RESUMEN
El Reglamento (UE) 2016/679 General de Protección de Datos y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales han alumbrado un nuevo marco normativo, europeo y nacional, de protección de datos que es el resultado de una pacífica construcción vertical descendente tanto en el plano normativo como dogmático. Este nuevo derecho de protección de datos ha impactado sensiblemente en el sistema constitucional de fuentes normadoras del derecho fundamental al producirse la abducción de un derecho constitucional, convertido en derecho exclusivamente europeo, y al devaluarse la posición constitucional de la ley orgánica limitada a garantizar la aplicación efectiva del reglamento adaptándolo y completándolo conforme a las tradiciones jurídicas nacionales y con el objetivo primario de garantizar la seguridad jurídica que coadyuve a su plena efectividad.
Palabras clave: Protección de datos; privacidad; internet; derechos digitales; tecnología.
ABSTRACT
The General Data Protection Regulation (EU) 2016/679 and the Organic Law 3/2018 for data protection and digital rights guarantee have laid down a new European and national legal framework for data protection as the result of a peaceful downward vertical construction in both normative and dogmatic fields. This new data protection legal framework has provoked a significant impact on the normative sources because of the evolution of this constitutional right which has become exclusively an European right, affecting the constitutional position of the Organic Law limited to guarantee the effective application of the Regulation adapting it and completing it according to the national legal traditions and with the primary objective of guaranteeing the legal certainty that contributes to its full effectiveness.
Keywords: Data protection; privacy; internet; digital rights; technology.
SUMARIO
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (en adelante, LOPDGDD) pone fin al largo proceso[1] iniciado en 2012[2], cuando la Comisión Europea presentó el Data Protection Package[3], que culminó con la adopción del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (en adelante, RGPD)[4] y que ha venido a alumbrar un nuevo marco normativo, europeo y nacional, de garantía del derecho a la protección de datos[5].
La derogación de la Directiva 95/46/CE[6] y de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal[7], y su sustitución por el RGPD y la LOPDGDD[8] invitan a una sugestiva reflexión sobre el impacto nacional de esta ambiciosa reforma legislativa tanto en el plano del sistema de fuentes normadoras del derecho de protección de datos y de su alcance constitucional como sobre los novedosos rasgos conformadores de la garantía efectiva de este derecho. Estamos ante un «nuevo derecho» de protección de datos, esto es, ante un nuevo marco normativo multinivel en el que interaccionan normas europeas y nacionales[9]. Y tal vez no resultara exagerado interrogarse sobre si estamos ante un «nuevo derecho» de protección de datos. No lo parece. Pero hay que reconocer que los elementos que hacen reconocible este derecho[10] y el sistema de garantías[11] que lo ampara han sufrido transformaciones extraordinarias. Lo más relevante reside en que el fundamento constitucional del derecho fundamental de protección de datos se ha desplazado del ámbito nacional al europeo y, sobre este último anclaje, se ha normativizado un derecho fundamental homogéneo en toda la Unión Europea. Homogeneidad no completa por cuanto el legislador europeo no se ha atrevido a llevar a sus últimas consecuencias la fuerza normadora de alcance general y eficacia directa inherente a un reglamento cuya base jurídico-constitucional deriva, ni más ni menos, de forma única y exclusiva, del art. 8 de la Carta de Derechos Fundamentales del Unión Europea (CDFUE). Como analizaremos a continuación, el nuevo sistema de protección de datos ha buscado resolver —no siempre con éxito— las irreductibles tensiones inherentes a su vocación europea y a su ineludible proyección nacional. La nueva base jurídica europea de la que emana el Reglamento (UE) 2016/679 convive cómodamente con las tradiciones constitucionales de los Estados miembros que han ido progresivamente[12] forjando este derecho fundamental de protección de datos, y los elementos definitorios del derecho consagrado en el art. 8 CDFUE se asimilan sin dificultad a los rasgos definitorios del contenido esencial del derecho fundamental de protección de datos consolidado progresivamente en el ámbito dogmático[13] y por las jurisdicciones constitucionales nacionales. El sistema de cumplimiento de la normativa de protección de datos garantiza la subsidiariedad de los Estados miembro pero mantiene instrumentos supranacionales efectivos de coordinación. Sin duda alguna, el actor aparentemente más sacrificado por el nuevo modelo sustentado en un reglamento de alcance general y eficacia directa ha sido el legislador nacional, lo que no ha impedido un activismo legislativo nacional amparado por el propio Reglamento (UE) 2016/679 y por la vocación garantista de las autoridades nacionales.
La protección de datos no nació como un derecho —y en muchas latitudes sigue negándosele tal naturaleza[14]—, pero resulta relevante resaltar su consolidación actual como tal —incluso caracterizándolo como derecho fundamental— tras protagonizar una historia de éxito al amparo de bases jurídicas que lo han forjado en el ámbito supranacional.
Lejos de reconocer y garantizar frontalmente el derecho de protección de datos, los primeros documentos internacionales se limitaban a caracterizar la protección de datos como una estrategia transnacional para facilitar el flujo internacional de datos personales y, en consecuencia, promover el desarrollo transnacional de la economía de mercado. Las «Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales» de 1980 fueron adoptadas a partir de una recomendación del Consejo de la OCDE dirigida a preservar «economías de mercado abiertas» y, por ello, advertían que, ante la llegada de la tecnología de la información a diversos ámbitos de la vida económica y social y dada la creciente importancia y poder del procesamiento informatizado de datos, resultaban necesarias unas líneas directrices sobre política internacional de protección de la privacidad y los flujos transfronterizos de datos personales. Con el «Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal» de 1981, los Estados miembros del Consejo de Europa tomaron especialmente en cuenta la intensificación de la circulación a través de las fronteras de los datos personales objeto de tratamientos automatizados y la necesidad de conciliar el respeto a la vida privada y la libre circulación de la información entre los pueblos. Pero la máxima expresión del reconocimiento de este derecho por la puerta trasera se alcanza con la mismísima Directiva 95/46/CE, cuyo título en sí mismo resulta revelador: «Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos». La directiva sustentaba su base legal en la libertad de circulación y en la proscripción de obstáculos que impidieran tal fin[15]. Para la directiva, la eliminación de los obstáculos a la circulación de datos personales como objetivo esencial para el mercado interior obligaba a coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales fuera regulado de forma coherente y no obstaculizara la libre circulación de datos personales excusando la protección de los derechos y libertades de las personas físicas. En definitiva, la protección de datos constituía, en apariencia, un objetivo secundario frente a un fin principal: garantizar la libre circulación para preservar el correcto funcionamiento del mercado interior de la Unión Europea.
Sin embargo, no resulta menos cierto que, en paralelo a estas iniciativas de carácter transnacional, a partir de la década de los setenta del siglo pasado fue forjándose en el ámbito nacional un emergente derecho de protección de datos que acabaría consolidándose legislativamente e, incluso, en el plano constitucional[16]. En Alemania, un significativo impulso legislativo de numerosos Lander[17] dirigido a regular la actividad informática de las Administraciones públicas, garantizando la confidencialidad en el tratamiento automatizado de datos, culminó con la adopción el 27 de enero de 1977 de la ley federal para la protección contra el uso ilícito de datos personales. En Francia, el intento del Ministerio del Interior de crear una base de datos informatizada de carácter policial (SAFARI) provocó la adopción el 6 de enero de 1978 de la Loi 78-17 relative à l’informatique, aux fichiers et aux libertés y la creación de la Commission Nationale de l’Informatique et des Libertés (CNIL). No es de extrañar que, en una coyuntura tan singular, el constituyente portugués (1976) y el español (1978)[18] decidieran constitucionalizar el emergente fenómeno de la informática y que lo hicieran —de forma explícita en el caso portugués— para garantizar el derecho de acceso y de rectificación de informaciones personales, para prohibir conductas intrusivas en esferas privadas especialmente sensibles o, en términos más generales, para garantizar el respeto del conjunto de los derechos fundamentales y, en particular, de la intimidad. Las obligaciones derivadas para los Estados firmantes del Convenio 108 del Consejo de Europa, las implicaciones transfronterizas del Acuerdo de Schengen de 1985 y, finalmente, la preceptiva transposición de la Directiva 95/46 harían el resto, y la gran mayoría de los Estados europeos —particularmente todos los Estados miembros de la Unión Europea— culminaron a finales del siglo xx un generalizado proceso de adopción de leyes nacionales destinadas a garantizar inequívocamente un derecho de protección de datos de perfiles singularmente homogéneos[19].
Por todo lo anterior, no resulta extraño el salto cualitativo operado, en los albores del nuevo milenio, por la CDFUE aprobada en Niza en 2000 —que adquirió «el mismo valor jurídico que los Tratados» ex Tratado de Lisboa tras su adopción en 2007 y entrada en vigor en 2009— en la que se consagró el derecho fundamental, autónomo del respeto a la vida privada (art. 7), de «toda persona a la protección de datos de carácter personal que la conciernan» (art. 8). La singularización de este derecho en la CDFUE, junto con tantos otros que gozaban de perfecto anclaje en las tradiciones constitucionales de los Estados miembros, no implicaba, necesariamente, la alteración de la tradicional arquitectura nacional, legal y constitucional, en la que se venía sustentando su protección[20]. Pero, a diferencia de otros muchos derechos reconocidos en la CDFUE, el derecho de protección de datos venía siendo objeto de una construcción vertical descendente —operada por el Convenio 108 y la Directiva 95/46/CE—[21], de impacto singularmente homogeneizador, que le otorgaría un rumbo y destino bien diferente pues, de forma pacífica, el reconocimiento del derecho de protección de datos en el art. 8 CDFUE amparó la abducción de este derecho por instancias europeas para convertirlo en un derecho europeo, homogéneo y común, sustancialmente desposeído de base estatal constitucional y legislativa —salvo en los estrechos márgenes residuales que su conformación jurídica europea permitiera—.
