Legislación comunitaria y homogénea sobre protección de datos… ¿O no?

La reciente aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 ha planteado dudas sobre la interpretación de ciertos conceptos, como el tratamiento a gran escala de categorías especiales de datos, los supuestos en los que será obligatoria de la figura del DPO, o el alcance y formas de obtención del consentimiento. A los Estados miembros se les presenta el gran reto de interpretar, de manera homogénea, conceptos jurídicos que serán la base de una legislación uniforme y más coherente para toda Europa.

Pero no solo se plantean retos en cuanto a la interpretación de conceptos jurídicos indeterminados, sino también en relación con la propia aplicación de ciertos puntos del Reglamento en casos concretos, si tenemos en cuenta que el Considerando 37 establece que el Derecho de la Unión o de los Estados miembros puede imponer restricciones a determinados principios, en concreto:

• a los derechos de información, acceso, rectificación o supresión de datos personales,
• al derecho a la portabilidad de los datos,
• al derecho de oposición,
• a las decisiones basadas en la elaboración de perfiles,
• a la comunicación de una violación de la seguridad de los datos personales a un interesado y
• a determinadas obligaciones conexas de los responsables del tratamiento (es decir, un cajón desastre para incluir cualquier otro aspecto relativo al cumplimiento de la normativa protección de datos).

Y todo ello, indica el mencionado Considerando, en la medida en que sea necesario y proporcionado en una sociedad democrática para:

• salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano,
• la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o de violaciones de normas deontológicas en las profesiones reguladas, y su prevención,
• otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro,
• la llevanza de registros públicos por razones de interés público general,
• el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios,
• o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

Al menos el Considerando 37 especifica que dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, pero deja abierta la puerta a regulaciones nacionales más restrictivas.

Tanto en la relación de materias susceptibles de sufrir “restricciones”, como en la relación de supuestos que pueden justificarlas, se incluyen algunos puntos merecedores de un análisis en profundidad. En particular, llama la atención la posibilidad de aplicar restricciones en base a un “importante interés económico o financiero de la Unión o de un Estado miembro”. Según la redacción de este apartado, cabría interpretar que los principios de la protección de datos personales recogidos en el aprobado Reglamento estarán sometidos y supeditados a un “importante” interés económico, ya sea de la UE o, lo que resulta más grave, de un Estado miembro. ¿Se podría utilizar este apartado como justificación, por parte de un Estado miembro, para restringir algunos de los derechos de los ciudadanos de su territorio, o incluso de ciudadanos de otros Estados miembros, invocando simplemente su “importante” interés económico?

Asimismo, esta situación podría causar un efecto contrario al espíritu del propio Reglamento, que en su Considerando 10 afirma que “debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea”. Si bien es cierto que ese mismo Considerando reconoce cierto margen de maniobra a los Estados miembros, introduce dicho margen “a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento”, no de restringir los derechos incluidos en el mismo al arbitrio de los Estados miembros, y en base a los ambiguos criterios del Considerando 37.

Y es que el Derecho europeo tiene un valor superior a los Derechos nacionales de los Estados miembros. El principio de primacía es válido para todos los actos europeos de aplicación obligatoria y en consecuencia, los Estados miembros no pueden aplicar una norma nacional contraria al Derecho europeo. Ese principio de primacía, al igual que el principio de efecto directo, no está inscrito en los tratados, pero ha sido consagrado por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia Costa contra Enel del 15 de julio de 1964. En esta sentencia, el Tribunal declara que el Derecho procedente de las instituciones europeas se integra en los sistemas jurídicos de los Estados miembros que están obligados a respetarlo. En consecuencia, si una norma nacional es contraria a una disposición europea, las autoridades de los Estados miembros deben aplicar la disposición europea. El Derecho nacional no se anula ni deroga, pero su carácter obligatorio queda suspendido.

La cuestión es, ¿cómo conjugar este principio de supremacía y lealtad comunitaria con la posibilidad de restringir determinados aspectos del Reglamento por los Estados miembros, prevista de manera tan abierta y confusa en el Considerando 37?

Camino García Murillo

Abogada especializada en derecho TIC, socia en SINERLEX ABOGADOS TIC

@Caminogarciam