente
automatizado de datos personales”. Ahora bien, el artículo 3 RGPD va referido a
la delimitación de su ámbito territorial de aplicación (y de la normativa
complementaria de los Estados miembros, como las disposiciones relevantes de la
LOPDGDD) en las situadas conectadas con Estados terceros. Al tratarse de un
Reglamento, normalmente no resultará necesario en las situaciones
intracomunitarias determinar la legislación de qué concreto Estado miembro es
aplicable con respecto a las materias objeto del RGPD. No obstante, el contenido
de la LOPDGDD es ilustrativo de la peculiaridad del RGPD a este respecto. En la
medida en que en ciertos ámbitos el RGPD no lleva a cabo una unificación plena,
sino que prevé que los Estados miembros pueden complementarlo, especificando o restringiendo
sus normas, se planteará en algunas situaciones la necesidad de concretar la legislación
de qué Estado miembro es aplicable en situaciones intracomunitarias. Por
ejemplo, en relación con la edad para el consentimiento de los niños el artículo
8 del RGPD establece que el tratamiento será lícito si el menor que lo ha
consentido tiene 16 años, pero permite que los Estados miembros puedan
establecer por ley una edad inferior a tales fines, siempre que esta no sea
inferior a 13 años. El artículo 7 LOPDGDD fija a estos efectos la edad de
catorce años. En consecuencia la licitud del tratamiento de los datos
personales de un menor de entre 13 y 16 años fundado en su consentimiento
dependerá de la legislación del Estado miembro que resulte aplicable a esta
concreta cuestión. En el sistema del RGPD no debe corresponder a las
legislaciones de los Estados miembros la determinación de la ley aplicable en
esas situaciones sino que lo apropiado es que opere un criterio común de
Derecho de la Unión.
I. Alcance territorial de los procedimientos ante la AEPD
El
artículo 66 LOPDGDD sí lleva por título “Determinación del alcance territorial”,
pero no va referido al alcance territorial de la Ley sino al de los
procedimientos en caso de posible vulneración de la normativa de protección de
datos que se sigan ante la Agencia Española de Protección de Datos. El artículo
66.1 LOPD contempla que la AEPD, con carácter previo a cualquier actuación
respecto de una reclamación o actuación de investigación, debe “examinar su competencia
y determinar el carácter nacional o transfronterizo, en cualquiera de sus
modalidades, del procedimiento a seguir”, salvo cuando el procedimiento se
tramite como consecuencia de la comunicación a la AEPD por parte de la
autoridad de control de otro Estado miembro de la reclamación formulada ante la
misma, cuando la AEPD tuviese la condición de autoridad de control principal en
los términos del RGPD.
Cabe
recordar que, según el artículo 4.23) RGPD el término “tratamientos
transfronterizos” incluye dos tipos de supuestos: “a) el tratamiento de datos
personales realizado en el contexto de las actividades de establecimientos en
más de un Estado miembro de un responsable o un encargado del tratamiento en la
Unión, si el responsable o el encargado está establecido en más de un Estado
miembro, o b) el tratamiento de datos personales realizado en el contexto de
las actividades de un único establecimiento de un responsable o un encargado
del tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro”. En la medida
en que la supervisión de la aplicación del RGPD
es responsabilidad de las autoridades de control de los Estados
miembros, en las situaciones vinculadas con más de un Estado miembro resulta de
importancia la determinación del Estado o Estados miembros cuyas autoridades de
control son competentes, aunque a diferencia de la Directiva 95/46/CE, en el
RGPD no son ya decisivos a este respecto los criterios sobre el ámbito de
aplicación territorial de la legislación sino normas específicas sobre
competencia en el ámbito administrativo.