La Directiva 95/46/CE había demostrado un éxito sin precedentes generalizando un sistema común de protección de datos en el conjunto de los Estados miembro, pero al tiempo adolecía de las limitaciones inherentes a su propia naturaleza por cuanto su vocación armonizadora no impidió notables divergencias entre las legislaciones nacionales[22]. El informe de la Comisión Europea sobre la aplicación de la directiva de 2003 ya dejaba entrever la intención de modificar la base jurídica para garantizar la protección de datos personales y la comunicación de la Comisión Europea, de 7 de marzo 2007, sobre «Seguimiento del Programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos» apuntaba:
La ratificación del Tratado constitucional puede abrir nuevas perspectivas. El Tratado constitucional tendría un enorme efecto en este ámbito. Recogería en el artículo II-68 el derecho a la protección de los datos personales que figura en el artículo 8 de la Carta de los Derechos Fundamentales. También crearía un fundamento jurídico específico e independiente para que la Unión legisle en este asunto en el artículo I-51, preparando el camino para adoptar instrumentos aplicables en todos los sectores. La actual división en «pilares» y las limitaciones del artículo 3 de la Directiva no serán materia de debate[23].
Esta pretensión se hizo realidad con el Tratado de Lisboa al emerger una nueva base jurídica para la reforma del sistema europeo de protección de datos (arts. 6.1 y 39 TUE y 16 TFUE) anclada en el art. 8 CDFUE[24]. Pero la existencia de esta incuestionada nueva base jurídica no implicaba necesariamente alterar el statu quo y optar por instrumentos jurídicos diferentes a la directiva para reformar el sistema europeo de protección de datos[25]. Sin embargo, para sorpresa generalizada y sin oposición significativa, la Comisión Europea postuló el reglamento como instrumento idóneo y adoptó la estrategia más ambiciosa para procurar la mayor homogeneización posible del sistema europeo de protección de datos[26]. Sin lugar a dudas, el impacto de nuevas tecnologías[27] como internet[28] y los intereses empresariales transnacionales pesaron significativamente, pues habían resultado insistentes las críticas a la Directiva 95/46/CE que denunciaban la fragmentación nacional de la normativa de protección de datos que comportaba inseguridad jurídica, especialmente, en relación con las transferencias internacionales inherentes a una economía globalizada. El reglamento era, aparentemente, el instrumento jurídico idóneo por su alcance general, obligatoriedad en todos sus elementos y aplicabilidad directa en cada Estado miembro (art. 288 del TFUE) para impedir la fragmentación y garantizar la máxima seguridad jurídica. Y así fue asumido pacíficamente por los Estados miembros, sin cuestionarse si la elección de dicho instrumento ponía en jaque el principio de subsidiariedad. La deficiente transposición de la Directiva 96/46/CE había evidenciado que la ausencia de normas comunes aplicables en todos los Estados miembros generaba graves disfunciones en el mercado interior y en la garantía uniforme del derecho de protección de datos y, además, la Unión resultaba el espacio idóneo para dar respuesta a los retos que provenían del avance tecnológico y la economía globalizada[29].
El Reglamento (UE) 2016/679 constituye un desarrollo completo y exhaustivo del derecho de protección de datos reconocido en el art. 8 CDFUE. La elección de este instrumento jurídico para garantizar el derecho comporta una voluntad excluyente de cualquier intervención estatal dirigida a regular este derecho fundamental. En consecuencia, ¿en qué posición quedan la previsión constitucional del art. 18.4 CE y las facultades legislativas otorgadas por el art. 81.1 CE?
El art. 18.4 CE se limita a mandatar al legislador para que garantice los derechos fundamentales frente al uso de la informática y, a diferencia de la Constitución portuguesa, ni explicita el reconocimiento del derecho de protección de datos ni asegura un contenido constitucional mínimo del mismo. Pero el Tribunal Constitucional se ha encargado de anclar en este precepto constitucional el reconocimiento de un derecho fundamental autónomo a la protección de datos personales: «Estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la CE llama “la informática”» (STC 254/93)[30]. Y, además, ha fijado el contenido mínimo de este derecho fundamental en sus SSTC 290/2000 y 292/2000[31]: «El derecho fundamental al que estamos haciendo referencia garantiza a la persona un poder de control y disposición sobre sus datos personales. Pues confiere a su titular un haz de facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales, integrado por los derechos que corresponden al afectado a consentir la recogida y el uso de sus datos personales y a conocer los mismos. Y para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos» (STC 290/2000); «el derecho fundamental a la protección de datos persigue garantizar a la persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado» (STC 292/2000). Este contenido constitucional mínimo del derecho fundamental de protección de datos lo encontramos sustancialmente reproducido en el art. 8.2 CDFUE: «Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación». En consecuencia, puede afirmarse que la configuración dogmática en torno a los elementos que hacen reconocible este derecho, tanto en el plano europeo como en el constitucional, ofrece tal grado de similitud que no resulta imaginable la aparición de conflictos sustantivos.
En consecuencia, cualquier debate en torno a la primacía del art. 8 CDFUE sobre el art. 18.4 CE adquirirá una mera relevancia teórica alejada de controversias reales. Máxime cuando la Declaración 1/2004 del Tribunal Constitucional, de 13 de diciembre, ya confirmó que la CDFUE, ex art. 93 CE, goza del valor jurídico propio del derecho de la Unión Europea y, en virtud del art. 10.2 CE, constituye pauta para la interpretación de las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce. Es más, la DTC 1/2004 se interrogaba sobre la necesaria conciliación de la interpretación de los derechos constitucionales a la luz de la CDFUE con la definición amparada por la jurisprudencia constitucional para concluir que «los tratados y acuerdos internacionales a los que se remite el art. 10.2 de la Constitución “constituyen valiosos criterios hermenéuticos del sentido y alcance de los derechos y libertades que la Constitución reconoce”, de suerte que habrán de tomarse en consideración para corroborar el sentido y alcance del específico derecho fundamental que... ha reconocido nuestra Constitución». No en vano, esta autocita del TC remite a la STC 292/2000, de 30 de noviembre (FJ 8), en la que se aludía al valor interpretativo del art. 8 CDFUE[32]. El TC concluye que «el valor interpretativo que, con este alcance, tendría la Carta en materia de derechos fundamentales no causaría en nuestro Ordenamiento mayores dificultades […] no son de advertir nuevas ni mayores dificultades para la articulación ordenada de nuestro sistema de derechos».
Ahora bien, la DTC 1/2004 da un paso más que, en el marco de este trabajo, resulta cuestionable al afirmar que «la Carta se concibe, en todo caso, como una garantía de mínimos, sobre los cuales puede desarrollarse el contenido de cada derecho y libertad hasta alcanzar la densidad de contenido asegurada en cada caso por el Derecho interno». Si el Reglamento (UE) 2016/679 desarrolla el art. 8 CDFUE y agota las posibilidades de regulación del derecho de protección de datos, no cabe imaginar la existencia de una garantía de mínimos cubierta por la CDFUE ampliable por el derecho interno. La convivencia del art. 8 CDFUE y del art. 18.4 CE está pacíficamente garantizada por vía hermenéutica en la medida en que el derecho fundamental garantizado por el art. 18.4 CE va a ser directa y principalmente regulado por el RGPD desplazándose el canon de protección del derecho fundamental a la interpretación que del art. 8 CDFUE haga el TJUE. Así lo recordaba la STJUE, de 26 de febrero de 2013, recaída en el caso Melloni (C-399/11) cuando, ante la alegación de que el art. 53 CDFUE autoriza de forma general que un Estado miembro aplique el estándar de protección de los derechos fundamentales garantizado por su Constitución cuando sea más elevado que el derivado de la CDFUE proscribiendo la aplicación de disposiciones del derecho de la Unión, negaba tal posibilidad por cuanto «menoscabaría el principio de primacía del Derecho de la Unión, ya que permitiría que un Estado miembro pusiera obstáculos a la aplicación de actos del Derecho de la Unión plenamente conformes con la Carta, si no respetaran los derechos fundamentales garantizados por la Constitución de ese Estado». Añadiendo el TJUE de forma concluyente: «Cuando un acto del derecho de la Unión requiere medidas nacionales para su ejecución, las autoridades y tribunales nacionales siguen estando facultados para aplicar estándares nacionales de protección de los derechos fundamentales, siempre que esa aplicación no afecte al nivel de protección previsto por la Carta, según su interpretación por el Tribunal de Justicia, ni a la primacía, la unidad y la efectividad del Derecho de la Unión»[33].
En consecuencia, por su propia naturaleza, el RGPD resulta de alcance general y directamente aplicable sin que quepa imaginar un nivel básico de protección otorgado por la normativa europea ampliable por garantías adicionales provenientes del derecho interno. Esto es, el derecho de protección de datos quedará garantizado conforme a lo previsto por el RGPD y, por vía prejudicial[34], por la jurisdicción europea sin que las instancias jurisdiccionales o legislativas nacionales puedan modificar la conformación de este derecho europeo[35].
El RGPD goza de alcance general, es directamente aplicable en todos los Estados miembro y resulta obligatorio en todos sus elementos. Estas notas definitorias impuestas por el art. 288 TFUE se han visto precisadas por una amplia jurisprudencia del TJUE[36] que permite acotar el alcance de la capacidad legislativa de los Estados miembros sobre las materias reguladas por el RGPD.
La entrada en vigor (veinte días después de su publicación en el Diario Oficial de la Unión Europea) y su aplicación (a partir del 25 de mayo de 2018) se produjo (ex art. 99 RGPD) sin necesidad de medidas de incorporación al derecho nacional por mor del principio de aplicabilidad directa de los reglamentos. El RGPD desplazó la normativa interna de protección de datos convirtiéndose en la norma primaria de protección de datos, de directa aplicación en todo el territorio nacional, sin necesidad de norma alguna de transposición (como ocurría con la Directiva 95/46).
Pero esta derogación implícita no basta por cuanto el principio de seguridad jurídica obliga a una depuración[37] del ordenamiento español de protección de datos, que debe iniciarse con la derogación explícita de todas las normas nacionales que resulten incompatibles con el RGPD en la medida en que, como señaló el TJUE en el caso Comisión/España (23 de febrero de 2006, C-205/04), «la incompatibilidad de una legislación nacional con las disposiciones del derecho comunitario, aunque sean directamente aplicables, sólo puede quedar definitivamente eliminada mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse». Por ello, la disposición derogatoria única prevista en la LOPDGDD deroga específicamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)[38] y, en términos más generales, cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD y en la LOPDGDD.
Un reglamento europeo puede habilitar a los Estados miembros a completar su regulación y el RGPD ha hecho uso profuso de esta posibilidad reconocida —como recuerda la STJUE de 11 de enero de 2001, en el caso Monte Arcosu (C-403/98)— en la jurisprudencia europea: «Si bien, en razón de la propia índole de los Reglamentos y de su función en el sistema de las fuentes del Derecho comunitario, sus disposiciones tienen, por lo general, un efecto inmediato en los ordenamientos jurídicos nacionales, sin que sea preciso que las autoridades nacionales adopten medidas de aplicación, algunas de sus disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros». El RGPD contiene una infinidad de remisiones al derecho de los Estados miembros posibilitándoles su adaptación al ámbito nacional hasta el extremo de debilitar extraordinariamente su potencia armonizadora y convertirse en un tertium genus en el sistema de fuentes del derecho europeo. El RGPD tiene, en gran medida, cuerpo de reglamento pero alma de directiva. Los ejemplos de esta índole son muy variados, yendo desde la posibilidad de que los Estados excepcionen determinadas categorías de datos de las reglas generales del RGPD (art. 89 RGPD sobre «Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos») hasta el establecimiento de la expresa obligación de los Estados para desarrollar el RGPD (art. 51 RGPD sobre el régimen jurídico e institucional de la «Autoridad de control»).
La LOPDGDD ofrece múltiples supuestos de habilitación expresa del RGPD al legislador para regular supuestos específicos como la fijación en catorce años de la edad de consentimiento de los menores (art. 7); la determinación de la ley como norma habilitada para regular los tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos (art. 8); las categorías especiales de datos (art. 9), o los datos de naturaleza penal (art. 10). Pero, sin lugar a dudas, la más amplia habilitación se refiere a la conformación de las autoridades de protección de datos (AEPD y autoridades autonómicas) en el título VII y a los procedimientos administrativos de investigación y sanción del título VIII.
Las habilitaciones expresas contenidas en el RGPD no agotan las posibilidades normativas del legislador español por cuanto la jurisprudencia europea ha admitido, a modo de habilitaciones implícitas, que la adaptación nacional del RGPD puede atender a reglas genéricas que, sin lugar a dudas, han sido ampliamente utilizadas por la LOPDGDD con las siguientes finalidades: a) la adaptación del RGPD a las tradiciones jurídicas propias y al contexto nacional y b) la garantía eficaz en la aplicación del RGPD. La numerosas habilitaciones expresas del RGPD y estas genéricas finalidades perseguidas por la LOPDGDD podrían amparar un desarrollo profuso del RGPD que afectara a su vocación de obligatoriedad y aplicabilidad directa al desdibujar su propia existencia ante sus destinatarios nacionales. La jurisprudencia europea ha tenido especial interés en reivindicar que la adaptación nacional debe preservar la visibilidad del RGPD y la trascendencia jurídica de su existencia para evitar que una apariencia de norma interpuesta debilitara el alcance jurídico del RGPD. Y, sin lugar a dudas, la LOPDGDD ha cumplido esta exigencia con creces en sus 251 referencias al RGPD, entre las que destaca —y no deja margen a la duda— su art. 1 al fijar el doble objeto de la ley (adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y completar sus disposiciones) y al afirmar que el derecho fundamental a la protección de datos personales amparado por el art.18.4 CE se ejercerá con arreglo a lo establecido en el RGPD y en la LOPDGDD.
La adaptación del RGPD a las tradiciones jurídicas propias tiene múltiples manifestaciones en la LOPDGDD. Entre ellas, la ejemplificación de tratamientos excluidos del RGPD por no estar en el ámbito de aplicación del derecho de la Unión, como es el caso del régimen electoral general, instituciones penitenciarias o los Registros Civil, de la Propiedad y Mercantiles (art. 2.3)[39]; la regulación de los datos de persones fallecidas (art. 3) ya prevista en el art. 2.4 del Reglamento 1720/2007 de desarrollo de la LOPD[40]; la regulación específica de tratamientos concretos como los de datos de contacto, empresarios individuales y de profesiones liberales (art. 19), de información crediticia (art. 20), de operaciones mercantiles (art. 21), con fines de vigilancia (art. 22), de exclusión publicitaria (art. 23) o de denuncias internas (art. 24) —todos ellos sustentados en normativa y criterios ya consolidados en la LOPD, el Reglamento 1720/2007, la Instrucción 1/2006 de la AEPD y diversos informes del Servicio Jurídico de la AEPD—.
La garantía eficaz en la aplicación del RGPD ha llevado a la LOPDGDD a incorporar diversas referencias que buscan fortalecer la seguridad jurídica: por ejemplo, los ámbitos excluidos de su aplicación, como el tratamiento de datos de persones fallecidas y las materias clasificadas (art. 2.2)[41]; la regulación de los datos de personas fallecidas (art. 3), a la que el RGPD se limita a dedicar el considerando 27; los supuestos de inexactitud de datos (art. 4.2)[42]; la especificación de modalidades de garantía de la transparencia e información del afectado (art. 11) y del derecho de acceso (art. 13); el bloqueo de datos (art. 32); la ejemplificación de entidades sometidas a la obligación de designar un delegado de protección de datos (art. 34). Pero, sin duda, el mayor ejercicio de desarrollo legislativo dirigido a procurar seguridad jurídica lo encontramos en el título IX al regular el régimen sancionador y tipificar un catálogo de vulneraciones legislativas no explicitadas en el RGPD pero que resultaba necesario para determinar el régimen de prescripción de las sanciones.
La jurisprudencia europea tampoco impide la reproducción literal de previsiones del RGPD a efectos ilustrativos o clarificadores siempre que ello no cree la apariencia de una supuesta transposición por el legislador nacional que debilite la fuerza aplicativa uniformadora del RGPD al provocar confusión al justiciable en torno a la norma alegable y los diferentes elementos constitutivos que les resulten predicables. De hecho, el propio considerando 8 RGPD admite esta posibilidad: «En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, éstos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento». Coherencia y comprensión (en definitiva, certeza y seguridad jurídica) son los objetivos que debe perseguir la reproducción literal de preceptos del RGPD por la legislación nacional.
Algunos supuestos de reproducción literal o remisión al RGPD recogidos en la LOPDGDD pueden llevar a confusión por parecer impertinentes cuando, en realidad, resultan necesarios para garantizar la complitud del sistema español de protección de datos ya que la LOPDGDD tiene una doble vocación: por un lado, adaptar y completar el RGPD en su aplicación a todos los tratamientos a los que resulta directamente aplicable por afectar a actividades comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, y, por otro, regular el ejercicio del derecho fundamental de protección de datos en el ámbito de las actividades que no están comprendidas en el Derecho de la Unión Europea. Ello explica, por ejemplo, la regulación explícita y las remisiones al RGPD (a fin de homogeneizar su garantía con el resto de los ámbitos) contenidas en la normativa de ejercicio de los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (arts. 13 a 18 LOPDGDD).
El RGPD admite que la LOPDGDD lo adapte y complete siempre que no ponga en cuestión sus objetivos ni obstaculice la armonización jurídica que persigue. La adopción de una norma dirigida a concretar a nivel nacional los requisitos impuestos por el RGPD debe procurar la seguridad jurídica —y, en consecuencia, la eficacia del RGPD— pero no resulta imaginable una normación exhaustiva que excluya o restringa las potencialidades aplicativas del RGPD y, por ende, que debilite su fuerza armonizadora en el conjunto de la Unión Europea[43].
El nuevo Derecho de protección de datos constituye un ejemplo paradigmático de la sustancial alteración de nuestro sistema de fuentes del derecho. La primacía del derecho de la Unión sobre el Derecho interno tiene una principal manifestación, como ya hemos visto, en la abducción del derecho constitucional consagrado en el art. 18.4 CE por los arts. 8 CDFUE y 16 TFUE, por los instrumentos jurídicos que los desarrollan (RGPD) y por el canon hermenéutico impuesto por la jurisprudencia europea[44]. Sin embargo, una manifestación aún más incisiva en la alteración de las fuentes del derecho español la encontramos en la desnaturalización de la ley orgánica como norma supuestamente llamada a desarrollar el derecho fundamental de protección de datos y a regular los elementos esenciales que definen este derecho. En particular, resulta seriamente contestada esta última ratio de la legislación orgánica que el TC ilustra cuando afirma que la reserva de ley orgánica tiene como función el desarrollo normativo inmediato de la Constitución en aspectos básicos o fundamentales del orden constitucional que son complemento indispensable o necesario de la obra del constituyente, de forma que la ley orgánica «convierte a las Cortes en “constituyente permanente”» (STC 6/1982, FJ 6). La propia naturaleza del RGPD (norma de alcance general, directamente aplicable y obligatoria en todos sus elementos) y la proscripción de toda norma nacional que lo reproduzca innecesariamente o que complete su contenido obstaculizando su efecto homogeneizador en el conjunto de la Unión Europea convierten a la ley nacional que pretenda adaptar o completar dicha regulación en un producto normativo marginal.
