¿Es este Reglamento el mejor camino hacia una privacidad homogénea en la UE?

Por Pablo García Mexía, J.D., Ph.D, letrado de las Cortes y of counsel de Ashurst LLP

Al menos en apariencia, una de las novedades clave del nuevo Reglamento General de Protección de Datos de la UE (RGPD) radica justamente en eso, en ser un “reglamento”. En línea con ello, el RGPD (art. 94) deroga la fuente clave de la normativa europea en la materia, la (ya casi familiar) Directiva 95/46/CE.

Con particular énfasis, los considerandos del texto apuntan que el haber optado por esa fuente del Derecho comunitario obedece a que parece mejor adaptada al probablemente principal fin de la reforma, dotar de mayores “homogeneidad y coherencia” a la regulación de la privacidad y la protección de datos en el conjunto de la Unión; o, usando de nuevo los mismos términos del texto, lograr un “nivel equivalente de protección”.

Es evidente que el RGPD, como cualquier reglamento comunitario, obligatorio y directamente aplicable en todos sus elementos, constituye un medio imprescindible para hacer efectivos algunos de sus mecanismos principales, también resonantes novedades. Destaca por encima de todos, el nuevo sistema de “cooperación y coherencia” (Cap. VII), en el que su vez se encastra el flamante Comité Europeo de Protección de Datos; así como la batería de sanciones, concretadas en el texto. Solo una norma dotada de tales características hubiera estado en condiciones de acomodarse a esos objetivos.

Sin embargo, un análisis más detenido nos permite identificar varios factores que contribuyen a “homologar” el panorama normativo que estrenamos con el dominado por la Directiva 95/46/CE.

El primero de ellos es que el RGPD da por sentada, no solo la existencia, cosa obvia, sino también y sobre todo la persistencia de los distintos acervos nacionales sobre protección de datos una vez el propio RGPD comience a aplicarse.

Así se desprende por una parte de una curiosa previsión, contenida en el considerando 8º RGPD, la cual (casi herético en la ortodoxia clásica del Derecho de la Unión), autoriza a integrar en normas nacionales en la materia disposiciones del propio RGPD; todo ello, al decir de dicho Considerando, en aras a una mayor “claridad”. El RGPD reconoce asimismo la existencia y la persistencia de la normativa por así decir “horizontal” sobre protección de datos, derivada de la Directiva 95/46. Igualmente lo hace de toda una serie de normas sectoriales, de entre las que me limitaré a resaltar dos ejemplos especialmente relevantes, como son las especialidades relativas al uso de redes sociales por menores de edad (art. 8.1 RGPD); o la protección de datos relativos a la salud (art. 9.4 RGPD).

FACTORES QUE CONTRIBUYEN A HOMOLOGAR

El segundo factor de homologación reside en el hecho de que el RGPD concede – y uso su misma terminología – amplios “márgenes de maniobra” a los Estados para concretar a escala nacional sus disposiciones. Desde este punto de vista, y admítase la metáfora, el RGPD genera una suerte de “efecto Gruyère”, en tanto y en cuanto su tenor se encuentra en múltiples ocasiones jalonado de “vacíos regulatorios” cortésmente cedidos al (cito literalmente) “Derecho de los Estados”. Así se constata en el tratamiento que el RGPD dispensa a:

1. a) El proceso de datos por obligación legal;
2. b) el realizado en misiones de interés público;
3. c) el tratamiento que llevan a cabo los poderes públicos (de un determinado Estado);
4. d) las que el RGPD denomina “situaciones específicas” de tratamiento, toda una panoplia de supuestos de los que casi puede decirse que el RGPD “se desentiende”, para dejarlos al arbitrio de cada Derecho nacional (ej. libre expresión, entorno laboral, archivos, etc.).

Tercer factor, el hecho de que, a la vista de su enorme importancia, el legislador comunitario ha establecido para el RGPD una larga vacatio legis, nada menos que de dos años. Efectivamente, si bien la entrada en vigor del texto tiene lugar transcurridos 20 días desde su publicación (que se produjo el pasado 4 de mayo de 2016), su aplicabilidad habrá de esperar el transcurso de esos dos años tras la entrada en vigor (art. 99 RGPD).

Y deben al hilo de lo anterior mencionarse dos circunstancias. La primera, que ese plazo de dos años es justamente el que las directivas conceden a los Estados para que ajusten su ordenamiento interno a los fines en ellas establecidos. La segunda, que, como clásica jurisprudencia del Tribunal de Justicia de la UE ha venido desde hace décadas disponiendo, no solo los reglamentos son directamente aplicables, también pueden llegar a serlo las directivas, al menos frente al Estado de que se trate: es bien sabido que así sucede si, una vez pasados esos dos años de incorporación, el Estado en cuestión no la ha llevado a cabo (y siempre que sus términos sean incondicionados y suficientemente claros y precisos); es lo que se conoce como “efecto directo vertical” de las directivas (STJUE Van Duyn, de 4.12.1974).