El RGPD
introduce un modelo de ventanilla única y regula un régimen específico para la
determinación de las autoridades de control competentes en ciertas situaciones
vinculadas con dos o más Estados miembros, que evite el sometimiento cumulativo
a varias autoridades de control. En este contexto, se enmarca el artículo 66
LOPDGDD, al establecer en su artículo 65.2 que con carácter previo a la
tramitación de cualquier procedimiento ante la AEPD resulta preciso determinar
si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo,
qué autoridad de protección de datos ha de considerarse principal. Como
excepción a la aplicación del procedimiento de coordinación liderado por la
autoridad de control principal o mecanismo de ventanilla única, regulado en el
artículo 60 del RGPD, el Reglamento contempla que cada autoridad de control es
competente para tratar una reclamación que le sea presentada o una posible
infracción del RGPD, cuando se refiera únicamente a un establecimiento situado
en su Estado o solo afecte de manera sustancial a interesados en su Estado
(art. 56.2), incluso cuando sean procedimientos relativos a responsables o
encargados con establecimiento principal en otro Estado miembro.
No obstante,
el procedimiento típico en relación con los tratamientos transfronterizos es el
de cooperación del art. 60 del RGPD, que fija el marco en el que la autoridad
de control principal debe cooperar con las demás autoridades de control
interesadas para esforzarse en llegar a un consenso de cara a adoptar una
decisión vinculante (la LOPDGDD presta especial atención a la eventual
intervención de las autoridades autonómicas). La autoridad de control principal
puede solicitar asistencia mutua (art. 61) y la realización de operaciones
conjuntas (art. 62) y es a ella a quien corresponde preparar un proyecto de
decisión. Si alguna de las autoridades de control interesadas presenta
objeciones al proyecto de decisión con las que no esté de acuerdo la autoridad
de control principal, ésta habrá de someter el asunto al mecanismo de
coherencia del art. 63. Dicho mecanismo contempla que el Comité Europeo de
Protección de Datos adopte decisiones vinculantes, entre otros casos, en
aquellas situaciones en las que haya divergencias sobre cuál de las autoridades
de control “es competente para el establecimiento principal”. Se trata de una
cuestión sobre la que el entonces denominado Grupo de trabajo del artículo 29 ya
adoptó unas pautas al poco tiempo de adopción del Reglamento (en concreto, sus Directrices
sobre la identificación de la autoridad de control principal de los
responsables y encargados de tratamiento).
II. Determinación de la normativa aplicable
Aunque el
artículo 66 LOPDGDD no va referido al ámbito de aplicación territorial de la
LOPDGDD, sí es cierto que en relación con las actuaciones de las autoridades de
control el criterio de partida ha de ser la correlación entre la autoridad
competente y la normativa aplicable, por ejemplo en todo lo relativo a las
normas de procedimiento. Ahora bien, no cabe desconocer que esa correlación se
traduce básicamente en la aplicación por todas las autoridades nacionales de
control de los Estados miembros de las disposiciones del RGPD. Sin embargo, no
es posible afirmar con carácter general la correlación plena entre la concreta
autoridad nacional de control y la aplicación de sus concretas normas de
complemento del RGPD.
De hecho, cuando
deba seguirse el procedimiento de cooperación del artículo 60 RGPD cabe
entender que la idea de estricta correlación entre autoridad competente y
legislación aplicable –en lo relativo a los aspectos del RGPD especificados o
restringidos por las legislaciones nacionales- debe ser reelaborada, para
eventualmente poder tener en cuenta junto al propio RGPD las particularidades
de las legislaciones de los varios Estados miembros afectados (incluso en este
marco parte del art. 3 RGPD puede ser un útil referente hermenéutico). Se trata
de una circunstancia que también puede tener importantes implicaciones –y
plantear nuevos retos- en lo relativo a la tutela judicial frente a la decisión
de la autoridad de control, en la medida en que no cabe excluir que en la
decisión objeto de recurso hayan sido tenidas en cuenta normas que especifican
o restringen el RGPD de las legislaciones de Estados miembros afectados
distintos de aquel cuya autoridad de control adopta la decisión y cuyos
tribunales son competentes para conocer del eventual recurso conforme al
artículo 87 RGPD.
Otro elemento
a tener en cuenta es que la eventual licitud o ilicitud de un concreto
tratamiento (por infringir o no el RGPD) no debería variar en función de la autoridad o
tribunal que conozca de una determinada reclamación o litigio. Los criterios
para determinar la ilicitud de un concreto tratamiento de datos de un menor –o
dicho de otro modo la edad que ha de tener el menor para que su consentimiento
resulte determinante de la licitud en un caso concreto- deben ser los mismos
con independencia de que la cuestión relativa a ese concreto tratamiento se
plantee en el marco de una reclamación tramitada ante la autoridad de control
de un Estado miembro o de otro o en el marco de un proceso judicial –por
ejemplo al hilo de una demanda relativa a la aplicación privada del derecho de
protección de datos- que eventualmente se inicie ante los tribunales de un
Estado miembro distinto que puedan tener competencia para conocer de la demanda
civil en cuestión.
En la medida
en que lo apropiado es que opere un criterio común de Derecho de la Unión para
establecer el Estado miembro cuya normativa “complementaria” del RGPD es
aplicable para determinar la licitud o ilicitud del tratamiento conforme al
RGPD, cabe considerar que, aunque no esté diseñado para esa función, el art. 3
RGPD puede servir de referencia al respecto. Normalmente la legislación
complementaria del RGPD aplicable habrá de ser, en aquellos ámbitos en los que
no opere una estricta correlación entre autoridad competente y ley aplicable
(como es propio de los aspectos relativos al procedimiento), la de
establecimiento del responsable (solo si está situado en un Estado miembro) o
la del Estado miembro en el que se encuentre el interesado. En el caso de las
normas relativas al consentimiento de los menores, su fundamento parece aconsejar acudir en principio a esta segunda opción, cuya aplicación práctica se ve favorecida por el
empleo generalizado de mecanismos de geolocalización. En otros supuestos, puede
resultar más apropiado –y coherente con los fundamentos del mercado interior-
el recurso a la normativa del Estado miembro en el que el responsable o
encargado del tratamiento tenga su establecimiento principal.
Ahora bien, en
muchas situaciones el fundamento de las disposiciones nacionales que
especifican lo previsto en el RGPD puede resultar determinante para concretar
su ámbito de aplicación. Por ejemplo, si las especificaciones tienen que ver
con el tratamiento de datos personales para el cumplimiento de una obligación
legal, para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento, cabe
entender que las disposiciones nacionales relevantes serán las del Estado
miembro que impone la obligación legal en cuestión, al que va referido la
misión en interés público de que se trate o, en su caso, aquel que confiere al
responsable el ejercicio de poderes públicos en cuestión.
III. Tutela civil de la legislación de protección de datos
A
diferencia del RGPD, la LOPDGDD no hace referencia específica a la llamada
tutela privada del derecho a la protección datos, salvo en lo relativo a la
responsabilidad de los representantes de los responsables o encargados del
tratamiento no establecidos en la Unión Europea, a los que me referiré más
adelante. Como es sabido, la tutela privada del derecho a la protección de
datos gira básicamente en torno al derecho a indemnización y responsabilidad
regulado en el artículo 82 RGPD, que en su artículo 79 incluye reglas de
competencia internacional específicas para la salvaguarda del derecho a la
tutela judicial efectiva contra un responsable o encargado del tratamiento, en
relación con el ejercicio de acciones civiles por las personas que hayan
sufrido daños y perjuicios materiales o inmateriales como consecuencia de una
infracción del RGPD.
Las
normas del RGPD, en tanto que legislación sobre protección de datos, son dentro
de su ámbito territorial aplicables en todo caso por los tribunales de los
Estados miembros para determinar si los derechos de los interesados con base en
el RGPD han sido vulnerados por un tratamiento de datos. Ello no excluye que
sea preciso determinar conforme a las reglas de conflicto correspondientes, por
ejemplo, la ley aplicable a los aspectos de la responsabilidad civil derivada
de tal infracción no regulados por el RGPD, por ejemplo, en España a partir del
artículo 10.9 Cc, a falta de una regla específica y ante la exclusión de esta
materia del Reglamento Roma II. Ahora bien, en la medida en que para determinar
la ilicitud del tratamiento por ser contrario al RGPD deba establecerse el
concreto Estado miembro cuya normativa complementaria del RGPD ha de tenerse en
cuenta, habrá que estar a lo indicado en la sección precedente, habida cuenta
de que las normas de conflicto nacionales, como es el caso del 10.9 Cc, no
pueden ser determinantes a ese respecto.