El RGPD —no la ley orgánica— es la norma llamada a «desarrollar» el derecho fundamental consagrado en el art. 8 CDFUE y a regular sus «elementos esenciales». Y así lo ha hecho de forma bien exhaustiva al normar la práctica totalidad de los elementos conformadores de este derecho: el objeto y ámbito de aplicación material y territorial (arts. 1 a 3) —incluyendo veintiséis definiciones de conceptos básicos (art. 4)—; los principios básicos (arts. 5 y 6); las condiciones del consentimiento (arts. 7 y 8); las reglas relativas a categorías especiales de datos (arts. 9 y 10); los derechos de transparencia, información, acceso, rectificación, supresión (olvido)[45], limitación, notificación, portabilidad y oposición (arts. 12 a 22); las obligaciones de responsables y encargados de los tratamientos (arts. 24 a 33); las técnicas de garantía preventiva como las evaluaciones de impacto[46], el nombramiento de delegados de protección de datos y los códigos de conducta y certificaciones (arts. 35 a 42); las transferencias internaciones (arts. 44 a 50)[47]; el estatuto básico de las autoridades de control (arts. 51 a 60); los procedimientos europeos de cooperación y coordinación (arts. 61 a 67); el estatuto del Comité Europeo de Protección de Datos (arts. 68 a 76); el régimen de recursos y responsabilidad (arts. 77 a 82); el régimen sancionador (arts. 83 y 84); regulaciones específicas (arts. 85 a 88) y excepciones (art. 89). Los 99 artículos del RGPD y los 173 considerandos que los ilustran y completan conforman un marco normativo de cuya exhaustividad dan cuenta sus aproximadamente 65 000 palabras. Poco sentido tiene ya la recurrente doctrina constitucional que, desde el primer momento, advirtió de la necesidad de aplicar un criterio restrictivo en el desarrollo del derecho fundamental operado por la ley orgánica para evitar los riesgos de «petrificación» del ordenamiento (STC 5/1981), porque, sencillamente, el desarrollo del derecho fundamental de protección de datos lo opera el RGPD sin límite alguno sobre la materia regulada.
En consecuencia, ¿qué facultades normativas le restan al legislador orgánico? La jurisprudencia europea, como se ha visto, establece criterios adicionales que acotan aún más el margen de la legislación nacional: el legislador nacional debe evitar reiteraciones innecesarias del RGPD y limitarse a adoptar las previsiones a las que obligue el RGPD para su aplicación y a adaptarlo y completarlo atendiendo a las tradiciones jurídicas propias y con el objetivo de garantizar su eficacia mediante previsiones que fortalezcan la seguridad jurídica evitando limitar el alcance del RGPD y su vocación de uniformidad en toda la Unión Europea.
El margen normativo del legislador orgánico es, aparentemente, mínimo, y contrasta, paradójicamente, con el contenido final de la LOPDGDD (85 artículos sobre protección de datos). Sin lugar a dudas, el legislador orgánico ha extendido de forma significativa su capacidad normativa, y conviene evaluar si ha excedido las posibilidades normadoras de la ley orgánica. Porque, conforme al principio de autonomía institucional que informa el sistema multinivel europeo, la ley nacional española que adapte y complete el RGPD debe respetar la posición constitucional y límites a los que la norma normarum somete a la ley orgánica. A saber, la legislación orgánica de protección de datos debe restringir su alcance al «desarrollo directo y en sus elementos esenciales» del derecho fundamental de protección de datos tanto en su regulación general como en la que pudiera operarse con carácter sectorial (STC 127/1994), esto es, «lo que está constitucionalmente reservado a la ley orgánica es la regulación de determinados aspectos esenciales para la definición del derecho, la previsión de su ámbito y la fijación de sus límites en relación con otras libertades constitucionalmente protegidas» (STC 88/1995, FJ 4).
Aunque la legislación orgánica ha sido calificada como legislación extraordinaria o «excepcional» (STC 160/1987, FJ 2), «dotada de considerables dosis de abstracción» (STC 127/1994 [FJ 3), la LOPDGDD extiende su objeto a aspectos bien específicos de la normativa de protección de datos. Su disposición final primera únicamente excluye de su naturaleza como ley orgánica —atribuyéndoles carácter de legislación ordinaria— los títulos IV, VII (salvo los arts. 52 y 53), VIII, IX, X (excepto los preceptos que consagran derechos digitales comprometiendo datos personales). Por un lado, únicamente se ha negado naturaleza orgánica a la regulación de tratamientos de datos en ámbitos concretos detallados en el título IV: datos de contacto, de empresarios individuales y de profesionales liberales, de sistemas de información crediticia, determinadas operaciones mercantiles, sistemas de videovigilancia, sistemas de exclusión publicitaria, sistemas de información de denuncias internas, función estadística pública, datos con fines de archivo en interés público de las Administraciones públicas e infracciones y sanciones administrativas[48]. En consecuencia, se ha reservado la naturaleza orgánica de la ley a todos los aspectos que afectan a la regulación general del derecho fundamental sin que, en puridad, puedan considerarse todos ellos regulación de elementos básicos del derecho, como sería el caso de la fijación en catorce años de la edad mínima de los menores para prestar su consentimiento (art. 7) o el tratamiento de datos relativos a condenas penales por abogados y procuradores (art. 10).
Por otro lado, la naturaleza orgánica de la LOPDGDD no incluye la arquitectura institucional[49] de garantía del derecho (AEPD y autoridades autonómicas) recogida en el título VII ni los procedimientos administrativos relativos a reclamaciones e investigación (título VIII) ni el régimen sancionador (título IX)[50]. Aunque la correcta intelección del sistema de fuentes así lo establezca, resulta teleológicamente paradójico comprobar cómo la normación española relega a la categoría de ley ordinaria la conformación institucional de la autoridad de control (AEPD y elementos sustanciales de las autoridades autonómicas) cuando el art. 8 CDFUE eleva a categoría constitucional europea la exigencia de que el respeto de las normas reguladoras del derecho de protección de datos quede sujeto al control de una autoridad independiente; tratándose, ni más ni menos, del único derecho reconocido en la CDFUE al que se le otorga una garantía institucional de esta naturaleza[51].
El RGPD y la LOPDGDD han alumbrado un nuevo marco normativo, europeo y nacional, de protección de datos que es el resultado de una pacífica construcción vertical descendente, tanto en el plano normativo como dogmático, operada en origen por instrumentos internacionales como el Convenio 108 del Consejo de Europa de 1981 y las directrices de la OCDE de 1980 y, durante las dos últimas décadas, por la Directiva 95/46. Este proceso culminó con el reconocimiento del derecho fundamental del art. 8 CDFUE consagrado en el art. 16 TFUE. Este nuevo derecho de protección de datos ha provocado una severa mutación en el sistema constitucional de fuentes al producirse una auténtica abducción del derecho constitucional —convertido en derecho exclusivamente europeo y sometido a la excluyente normación de la Unión Europea y a la fijación de canon hermenéutico por el TJUE—. El efecto adicional de este impacto constitucional ha sido la devaluación de la posición constitucional de la ley orgánica, que queda marginalmente limitada a garantizar la aplicación efectiva del reglamento adaptándolo y completándolo conforme a las tradiciones jurídicas nacionales y con el objetivo primario de garantizar la seguridad jurídica que coadyuve a su plena efectividad.
