Aprobado el anteproyecto de Ley Orgánica de protección de datos de carácter personal

El Pleno del Consejo General del Poder Judicial (CGPJ) aprobó a finales de Julio el informe del anteproyecto de la Ley Orgánica de protección de datos de carácter personal, cuyo objetivo es adaptar el ordenamiento jurídico español al Reglamento UE 2016/679 (RGPD) que debe entrar en vigor el 25 de mayo de 2018.

El texto analiza diversos preceptos del anteproyecto que afectan al CGPJ y por ello, el organismo se reserva un informe posterior sobre otras cuestiones competencia del gobierno referidas a las autoridades de protección de las Comunidades Autónomas, al propio Consejo, a la disposición adicional quinta y a la prejudicialidad, así como a otros aspectos que afecten a derechos y libertades fundamentales.

En el texto aprobado por el Pleno se advierte una cierta falta de coherencia con la función y finalidad propia de una norma que ha de limitarse a adecuar y, en su caso de complementar el Reglamento europeo. En ocasiones, señala el informe, se traspasan los límites de esas funciones, pues algunos artículos resultan innecesarios, otros reiterativos, y otros van más allá en sus marcos reguladores.

El informe también es crítico con la redacción del artículo que establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal se ejercerá con arreglo a lo establecido en el RGPD y en la propia Ley Orgánica. En opinión del CGPJ, esta formulación es incorrecta, ya que es la Ley Orgánica española la que debe amparar y desarrollar el derecho constitucional, y no el Reglamento.

El documento aprobado por el Pleno también critica la composición del Consejo Consultivo de la Agencia Española de Protección de Datos (AEPD), entre cuyos miembros se prevé un representante designado por el CGPJ.

Procedimiento judicial completo

El punto central del informe es el relativo a la autorización judicial en materia de transferencias internacionales de datos, que prevé el trámite que se dará a la reclamación que un afectado cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país no comunitario.

El anteproyecto prevé que, en caso de que la AEPD considere fundada la reclamación, deberá dirigirse a la Sala de lo Contencioso-Administrativo de la Audiencia Nacional pidiendo autorización para declarar contraria a Derecho la transferencia internacional de datos. La Audiencia Nacional plantearía entonces una cuestión prejudicial de validez ante el Tribunal de Justicia de la Unión Europea, que podría declarar inválida la decisión de la Comisión Europea.

En su informe, el CGPJ sugiere mejoras técnicas en línea con el derecho alemán y considera que sería más adecuado que la Ley Orgánica contemplara la completa configuración de un procedimiento judicial desde el cual se va a entablar el diálogo prejudicial, a raíz de la solicitud de la decisión judicial formulada por la autoridad de control que conoce de la reclamación, y cuya resolución depende de la validez de la decisión de la Comisión.

La configuración legal del procedimiento debería contemplar la legitimación de la autoridad de control –la AEPD- para formular la solicitud ante el órgano judicial; la forma en que debe deducirse la solicitud y los efectos de la misma en el procedimiento seguido ante la AEPD; la condición de parte actora de la AEPD y, en garantía del principio de contradicción, la intervención como parte en el procedimiento de todos los interesados; así como la intervención de la Comisión Europea cuya decisión de adecuación está en cuestión.