IV. Responsabilidad civil de los representantes
Como adelantaba, el artículo 30.2
LOPDGDD, relativo a los representantes de los responsables o encargados del
tratamiento no establecidos en la Unión Europea, merece aquí una especial
atención. El artículo 27 RGPD impone la obligación a los responsables o
encargados no establecidos en la Unión Europea, a los que resulte de aplicación
el RGPD en virtud de su artículo 3.2, de designar un representante establecido en uno de los Estados miembros en
que estén los interesados cuyos datos personales se traten en el contexto de
una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado.
El artículo 30.2 LOPDGDD establece que en caso de exigencia de responsabilidad
en los términos previstos en el artículo 82 del RGPD, “los responsables,
encargados y representantes responderán solidariamente de los daños y
perjuicios causados”. Desde el punto de vista sustantivo parece una norma no
exenta de problemas, como ya señalé en relación con el Anteproyecto de Ley
Orgánica.
El artículo 82
(y el considerando 146) del RGPD sólo contempla la responsabilidad de los
responsables y los encargados, por lo que la norma de la LOPDGDD parece
pretender extender el círculo de responsabilidad a los representantes. Por su
parte, el cdo. 80 del RGPD, si bien contempla que el representante designado
debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del
responsable o del encargado, prevé que la designación del representante no
afecta a la responsabilidad del responsable o del encargado en virtud del presente
RGPD. En la misma línea el artículo 27.5 del RGPD prevé que la designación de
un representante por el responsable o el encargado del tratamiento se entenderá
sin perjuicio de las acciones que pudieran emprenderse contra el propio
responsable o encargado. Con respecto a los encargados, el artículo 82.2 del
RGPD prevé: “Un encargado únicamente responderá de los daños y perjuicios
causados por el tratamiento cuando no haya cumplido con las obligaciones del
presente Reglamento dirigidas específicamente a los encargados o haya actuado
al margen o en contra de las instrucciones legales del responsable.” En este
contexto, llama la atención formulación tan amplia del artículo 30.2 LOPDGDD –relativo
a la responsabilidad civil por daños y perjuicios- y la inclusión en esos
términos de los representantes. La falta de coherencia con el RGPD del
planteamiento del artículo 30.2 se ve acentuada por la circunstancia de que el
fuero de competencia del artículo 79 RGPD en esta materia sólo contempla las
acciones contra un responsable o encargado del tratamiento, pero no contra un
representante (quien puede estar domiciliado en un Estado miembro distinto al
del interesado).
El ámbito de aplicación del
artículo 30 LOPDGDD también merece particular atención. Por una parte, la norma
en su apartado 1, ideado para la actividad de las autoridades de supervisión,
limita su aplicación a aquellos casos en los que siendo precisa conforme al
RGPD la designación de un representante “el tratamiento se refiera a afectados que
se hallen en España”, lo que proyecta sobre el ámbito nacional el criterio
utilizado en el artículo 3.2 del RGPD y pretende operar como elemento que
condiciona cuándo se aplica la legislación española (incluso frente a la de
otros Estados miembros). Ahora bien, especialmente en el ámbito de la exigencia
de responsabilidad civil a la que va referido el apartado 2 del artículo 32 ese
requisito puede plantear un riesgo de descoordinación con la aplicación del
artículo 82 RGPD. En principio la ley aplicable a la determinación de los
responsables y al alcance de su responsabilidad en el marco de un acción civil
por daños vendrá determinada, en la medida en que no se trate de una cuestión
regulada por el RGPD, por la ley aplicable a la responsabilidad extracontractual
(en España, en principio, el art. 10.9 Cc). Una interpretación de esta última
norma en el sentido de que el lugar donde ocurre el hecho del que deriva la
obligación extracontractual coincide en estos casos con el lugar donde se hallen
los afectados puede contribuir a evitar el aludido riesgo de descoordinación. En todo caso, la libre circulación de datos personales en el mercado interior y la libre circulación de los servicios de la sociedad de la información entre los Estados miembros son también elementos a ponderar en este ámbito.