| [1] |
Un exhaustivo análisis del proceso legislativo europeo puede encontrarse en Rallo Lombarte y García Mahamut ( Rallo Lombarte, A. y García Mahamut, R. (eds.). (2015). Hacia un nuevo derecho europeo de protección de datos. Towards a new European Data Protection Regime. Valencia: Tirant lo Blanch.2015). De singular interés, López Aguilar ( López Aguilar, J. A. (2015). Data protection package y Parlamento Europeo. En A. Rallo y R. García (eds). Hacia un nuevo derecho europeo de protección de datos. Towards a new European Data Protection Regime (pp. 29-81). Valencia: Tirant lo Blanch,2015: 29-81). |
| [2] |
Un primer análisis de las claves de la reforma propuesta por la Comisión Europea, en Rallo Lombarte ( Rallo Lombarte, A. (2012). Hacia un nuevo sistema europeo de protección de datos: las claves de la reforma. Revista de Derecho Político, 85, 15-56.2012: 15-56). El 25 de enero de 2012 la Comisión Europea presentó sendas iniciativas dirigidas a posibilitar una revisión global del sistema europeo de protección de datos: el «Proyecto de Reglamento del Parlamento Europeo y del Consejo para la protección de los ciudadanos en relación con el tratamiento de los datos personales y la libre circulación de dichos datos» y el «Proyecto de Directiva del Parlamento Europeo y del Consejo sobre protección de los ciudadanos en relación al tratamiento de los datos personales por las autoridades competentes con la finalidad de prevenir, investigar, detectar y perseguir delitos o ejecutar penas, y sobre el libre movimiento de dichos datos». Debe subrayarse que las aportaciones al proceso de elaboración del RGPD del Grupo Europeo de Autoridades de Protección de Datos reunidas en el Article 29 Working Party resultaron decisivas. |
| [3] |
En 2009, la Comisión Europea inició el examen del marco jurídico europeo (Directiva 95/46/CE) con una conferencia de alto nivel seguida de una consulta pública. Los resultados obtenidos confirmaron que los principios fundamentales de la directiva seguían siendo válidos, pero se identificaron problemáticas como el impacto de las nuevas tecnologías, el reforzamiento del mercado interior, la globalización y la mejora de las transferencias internacionales, la aplicación efectiva de las normas sobre protección de datos y la mejora de la coherencia del marco jurídico. Por ello, la Comisión Europea presentó en 2010, la comunicación sobre «Un enfoque global de la protección de los datos personales en la Unión Europea», donde anunció que la Comisión Europea presentaría propuestas legislativas destinadas a revisar el marco jurídico de la protección de datos. Esta iniciativa no dejó de sorprender por cuanto, en 2003, en su «Primer informe sobre la aplicación de la Directiva 95/46/CE» había apostado por mantener íntegra la Directiva 95/46/CE y reforzar la exigencia de su aplicabilidad. Y, en fecha aún más reciente, la Comisión reiteró su criterio en su comunicación de 2007, sobre «Seguimiento del Programa de trabajo para una mejor aplicación de la Directiva sobre protección de datos», donde afirmaba no tener prevista ninguna propuesta legislativa para modificar la directiva. A la voluntad reformadora se sumaron el Parlamento Europeo en 2009, el Consejo Europeo en 2010 (Programa de Estocolmo) y el Article 29 Working Party en su dictamen de 1 de diciembre de 2009 «The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data». |
| [4] |
De singular valor e interés resultan los primeros estudios colectivos con carácter monográfico sobre el RGPD: Piñar Mañas ( Piñar Mañas, J. L. (dir.). (2016). Reglamento general de protección de datos. Hacia un nuevo modelo europeo de privacidad. Madrid: Editorial Reus.2016), López Calvo ( López Calvo, J. (2017). Comentarios al Reglamento Europeo de Protección de Datos. Madrid: Sepin.2017 y López Calvo, J. (coord.). (2018). El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos. Madrid: Wolters Kluwer-Bosch.2018), Rebollo Delgado ( Rebollo Delgado, L.(2018). Protección de datos en Europa. Madrid: Dykinson.2018), Gudín Rodríguez-Magariños ( Gudín Rodríguez-Magariños, F. (2018). Nuevo Reglamento Europeo de Protección de Datos versus Big Data. Valencia: Tirant lo Blanch.2018) y Delgado Caravilla ( Delgado Caravilla, E. (2018). Implantación del nuevo reglamento general de protección de datos de la Unión Europea. Valencia: Tirant lo Blanch.2018). |
| [5] |
Una análisis integrado del nuevo sistema normativo de protección de datos en Rallo Lombarte ( Rallo Lombarte, A. (dir.) (2019a). Tratado de protección de datos. Valencia: Tirant lo Blanch.2019a) y López Calvo (coord.) ( López Calvo, J. (coord.). (2019). La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD. Madrid: Wolters Kluwer-Bosch.2019). |
| [6] |
Entre los numerosos estudios sobre la larga vida de la Directiva 95/46/CE destacan Davara ( Davara, M. A. (1998): La protección de datos en Europa: principios, derechos y procedimiento. Madrid: Grupo Asnef Equifax.1998), Sánchez Bravo ( Sánchez Bravo, A. (1998). La protección del derecho a la libertad informática en la Unión Europea. Sevilla: Universidad de Sevilla.1998), Arenas Ramiro ( Arenas Ramiro, M. (2006a). El derecho fundamental a la protección de datos personales en Europa. Valencia: Tirant lo Blanch.2006a), Rebollo Delgado ( Rebollo Delgado, L. (2008). Vida privada y protección de datos en la Unión Europea. Madrid: Dykinson.2008) y Kuner ( Kuner, C. (2007). European Data Protection Law. Corporate Compliance and Regulation. Oxford: Oxford University Press.2007). |
| [7] |
Estudios sobre esta normativa cualificados por su exhaustividad y calidad pueden consultarse en Lesmes Serrano ( Lesmes Serrano, C. (coord.). (2008). La Ley de Protección de Datos. Análisis y comentario de su jurisprudencia. Valladolid: Lex Nova.2008) y Troncoso Reigada ( Troncoso Reigada, A. (2010a). Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal. Pamplona: Thomson-Reuters.2010a y Troncoso Reigada, A. (2010b). La protección de datos personales en busca del equilibrio. Valencia: Tirant lo Blanch.2010b). |
| [8] |
Sobre la tramitación parlamentaria de la LOPDGDD y su aprobación por unanimidad en el Congreso de los Diputados, véase Martínez Vázquez ( Martínez Vázquez, F. (2019). La tramitación parlamentaria de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales. En A. Rallo (dir.). Tratado de Protección de Datos (pp. 53-77). Valencia: Tirant lo Blanch.2019). |
| [9] |
Un interesante estudio reciente sobre la trascendencia de esta revisión del derecho de protección de datos en Martínez López-Sáez ( Martínez López-Sáez, M. (2018). Una revisión del derecho fundamental a la protección de datos de carácter personal. Valencia: Tirant lo Blanch.2018). |
| [10] |
Los elementos tradicionales sobre los que se asienta el derecho a la protección de datos han sido objeto de adecuación a los retos provenientes del nuevo entorno tecnológico. El RGPD ha intensificado la transparencia e información al ciudadano garantizando un fácil acceso y comprensión en un mundo online protagonizado por un masivo acceso a internet y por la obtusidad de las reglas y políticas de privacidad. El RGPD ha completado los derechos instrumentales que tradicionalmente se incluían en el derecho de protección de datos (acceso, rectificación, supresión y oposición) con nuevos perfiles que lo adecúan al ámbito digital. Por ejemplo, el derecho al olvido comporta la obligación de informar a terceros de la petición de supresión de «cualquier enlace, copia o réplica» y el derecho a la portabilidad de los datos ampara transmitir datos conservados en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado. |
| [11] |
El RGPD ha completado el modelo represivo —sin duda ahora mucho más gravoso— con una
estrategia preventiva sustentada en el accountability principle. El RGPD apuesta por la protección de datos desde el diseño y por defecto —Schaar ( Schaar, P. (2010). Privacy by Design. Identity in the Information Society, 3 (2), 267-274.2010: 267-274)—, obligando a implementar medidas y procedimientos que garanticen que, por defecto,
solo sean objeto de tratamiento los datos necesarios para cada fin específico y que
solo se conserven por el tiempo y cantidad mínimos (data minimization principle) necesarios para sus fines. El RGPD incorpora técnicas existentes en sistemas anglosajones
—Warren ( Warren, A. (2009). Privacy Impact Assessments: the UK experience. 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Madrid, 4-6 de noviembre.2009)—. El RGPD consolida la figura del delegado de protección de datos existente, hasta
la fecha, en Alemania y Francia y promueve la autorregulación mediante certificaciones
y sellos. Todo ello obedece a una nueva estrategia basada en la rendición de cuentas
(accountability). Como ilustra el Informe de la AEPD 194/2017, sobre el anteproyecto de ley, el RGPD
sustituye el antiguo modelo de la Directiva 95/46/CE, basado en obligaciones de los
responsables y encargados sometidas a potestades reactivas de las autoridades de protección
de datos por un nuevo paradigma basado en el enfoque de riesgo cuya evaluación corresponde
a responsables y encargados y que consolida un nuevo modelo de responsabilidad activa.
