27 julio 2017

El CGPJ propone un procedimiento judicial sobre reclamaciones contra las transferencias internacionales de datos personales

  • En el informe al anteproyecto de Ley Orgánica de protección de datos de carácter personal, que el Pleno del órgano de los jueces ha aprobado hoy por unanimidad

El Pleno del Consejo General del Poder Judicial ha aprobado hoy, por unanimidad, el informe al anteproyecto de Ley Orgánica de protección de datos de carácter personal, cuyo objetivo es adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y que debe entrar en vigor el 25 de mayo de 2018.

El texto, del que han sido ponentes los vocales Enrique Lucas y Álvaro Cuesta, analiza diversos preceptos del anteproyecto –en concreto, siete artículos, una disposición adicional y una disposición final-  que contienen normas procesales o que afectan al CGPJ en tanto que autoridad de protección de datos en relación con los tratamientos de datos con fines jurisdiccionales o en su calidad de órgano constitucional en cuya actividad debe observar la normativa en materia de protección de datos personales.

En el documento, los ponentes señalan, no obstante, que dado que la regulación proyectada concierne al derecho fundamental a la protección de los datos personales que consagra el artículo 18.4 de la Constitución y, por tanto, incide en aspectos jurídico-constitucionales de la tutela de tal derecho, el informe no debería limitarse a los preceptos señalados, y anuncian que el CGPJ se pronunciará sobre el resto en cuanto le sea posible.

El punto central del informe es el relativo a la disposición adicional quinta del anteproyecto, relativa a la autorización judicial en materia de transferencias internacionales de datos, que prevé el trámite que se dará a la reclamación que un afectado cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país –no comunitario, pero que haya sido declarado con nivel adecuado de protección por la Comisión Europea- presente ante la Agencia Española de Protección de Datos (AEPD) por considerar que el tratamiento de datos personales infringe el Reglamento 2016/679.

El anteproyecto prevé que, en caso de que la AEPD considere fundada la reclamación, deberá dirigirse a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional pidiendo autorización para declarar contraria a Derecho la transferencia internacional de datos. La Audiencia Nacional plantearía entonces una cuestión prejudicial de validez ante el Tribunal de Justicia de la Unión Europea, que podría declarar inválida la decisión de la Comisión Europea.

En su informe, el CGPJ sugiere mejoras técnicas en línea con el derecho alemán y considera que sería más adecuado que la Ley Orgánica contemplara “la completa configuración de un procedimiento judicial desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión”.

Así, siguiendo el modelo que ofrece la ley alemana por la que se desarrolla y adecúa al ordenamiento de ese país el Reglamento 2016/679, ese procedimiento trasladaría al tribunal nacional la decisión positiva de la validez de la decisión de la Comisión o, en caso de que considerara justificadas las dudas acerca de su conciliación con el Derecho de la Unión, el planteamiento de la cuestión prejudicial de validez.

La configuración legal del procedimiento, que se tramitaría por la vía contencioso-administrativa, debería contemplar la legitimación de la autoridad de control –la AEPD- para formular la solicitud ante el órgano judicial; la forma en que debe deducirse la solicitud y los efectos de la misma en el procedimiento seguido ante la AEPD; la condición de parte actora de la AEPD y, en garantía del principio de contradicción, la intervención como parte en el procedimiento de todos los interesados; así como la intervención de la Comisión Europea cuya decisión de adecuación está en cuestión.

Además, la disposición debería ir acompañada de la imprescindible atribución competencial al correspondiente órgano jurisdiccional  que, tal y como se contempla en el anteproyecto, podría recaer en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, por ser este el órgano natural competente para conocer de los recursos contra las resoluciones de las autoridades de control.

El informe aprobado hoy concluye que este mecanismo procedimental se acomoda en todo a la jurisprudencia del Tribunal de Justicia de la Unión Europea y se ajusta a los requerimientos que derivan de la sentencia Schrems, que abordó la cuestión relativa a las facultades de las autoridades nacionales de control ante una decisión de la Comisión, siendo por tanto el modelo que debería seguir el prelegislador.

La alternativa, añade el texto, sería “articular un mecanismo de remisión prejudicial directa desde la autoridad de control –en España la AEPD-, en el marco del procedimiento en el que examina la reclamación formulada por el titular de los datos personales cuyo derecho se ha visto afectado por la transferencia internacional”.

Para ello debería dotar a la autoridad de control –o a un órgano dentro de la misma creado a ese fin- de una configuración tal que permita reconocer en ella de forma indubitada e indiscutible los rasgos que, conforme a la jurisprudencia europea, caracterizan el concepto autónomo de “órgano jurisdiccional” con arreglo al cual se confiere la legitimación para abrir el diálogo prejudicial.

“Se posibilitaría, de ese modo, una tutela más directa y rápida del derecho fundamental, sin necesidad de configurar un procedimiento jurisdiccional ‘ad hoc’, ni de dotar de la correspondiente competencia a la Sala de lo Contencioso-Administrativa de la Audiencia Nacional mediante la imprescindible modificación de la Ley Orgánica del Poder Judicial”, concluye el informe.

Comparte: