¿Qué pasará con la LOPD tras la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos?
Ratio: 5 / 5
- Detalles
- Publicado: Viernes, 26 Febrero 2016 09:57
El sector de la privacidad se encuentra revolucionado, ante la inminente aprobación del nuevo Reglamento Europeo de Protección de Datos, que se prevé para la primavera del año 2016.
A partir del momento en que se apruebe, el texto contempla un periodo de vacatio legis de dos años. Las empresas privadas y las administraciones públicas dispondrán, por tanto, de un periodo de tiempo bastante razonable para poder adaptarse a la nueva norma, antes de que sea de cumplimiento obligatorio.
Pero, en ese momento, no todo será tan sencillo como dejar de aplicar las normas de protección de datos hoy vigentes en España y sustituirlas por la nueva norma comunitaria. Las complejas relaciones entre Derecho Comunitario y el Derecho Interno de los Estados miembros no pondrán las cosas tan fáciles.
En primer lugar, la entrada en vigor del Reglamento Europeo no implicará, sin más, la derogación de las legislaciones nacionales en materia de protección de datos. Los Reglamentos de Derecho Comunitario no tienen esa virtualidad, ya que sólo el órgano legislativo o el de control constitucional interno de un Estado Miembro tienen la facultad de derogar o anular una Ley.
Por virtud del Principio de Primacía del Derecho Comunitario, el efecto que el nuevo Reglamento Europeo producirá sobre las legislaciones nacionales será, más bien, el de “desplazar” estas, haciéndolas inaplicables en todo aquello que resulte contrario a la nueva norma.
Quiere ello decir que las legislaciones nacionales pueden perfectamente coexistir con la nueva norma europea, en la medida en que no sean derogadas por los órganos legislativos internos y no resulten contradictorias con lo que el Reglamento Europeo establece.
Pondremos un ejemplo. El Reglamento Europeo prevé que el consentimiento para el tratamiento de datos de carácter personal sea “inequívoco”, completándose la definición con la exigencia de que se trate de una “clara acción afirmativa…”. Esta exigencia es incompatible con la posibilidad de admitir un consentimiento prestado de modo tácito, derivado de una mera inactividad. Por tanto, la entrada en vigor del Reglamento Europeo determinará la inaplicabilidad de las previsiones del artículo 14 del RD 1720/2007, que contemplan la posibilidad de obtener el consentimiento por vía tácita. Esta norma no será derogada, sino que resultará desplazada y, en definitiva, devendrá inaplicable.
Veamos otro ejemplo. En materia de medidas de seguridad, el Reglamento Europeo sólo dispone que se deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos que deban protegerse, partiendo de las técnicas existentes y los costes asociados a su implementación. El Reglamento confiere a los órganos europeos la posibilidad concretar estas obligaciones mediante actos delegados, pero, mientras ello no se produzca, subsistirían en España las previsiones contenidas en el Real Decreto 1720/2007 en materia de medidas de seguridad, en cuando no sean incompatibles con la previsión de la norma comunitaria. Podría darse, incluso, la circunstancia de que los órganos europeos no llegasen a dictar ningún acto delegado de desarrollo en materia de medidas de seguridad y, en consecuencia, siguiesen siendo aplicables indefinidamente obligaciones como la de disponer de un Documento de Seguridad o la de hacer auditorías bienales de seguridad en ciertos casos.
A ello se añade el hecho de que las legislaciones de protección de datos de los Estados Miembros no están hoy al mismo nivel de desarrollo normativo. En algunos países, como el nuestro, esta legislación es detallada y rigurosa, mientras que en otros resulta más abierta y laxa. Por tanto, hasta que el desarrollo del Reglamento Europeo se concrete mediante actos delegados, pueden subsistir las diferencias entre las actuales legislaciones nacionales.
Pero el problema no acaba ahí. Según la jurisprudencia del Tribunal de Justicia de la Unión Europea, ante la existencia de un posible conflicto entre el Derecho Comunitario y el Derecho Interno, los jueces, antes de decantarse por la inaplicación de este último, deben intentar interpretarlo a la luz de la norma comunitaria. Sólo cuando dicha interpretación conciliadora sea imposible y ambas normas resulten incompatibles, deberá inaplicar el derecho interno. En caso de duda sobre si es posible o no esa interpretación, el tribunal debe plantear ante el Tribunal de Justicia de la UE la oportuna Cuestión Prejudicial.
Así las cosas, en la práctica, serán los jueces quienes tendrán la última palabra a la hora de decidir la compatibilidad o no de las normas de protección de datos internas con las incluidas en el nuevo Reglamento Europeo o las dictadas como actos delegados en desarrollo de aquel. Este escenario hace prever una situación de partida poco pacífica y no siempre de fácil resolución para los responsables de los ficheros.
En definitiva, todo hace pensar que nos esperan unos años turbulentos en la materia. Aparecerán obligaciones nuevas, subsistirán algunas de las actuales y desaparecerán otras. La conciliación en un primer momento de la nueva normativa con la LOPD causará problemas que sólo se podrán soslayar con la ayuda de un abogado experto en protección de datos, con conocimientos y experiencia suficientes como para que la entrada en vigor del Reglamento Europeo no se convierta en un difícil rompecabezas para las empresas privadas y administraciones públicas que deben cumplirlo.
Ernesto José Muñoz Corral
Abogado Socio
Data Protection Officer
Picón & Asociados Abogados