Para entender mejor este alcance, véase Gellert ( Gellert, R. (2018). Understanding the notion of risk in the General Data Protection
Regulation. Computer Law & Security Review, 34 (2), 279-288. Disponible en
|
| [12] |
Sobre los inicios de la jurisprudencia constitucional relativa al derecho de protección de datos, es de interés el trabajo de Villaverde Menéndez ( Villaverde Menéndez, I. (1994). Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo. A propósito de la STC 254/1993. Revista Española de Derecho Constitucional, 41, 187-224.1994). |
| [13] |
Debe reconocerse el carácter precursor y las sustanciales aportacions dogmáticas de la obra de Lucas Murillo de la Cueva ( Lucas Murillo de la Cueva, P. (1991). El derecho a la autodeterminación informativa. Madrid: Tecnos.1991). |
| [14] |
Para aproximarse al análisis de la protección de datos concebida como un riesgo para la privacidad en el mundo anglosajón norteamericano puede consultarse Bamberger y Mulligan ( Bamberger, K. A., y Mulligan, D. K. (2012). PIA requirements and privacy decision-making in US government agencies. En D. Wright y P. De Hert (eds.). Privacy Impact Assessment (pp. 225-250). Dordrecht: Springer.2012: 225-250). De singular interés son las reflexiones de Davis ( Davis, S. (2009). Is there a right to privacy? Pacific Philosophical Quarterly, 90 (4), 450-475.2009: 450-475). |
| [15] |
Los considerandos 1 a 7 de la directiva no admiten equívoco: a) El establecimiento y funcionamiento del mercado interior obligaba a la libre circulación de mercancías, personas, servicios y capitales y hacía necesaria la libre circulación de datos personales entre Estados miembros. b) Máxime cuando la integración económica y social resultante del establecimiento y funcionamiento del mercado interior implicaría necesariamente un aumento notable de los flujos transfronterizos de datos personales y un intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros. c) Las diferencias entre los niveles de protección de la intimidad, en el tratamiento de datos personales, podría impedir la transmisión de dichos datos entre Estados miembros y, en consecuencia, estas diferencias podrían constituir un obstáculo para las actividades económicas a escala comunitaria, falseando la competencia e impidiendo que las administraciones cumplieran los cometidos derivados del Derecho comunitario. |
| [16] |
Un análisis exhaustivo de la génesis del derecho de protección de datos, en Pascual
Huerta ( Pascual Huerta, P. (2017). La génesis del derecho fundamental a la protección de datos Personales [tesis doctoral]. Madrid: Universidad Complutense. Disponible en
|
| [17] |
Hesse, Schleswig-Holstein, Baviera, Renania-Palatinado, Renania del Norte-Westfalia o Baden-Württemberg. |
| [18] |
La primera ley española que desarrolló este precepto fue la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). Un exhaustivo estudio de la misma en Lucas Murillo de la Cueva ( Lucas Murillo de la Cueva, P. (1993). Informática y protección de datos personales. Madrid: Centro de Estudios Políticos y Constitucionales.1993). |
| [19] |
Para analizar el proceso de construcción del derecho de protección de datos en España resultan indispensables Lucas Murillo de la Cueva ( Lucas Murillo de la Cueva, P. (1993). Informática y protección de datos personales. Madrid: Centro de Estudios Políticos y Constitucionales.1999: 35-60) y Troncoso Reigada ( Troncoso Reigada, A. (2010b). La protección de datos personales en busca del equilibrio. Valencia: Tirant lo Blanch.2010b). |
| [20] |
No ha faltado quien ha querido devaluar la trascendencia jurídico-constitucional del art. 8 CDFUE al identificarlo como un mero derecho importado de una norma de derecho derivado, con carácter secundario, como la Directiva 95/46/CE. Resultan ilustrativas las siguientes afirmaciones —vertidas, el 25 de junio de 2013, por Niilo Jääskinen, abogado general del TJUE, en sus conclusiones en el caso Google Spain vs. AEPD (131/12, 13-5-2014)— sobre el art. 8 CDFUE: «Es una reafirmación del acervo de la Unión Europea y del Consejo de Europa en la materia, pone énfasis en la importancia de la protección de datos personales, pero, en tanto que tal, no añade ningún elemento nuevo significativo a la interpretación de la Directiva» (punto 113). |
| [21] |
No en vano, la memoria explicativa de la CDFUE ilustra sobre el origen del art. 8 CDFUE en los siguientes términos: «Este artículo se ha basado en el artículo 286 del Tratado constitutivo de la Comunidad Europea y en la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31), así como en el artículo 8 del CEDH y en el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, ratificado por todos los Estados miembros». |
| [22] |
El considerando 9 del RGPD concluye: «Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE». |
| [23] |
Véase https://bit.ly/2WvETXD, pp. 8-9. Una valoración sobre las implicaciones de la ubicación del derecho fundamental de protección de datos en el Tratado Constitucional, en Guerrero Pico ( Guerrero Pico, M. C. (2005). El derecho fundamental a la protección de los datos de carácter personal en la Constitución Europea. Revista de Derecho Constitucional Europeo, 4, 293-334.2005: 293-334) y De Miguel Sánchez ( De Miguel Sánchez, N. (2006). El derecho a la protección de datos personales en el Tratado por el que se instituye una Constitución para Europa. Revista de Administración Pública, 169, 301-335.2006: 301-335). |
| [24] |
De forma inequívoca el considerando 1 del Reglamento (UE) 2016/679 no deja margen a la duda: «La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan». |
| [25] |
De hecho, la Comisión Europea barajó otras opciones: a) introducir mínimas enmiendas legislativas y adoptar comunicaciones interpretativas y medidas financieras y promocionales; b) la plena centralización de la protección de datos en la Unión Europea en todos los sectores creando una agencia de la Unión destinada a la supervision; c) una revisión global del marco normativo. |
| [26] |
El RGPD alude en exclusiva, como base jurídica, al art. 16 TFUE: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes». |
| [27] |
De valor son las sugestivas consideraciones, sobre el impacto de la tecnología en la sociedad contemporánea, de Pérez Luño ( Pérez Luño, A. E. (2012). Los derechos humanos en la sociedad tecnológica. Madrid: Universitas.2012). |
| [28] |
Análisis sobresalientes sobre los interrogantes abiertos en el mundo del derecho por la omnipresencia de internet pueden consultarse en García Mexía ( García Mexía, P. (2005). Principios de Derecho de Internet. Valencia: Tirant lo Blanch.2005, García Mexía, P. (2009). Derecho Europeo de Internet. A Coruña: Netbiblo.2009 y García Mexía, P. (2017). La Internet abierta. Retos regulatorios de una Red nacida libre. Madrid: REU Ediciones.2017), Cotino Hueso ( Cotino Hueso, L. (coord.). (2007). Libertad en internet. La red y las libertades de expresión e información. Valencia: Tirant lo Blanch.2007 y Cotino Hueso, L. (ed.). (2011). Libertades de expresión e información en Internet y las redes sociales. Valencia: Universidad de Valencia.2011), Díaz Revorio ( Díaz Revorio, F.J. (2009). Los Derechos Humanos ante los nuevos avances científicos y tecnológicos: Genética e Internet ante la Constitución. Valencia: Tirant lo Blanch,2009), Guerrero Pico ( Guerrero Pico, M. C. (2006). El impacto de Internet en el Derecho Fundamental a la Protección de Datos de Carácter Personal. Pamplona: Thomson-Civitas.2006), Valero Torrijos ( Valero Torrijos, J. (2014). Protección de los datos personales en Internet ante la evolución tecnológica. Pamplona: Aranzadi.2014), Corredoira y Cotino ( Corredoira Alfonso, L. y Cotino Hueso, L. (dirs.). (2013). Libertad de expresión e información en Internet. Amenazas y protección de los derechos personales. Madrid: Centro de Estudios Políticos y Constitucionales.2013) y Barrio Andrés ( Barrio Andrés, M. (2017a). Fundamentos del Derecho de Internet. Madrid: Centro de Estudios Políticos y Constitucionales.2017a y Barrio Andrés, M. (2017b). Derecho Público e Internet. Madrid: Instituto Nacional de Administración Pública.2017b). |
| [29] |
El Considerando 6 del Reglamento (UE) 2016/679 confirma: «La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales». |
| [30] |
Sobre la relevancia precursora de este pronunciamiento constitucional, Villaverde Menéndez ( Villaverde Menéndez, I. (1994). Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo. A propósito de la STC 254/1993. Revista Española de Derecho Constitucional, 41, 187-224.1994: 187-224). |
| [31] |
Entre los numerosos estudios relativos a esta doctrina, consúltese Alguacil González ( Alguacil González Aurioles, J. (2001). La libertad informática: aspectos sustantivos y competenciales (SSTC 290 y 292/2000). Teoría y Realidad Constitucional, 7, 365-385.2001: 365-385). |
| [32] |
Sobre la relevancia de este precepto puede profundizarse en Ruiz Miguel ( Ruiz Miguel, C. (2003). El derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea: análisis crítico. Revista de Derecho Comunitario Europeo, 14, 7-43.2003: 7-43), Guerrero Pico ( Guerrero Pico, M. C. (2005). El derecho fundamental a la protección de los datos de carácter personal en la Constitución Europea. Revista de Derecho Constitucional Europeo, 4, 293-334.2005: 293-334), De Miguel Sánchez ( De Miguel Sánchez, N. (2006). El derecho a la protección de datos personales en el Tratado por el que se instituye una Constitución para Europa. Revista de Administración Pública, 169, 301-335.2006: 301-335), Martín y Pérez de Nanclares ( Martín y Pérez de Nanclares, J. (2008). Protección de datos de carácter personal. En A. Mangas Martín y L. Norberto González Alonso (coords.). Carta de los derechos fundamentales de la Unión Europea (pp. 223-243). Madrid: Fundación BBVA.2008: 223-243) y González Murúa ( González Murúa, A. R. (2013). Artículo 8: protección de los datos de carácter personal. En J. I. Ugartemendía Eceizabarrena, S. García Vázquez y J. Goizueta Vértiz (dirs.). La carta de los derechos fundamentales de la Unión Europea (pp. 99-114). Pamplona: Aranzadi.2013: 99-114). |