El cuarto y último factor de homologación contribuye sin duda a facilitar la operatividad de ese efecto directo de las directivas (desde el ángulo de la precisión) y consiste en el hecho de que, guste o no, éstas son cada vez más detalladas. Resulta paradójico, pues así sucede al tiempo que el Reglamento que aquí comentamos, merced a los “vacíos regulatorios” antes citados, casi podemos afirmar que se asemeja a una directiva.

CONCLUSIONES

Es momento de conclusiones. Y la primera no puede ser más clara. Debido a los cuatro factores citados, el panorama normativo de la protección de datos en Europa tras el RGPD no presenta grandes diferencias respecto del que hubiera mostrado de haber sido una directiva la fuente comunitaria que se hubiese empleado. Y entiéndase la afirmación en términos estrictos de fuentes normativas, reglamento vs. directiva, no de las concretas novedades que el RGPD ha venido indiscutiblemente a introducir.

Eso sí, esos dos años “de gracia”, en el caso de las directivas lo son evidentemente para los Estados, en su calidad de destinatarios de ese tipo de norma. A diferencia de ello, los dos años de vacatio lo son ahora para todos, y no solo los Estados, pues todos, fundamentalmente desde luego los ciudadanos de la Unión, somos ahora los destinatarios. Hemos visto en este sentido que el efecto directo de la directiva solo se despliega frente al Estado incumplidor que no la hubiera incorporado a su ordenamiento, pero no “horizontalmente” frente a ciudadanos ante quienes esa norma se pudiera llegar a invocar. No será éste el caso ahora (o más bien en dos años desde ahora): Nadie podrá escudarse en la inacción de un Estado para excusar su posible incumplimiento del RGPD. En dos años desde ahora, cualquiera podrá invocar el Reglamento en cualquier relación jurídica en la que se pudiera aplicar, y se deberá aplicar.

Segunda conclusión. Es notorio que inauguramos de la mano del RGPD una gran complejidad de fuentes en materia de protección de datos. Al tiempo que se conserva la normativa estatal, horizontal y sectorial, dictada en desarrollo de la derogada Directiva 95/46/CE (con las salvedades que seguidamente se menciona), se añade una fuente supraestatal directamente aplicable. No bastará ya pues con “tirar” de la LOPD y el R.D. 1720/2007 para resolver nuestros problemas; habrá que hacerlo también del Reglamento, sin a la par prescindir de la normativa nacional.

Y la tercera. Es obvio que, si tal acervo nacional sobre protección de datos ha de persistir, solo podrá hacerlo en tanto y en cuanto se acomode, ya por vía de reforma, ya por vía de interpretación, a los nuevos términos fijados en el RGPD. El ABC del Derecho comunitario lleva décadas enseñándonos también que, apelemos a “jerarquía” (como le gusta hacer al TJUE) o invoquemos en su lugar “competencia” (caso de los Derechos públicos nacionales), ninguna disposición nacional podrá ser incompatible con un reglamento, gracias a la supremacía del Derecho de la Unión. Es notorio que, a día de hoy, algunas de esas disposiciones nacionales lo son (sin ir más lejos, la obligación española de inscribir ficheros, cuya imperatividad elimina el RGPD).

Los poderes públicos nacionales, el español en particular, debieran quizá pues acometer una labor considerable de adaptación. Bien recurriendo a esa técnica de inserción de normas del RGPD que su considerando 8º sugiere; bien no haciéndolo, pero sí ajustando “a modo de orfebre” la regulación estatal a potenciales disposiciones contrarias del Reglamento; bien llevando a cabo una y otra labor; o bien, más sencilla, pero sin duda menos clarificadoramente, dando por derogadas tácitamente, en la correspondiente norma estatal, cualesquiera de sus disposiciones que resultaran contrarias al RGPD, opción ésta que prácticamente resulta equivalente a la que a continuación se expone.

En efecto, no faltarán quienes lisa y llanamente excluyan que el legislador nacional deba hacer absolutamente nada, amparándose en la directa aplicabilidad de los reglamentos comunitarios y en la supremacía del Derecho de la Unión sobre el Derecho estatal. Es claro que la consecuencia de esta opción sería dejar a la labor de interpretación de los operadores jurídicos, por excelencia los jueces, la resolución de los conflictos que la incoherencia RGPD-ley nacional llegue a plantear. No parece la mejor opción, aunque solo fuera por esa ya citada mayor complejidad que el RGPD ha agregado a este sector del ordenamiento.

Dicho todo lo cual, solo el tiempo nos permitirá calibrar hasta qué punto la elección de un reglamento como fuente legal ha sido o no el mejor camino para avanzar en el “nivel equivalente de protección” de datos, en su homogeneidad a lo largo y ancho de la Unión.