V. El Título X sobre “Garantía de los derechos digitales”
El
Título X de la LOPDGDD ha sido utilizado para dar cabida a una seria de normas
heterogéneas, muchas de ellas de carácter meramente programático, y que en su
mayor parte no son normas destinadas a complementar el RGPD en cuestiones
reguladas por este, de modo que quedan al margen del análisis anterior.
Dejando a un
lado su pretendida buena intención, la efectividad práctica de muchas de esas
disposiciones, en particular de sus artículos 79 a 83, –con afirmaciones
abiertamente contrarias a la realidad de los hechos (por ejemplo en lo relativo
al acceso a Internet)- resulta, como mínimo, incierta, y su formulación en un
texto legal discutible, incluso desde la perspectiva de su coordinación con
otras normas de nuestro ordenamiento. Por ejemplo, la referencia en el artículo
79, bajo el rótulo, nada más y nada menos que “(l)os derechos en la Era
digital”, a los “prestadores de servicios de la sociedad de la información y
los proveedores de servicios de Internet”, parece desconocer que el concepto
consolidado –y procedente del Derecho de la Unión- de “prestadores de servicios
de la sociedad de la información” incluye todos los proveedores de servicios de
Internet. Otras normas cabe pensar que nada aportan a la luz del contenido
previo de nuestro ordenamiento, como es el caso del escueto artículo 82
relativo al “Derecho a la seguridad digital”. La formulación de alguna de esas normas es
manifiestamente deficiente, como las que hacen referencia a que “(E)l acceso a
Internet procurará…” o “(E)l acceso a Internet deberá garantizar…” (¿quién es
el acceso a Internet?), la que alude a “la utilización de las TIC”, sin aclarar
en ningún lugar qué ha de entenderse por “TIC” (no se trata de un documento
técnico para entendidos sino de una Ley Orgánica), o la que contempla que los
planes de estudio “garantizarán la formación en el uso y seguridad de los
medios digitales y en la garantía de los derechos fundamentales en Internet”.
(Tampoco estaría de más que en el apartado III del Preámbulo de una Ley de 5 de
diciembre de 2018 no se dijera “…adaptación al Reglamento general de protección
de datos, que será aplicable a partir del 25 de mayo de 2018”).
Algunas normas
del Título X sí van referidas a cuestiones complementarias de las tratadas en
el RGPD, como parece ser en general el caso de las contenidas en los artículos 89 a 94 (derecho a la intimidad frente al uso de dispositivos de
videovigilancia y de grabación de sonidos en el lugar de trabajo, derecho a la
intimidad ante la utilización de sistemas de geolocalización en el ámbito
laboral, derechos digitales en la negociación colectiva, protección de datos de
los menores en Internet, derecho al olvido en búsquedas de Internet, y derecho al olvido en servicios de redes
sociales y servicios equivalentes). En consecuencia, con respecto al ámbito
territorial de estas normas cabe entender que el criterio de base es la
aplicación del artículo 3 RGPD en línea con lo ya señalado en los apartados
anteriores. Todo ello sin perjuicio de que el alcance territorial preciso de
alguna de estas normas continúe suscitando dudas, como ilustra en relación con
el llamado derecho al olvido ante motores de búsqueda el asunto C-507/17, ante
el TJUE). También en el Título X figuran otras normas que merecerán un análisis
específico a estos efectos, como la relativa al derecho al testamento digital (art.
96).