| [33] |
De indispensable consulta es Alonso García ( Alonso García, R. (2014). El Juez Nacional en la Encrucijada Europea de los Derechos Fundamentales. Madrid: Civitas.2014). Un análisis en profundidad en Ugartemendia Eceizabarrena ( Ugartemendia Eceizabarrena J. I. (2013). La tutela judicial de los derechos fundamentales
en el ámbito de aplicación nacional del Derecho de la Unión Europea. Recientes acotaciones
del Tribunal de Justicia y del Tribunal Constitucional español. Teoría y Realidad Constitucional, 32, 391-428.2013: 479-522), Arroyo Jiménez ( Arroyo Jiménez, L. (2014). La aplicación judicial del Derecho de la Unión Europea
y el derecho a la tutela judicial. Una propuesta de sistematización. Revista Española de Derecho Constitucional, 102, 293-316.2014), De la Quadra-Salcedo Janini ( De la Quadra-Salcedo Janini, T. (2015). El papel del Tribunal Constitucional y de los tribunales ordinarios en un contexto
de tutela multinivel de los derechos fundamentales. Working Paper IDEIR, 23. Disponible en:
|
| [34] |
Como ya ha ocurrido, vigente la Directiva 95/46/CE, en el caso Promusicae (275/06, 29-1-2008) y en el caso Google Spain vs. AEPD (131/12, 13-5-2014). |
| [35] |
Pero el alcance general y la aplicabilidad directa del RGPD no agotan la perseguida intensa armonización europea por cuanto, a la existencia de un marco normativo común, el art. 92 RGPD suma la utilización de instrumentos como los actos delegados y de ejecución. Resulta particularmente visible la vocación de centralización europea del RGPD en la creación del nuevo Comité Europeo de Protección de Datos, que adquiere una relevante posición institucional en la garantía de los nuevos mecanismos europeos de coordinación efectiva de las autoridades nacionales de control como el deber de asistencia mutua, las investigaciones conjuntas y el mecanismo de coherencia que constituye la auténtica cláusula de salvaguarda de la armonización. El RGPD no se da por satisfecho con su aplicabilidad directa, la exhaustiva normación y la centralización europea de poderes, sino que ha querido impedir divergencias nacionales en su aplicación imponiendo a las autoridades nacionales un mecanismo de coherencia destinado a garantizar en el caso concreto la efectiva aplicación uniforme del RGPD. |
| [36] |
SSTJUE de 17 de diciembre de 1970, Scheer, 30/70; 7 de febrero 1973, Comisión/Italia, 39/72; 10 de octubre de 1973, Variola, 34/73; 30 de octubre de 1975, Rey Soda, 23/75; 2 de febrero de 1977, 50/76, Amsterdam Bulb; 31 de enero de 1978, Zerbone, 94/77; 27 de septiembre de 1979, Eridiana, 230/78; 28 marzo 1985, Comisión/Italia, 272/83; 28 de marzo de 1985, Comisión/Italia, 272/83; 13 de marzo de 1997, Comisión/Francia, 197/96; 10 de mayo de 2001, Comisión/Países Bajos, 144/99; 17 de enero de 2002, Comisión/Irlanda, 394/00; 14 de octubre de 2004, Comisión/Países Bajos, 113/02; 8 de diciembre de 2005, Comisión/Luxemburgo, 115/05; 14 de julio de 2011, Bureau National Interprofessionnel du Carnac, 4/10 y 27/10; 21 de diciembre de 2011, Danske Svineproducenter, 316/10; 15 de noviembre de 2012, Al-Aqsa/Consejo, 539/10. |
| [37] |
A esta depuración contribuyó decisivamente el brillante Informe 757/2017 del Consejo de Estado emitido el 16 de octubre de 2017 sobre el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Este informe vino precedido de una carta, fechada el 9 de agosto de 2017 y dirigida al Ministerio de Justicia, de la Comisaria de Justicia, Consumo e Igualdad de Género de la Comisión Europea, acompañada de un anexo con consideraciones críticas al texto del Anteproyecto de Ley Orgánica de Protección de Datos por entender que este excedía las habilitaciones del RGPD. |
| [38] |
No obstante, la disposición adicional decimocuarta de la LOPDGDD mantiene la vigencia de las normas dictadas en aplicación del art. 13 de la Directiva 95/46/CE que hubiesen entrado en vigor con anterioridad al 25 de mayo de 2018, y, en particular, los arts. 23 y 24 LOPD, en tanto no sean expresamente modificadas, sustituidas o derogadas; y la disposición transitoria cuarta de la LOPDGDD mantiene la vigencia de la LOPD y en particular el art. 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que transponga la Directiva (UE) 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. |
| [39] |
En todo caso, el RGPD resulta supletoriamente aplicable en estos supuestos no sometidos al derecho de la Unión Europea que están sometidos a la competencia prejudicial del TJUE y a su jurisprudencia. |
| [40] |
El Reglamento de desarrollo de la LOPD ha sido objeto de numerosos estudios, entre los que merecen ser destacados los de Zabía de la Mata ( Zabía de la Mata, J. (dir.). (2008). Protección de Datos. Comentarios al Reglamento. Valladolid: Lex Nova.2008) y Martínez Martínez ( Martínez Martínez, R. (dir.). (2009). Protección de Datos. Comentarios al Reglamento de Desarrollo de la LOPD. Valencia: Tirant lo Blanch.2009). |
| [41] |
Conviene advertir que el art. 1 LOPDGDD pone de relieve la ampliación del objeto de esta ley en su tramitación legislativa. Inicialmente concebida exclusivamente como una ley dirigida a adaptar y completar el RGPD, su objeto se amplió —por razones de oportunidad política y coherencia temática— para «garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución». El título X LOPDGDD («Garantía de los derechos digitales») fue introducido durante el iter legislativo a raíz de una enmienda presentada por el Grupo Parlamentario Socialista de forma que el inicial Proyecto de Ley de Protección de Datos de Carácter Personal (Boletín Oficial de las Cortes Generales. Congreso de los Diputados, núm. 13-1, de 24 de noviembre de 2017) se vio modificado en el trámite de enmiendas ampliándose el objeto de ley, modificándose su denominación e incorporándose un amplio y sistemático elenco de derechos digitales en el título X. Por este motivo, el art. 2 LOPDGDD restringe el ámbito de aplicación de la ley orgánica a lo dispuesto en los títulos I a IX y en los arts. 89 a 94 del título X —esto es, se aplica únicamente a los derechos digitales que se refieren al tratamiento total o parcialmente automatizado de datos personales. El análisis de la evolución del derecho de protección de datos hasta el reconocimiento de derechos digitales en la LOPDGDD puede encontrarse en Rallo Lombarte ( Rallo Lombarte, A. (2017a). De la ‘libertad informática’ a la constitucionalización de nuevos derechos digitales (1978-2018). Revista de Derecho Político, 100, 637-667.2017a, Rallo Lombarte, A. (2018a). Nuevas tecnologías, nuevos derechos. En B. Pendás (dir.), E. González y R. Rubio (coords.). España constitucional (1978-2018). Trayectorias y Perspectivas. Tomo III (pp. 2363-2379). Madrid: Centro de Estudios Políticos y Constitucionales.2018a y Rallo Lombarte, A. (2019b). Del derecho a la protección de datos a la garantía de nuevos derechos digitales. En A. Rallo (dir.). Tratado de protección de datos (pp. 23-52). Valencia: Tirant lo Blanch.2019b)—. |
| [42] |
Como ha ilustrado el Informe 757/2017 del Consejo de Estado, se trata de un buen ejemplo en el que la ley española excede las habilitaciones expresas del RGPD en garantía de la seguridad jurídica en su aplicación conciliándola con el principio de responsabilidad proactiva que consagra el art. 5.2 RGPD. |
| [43] |
La LOPDGDD ofrece sobrados ejemplos de previsiones dirigidas a conciliar la mayor seguridad jurídica proveniente de una detallada regulación nacional y la fuerza armonizadora del RGPD. Por ejemplo, el art. 19 LOPDGDD establece que, salvo prueba en contrario, se presumirá amparado en lo dispuesto en el art. 6.1.f) del RGPD —cuando el responsable ostente un interés legítimo— el tratamiento de los datos de contacto y los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica. Esto es, la LOPDGG no impone una condición de licitud del tratamiento de datos en una actividad determinada, sino que presume su licitud siempre que pueda, en su caso, demostrarse que dicho tratamiento de datos busca satisfacer el interés legítimo del responsable. Otro tanto ocurre con el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia (art. 20). |
| [44] |
Para aproximarse a las principales líneas jurisprudenciales emanadas del TJUE sobre protección de datos véase Arenas Ramiro ( Arenas Ramiro, M. (2006b). El derecho a la protección de datos personales en la jurisprudencia del TJCE. Revista Aranzadi de Derecho y Nuevas Tecnologías, 4, 95-119.2006b: 95-119), Rallo Lombarte ( Rallo Lombarte, A. (2017b). El Tribunal de Justicia de la Unión Europea como juez garante de la privacidad en Internet. Teoría y Realidad Constitucional, 39, 583-610.2017b: 583-610) y Piñar Mañas y Recio Gayo ( Piñar Mañas, J. L. y Recio Gayo, M. (2018). Derecho a la protección de datos en la jurisprudencia del tribunal de justicia de la Unión Europea. Madrid: La Ley.2018). |
| [45] |
Sobre los orígenes, avatares y consolidación jurisprudencial y legislativa de este derecho, véase Rallo Lombarte ( Rallo Lombarte, A. (2014b). El derecho al olvido en Internet. Google versus España. Madrid: Centro de Estudios Políticos y Constitucionales.2014b y Rallo Lombarte, A. (2018b). The right to be forgotten on the Internet: Google vs Spain, Washington: EPIC.2018b). |
| [46] |
Para comprender mejor el alcance de estas técnicas preventivas, resulta imprescindible recurrir a experimentados análisis provenientes de la cultura anglosajona como el de Wright y De Hert ( Wright, D. y De Hert, P. (dirs.). (2012). Privacy Impact Assessment. Dordrecht: Springer.2012). También, el realizado por el exsupervisor europeo de protección de datos, Huxtin ( Huxtin, P. (2010). Privacy by Design: Delivering the Promises. Identity in the Information Society, 3 (2), 253-255.2010: 253-255). |
| [47] |
La complejidad de la normativa europea de transferencias internacionales de datos
queda ilustrada en Kuner ( Kuner, C. (2008). The Point of View on BCRs from a Large International Business Organisation.
Proceedings of the first European Congress on Data Protection (pp. 149-189). Madrid: Fundación BBVA.2008) y Proust y Bartoli ( Proust, O. y Bartoli, E. (2012). Binding Corporate Rules: a global solution for international
data transfers. International Data Privacy Law, 2 (1), 35-39. Disponible en
|
| [48] |
Lo que resulta razonable, pues se trata de normas que, lejos de desarrollar aspectos básicos del derecho fundamental, regulan en detalle estos ámbitos importando a la LOPDGDD normas vigentes y doctrina consolidada de la AEPD que ya se recogía en la LO 15/1999, en el Reglamento 1720/2007 de desarrollo de la LOPD, en la Instrucción 1/2006 sobre videovigilancia de la AEPD y en numerosos informes del servicio jurídico de la AEPD. Llama la atención, no obstante, la extensión del carácter orgánico a los específicos tratamientos regulados en la disposición adicional decimoséptima por cuanto la naturaleza de los datos personales (caracterizados como datos especiales —sensibles o especialmente protegidos según la anterior LOPD—) no puede considerarse elemento básico determinante del carácter orgánico de la ley que los recurre. De hecho, con anterioridad todas las leyes reguladoras de datos relativos a la salud han tenido carácter ordinario: entre ellas, la Ley 14/1986, de 25 de abril, General de Sanidad; la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales; la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 14/2007, de 3 de julio, de Investigación Biomédica, y la Ley 33/2011, de 4 de octubre, General de Salud Pública. |
| [49] |
Una aproximación global a los diferentes modelos de instituciones garantes de la privacidad, en Bennett y Raab ( Bennett, C. J. y Raab, Ch. (2006). The Governance of Privacy: Policy Instruments in Global Perspective. Cambridge: MIT Press.2006). |
| [50] |
Un completo análisis de las fortalezas y debilidades del régimen sancionador de la AEPD puede encontrarse en Rallo Lombarte ( Rallo Lombarte, A. (2014a). Estudio sobre la evolución del régimen sancionador en la legislación de protección de datos. Revista de Estudios Políticos, 166, 95-121.2014a: 95-121) y en la obra colectiva en la que se inserta el trabajo de Tornos Mas ( Tornos Mas, J. (2008). Potestad sancionadora de la Agencia Española de Protección de Datos y principio de proporcionalidad. En La potestad sancionadora de la Agencia Española de Protección de Datos (pp. 25-50). Pamplona: Aranzadi.2008: 25-50). |
| [51] |
El TJUE ha tenido ocasión de poner en valor esta exigencia del art. 8 CDFUE y los límites a los que somete al legislador nacional. La STJUE, de 8 de abril de 2014 (Caso C-288/12, Comisión vs. Hungría), se ocupó de la remoción legislativa anticipada de un regulador, por creación de una nueva autoridad independiente y supresión de la anterior, concluyendo que permitir a un Estado miembro poner fin al mandato de una autoridad de control antes de su expiración, sin respetar las reglas y las garantías establecidas previamente por la legislación aplicable, podría llevar a que esa autoridad obedeciera a la voluntad del poder político. Para el TJUE, «los Estados miembros son libres de adoptar y modificar el modelo institucional que consideren más adecuado para sus autoridades de control. No obstante, deben en este marco velar por que no se limite la independencia de la autoridad de control […] este mero cambio de modelo institucional no puede justificar objetivamente que pueda ponerse fin de manera anticipada al mandato de la persona que desempeñaba el cargo de Supervisor sin que se establezcan medidas transitorias que permitan garantizar que se respeta la duración de su mandato» (puntos 59 a 61) como requisito primordial de su independencia. |
|
Alguacil González Aurioles, J. (2001). La libertad informática: aspectos sustantivos y competenciales (SSTC 290 y 292/2000). Teoría y Realidad Constitucional, 7, 365-385. |
|
|
Alonso García, R. (2014). El Juez Nacional en la Encrucijada Europea de los Derechos Fundamentales. Madrid: Civitas. |
|
|
Arenas Ramiro, M. (2006a). El derecho fundamental a la protección de datos personales en Europa. Valencia: Tirant lo Blanch. |
|
|
Arenas Ramiro, M. (2006b). El derecho a la protección de datos personales en la jurisprudencia del TJCE. Revista Aranzadi de Derecho y Nuevas Tecnologías, 4, 95-119. |
|
|
Arroyo Jiménez, L. (2014). La aplicación judicial del Derecho de la Unión Europea y el derecho a la tutela judicial. Una propuesta de sistematización. Revista Española de Derecho Constitucional, 102, 293-316. |
|
|
Bamberger, K. A., y Mulligan, D. K. (2012). PIA requirements and privacy decision-making in US government agencies. En D. Wright y P. De Hert (eds.). Privacy Impact Assessment (pp. 225-250). Dordrecht: Springer. |
|
|
Bennett, C. J. y Raab, Ch. (2006). The Governance of Privacy: Policy Instruments in Global Perspective. Cambridge: MIT Press. |
|
|
Barrio Andrés, M. (2017a). Fundamentos del Derecho de Internet. Madrid: Centro de Estudios Políticos y Constitucionales. |
|
|
Barrio Andrés, M. (2017b). Derecho Público e Internet. Madrid: Instituto Nacional de Administración Pública. |
|
|
Corredoira Alfonso, L. y Cotino Hueso, L. (dirs.). (2013). Libertad de expresión e información en Internet. Amenazas y protección de los derechos personales. Madrid: Centro de Estudios Políticos y Constitucionales. |
|
|
Cotino Hueso, L. (coord.). (2007). Libertad en internet. La red y las libertades de expresión e información. Valencia: Tirant lo Blanch. |
|
|
Cotino Hueso, L. (ed.). (2011). Libertades de expresión e información en Internet y las redes sociales. Valencia: Universidad de Valencia. |
|
|
Davara, M. A. (1998): La protección de datos en Europa: principios, derechos y procedimiento. Madrid: Grupo Asnef Equifax. |
|
|
Davis, S. (2009). Is there a right to privacy? Pacific Philosophical Quarterly, 90 (4), 450-475. |
|
|
De la Quadra-Salcedo Janini, T. (2015). El papel del Tribunal Constitucional y de los tribunales ordinarios en un contexto de tutela multinivel de los derechos fundamentales. Working Paper IDEIR, 23. Disponible en: https://bit.ly/2gAw0x2. |
|
|
Delgado Caravilla, E. (2018). Implantación del nuevo reglamento general de protección de datos de la Unión Europea. Valencia: Tirant lo Blanch. |
|
|
De Miguel Sánchez, N. (2006). El derecho a la protección de datos personales en el Tratado por el que se instituye una Constitución para Europa. Revista de Administración Pública, 169, 301-335. |
|
|
Díaz Revorio, F.J. (2009). Los Derechos Humanos ante los nuevos avances científicos y tecnológicos: Genética e Internet ante la Constitución. Valencia: Tirant lo Blanch, |
|
|
Frosini, V. (1982). Banco de datos y tutela de la persona. Revista de Estudios Políticos, 30, 21-40 |
|
|
García Mexía, P. (2005). Principios de Derecho de Internet. Valencia: Tirant lo Blanch. |
|
|
García Mexía, P. (2009). Derecho Europeo de Internet. A Coruña: Netbiblo. |
|
|
García Mexía, P. (2017). La Internet abierta. Retos regulatorios de una Red nacida libre. Madrid: REU Ediciones. |
|
|
Gellert, R. (2018). Understanding the notion of risk in the General Data Protection Regulation. Computer Law & Security Review, 34 (2), 279-288. Disponible en https://doi.org/10.1016/j.clsr.2017.12.003. |
|
|
González Murúa, A. R. (2013). Artículo 8: protección de los datos de carácter personal. En J. I. Ugartemendía Eceizabarrena, S. García Vázquez y J. Goizueta Vértiz (dirs.). La carta de los derechos fundamentales de la Unión Europea (pp. 99-114). Pamplona: Aranzadi. |
|
|
Gudín Rodríguez-Magariños, F. (2018). Nuevo Reglamento Europeo de Protección de Datos versus Big Data. Valencia: Tirant lo Blanch. |
|
|
Guerrero Pico, M. C. (2005). El derecho fundamental a la protección de los datos de carácter personal en la Constitución Europea. Revista de Derecho Constitucional Europeo, 4, 293-334. |
|
|
Guerrero Pico, M. C. (2006). El impacto de Internet en el Derecho Fundamental a la Protección de Datos de Carácter Personal. Pamplona: Thomson-Civitas. |
|
|
Huxtin, P. (2010). Privacy by Design: Delivering the Promises. Identity in the Information Society, 3 (2), 253-255. |
|
|
Kuner, C. (2007). European Data Protection Law. Corporate Compliance and Regulation. Oxford: Oxford University Press. |
|
|
Kuner, C. (2008). The Point of View on BCRs from a Large International Business Organisation. Proceedings of the first European Congress on Data Protection (pp. 149-189). Madrid: Fundación BBVA. |
|
|
Lesmes Serrano, C. (coord.). (2008). La Ley de Protección de Datos. Análisis y comentario de su jurisprudencia. Valladolid: Lex Nova. |
|
|
López Aguilar, J. A. (2015). Data protection package y Parlamento Europeo. En A. Rallo y R. García (eds). Hacia un nuevo derecho europeo de protección de datos. Towards a new European Data Protection Regime (pp. 29-81). Valencia: Tirant lo Blanch, |
|
|
López Calvo, J. (2017). Comentarios al Reglamento Europeo de Protección de Datos. Madrid: Sepin. |
|
|
López Calvo, J. (coord.). (2018). El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos. Madrid: Wolters Kluwer-Bosch. |
|
|
López Calvo, J. (coord.). (2019). La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD. Madrid: Wolters Kluwer-Bosch. |
|
|
Lucas Murillo de la Cueva, P. (1991). El derecho a la autodeterminación informativa. Madrid: Tecnos. |
|
|
Lucas Murillo de la Cueva, P. (1993). Informática y protección de datos personales. Madrid: Centro de Estudios Políticos y Constitucionales. |
|
|
Lucas Murillo de la Cueva, P. (1999). La construcción del derecho a la autodeterminación informativa. Revista de Estudios Políticos, 104, 35-60. |
|
|
Martín y Pérez de Nanclares, J. (2008). Protección de datos de carácter personal. En A. Mangas Martín y L. Norberto González Alonso (coords.). Carta de los derechos fundamentales de la Unión Europea (pp. 223-243). Madrid: Fundación BBVA. |
|
|
Martínez Martínez, R. (dir.). (2009). Protección de Datos. Comentarios al Reglamento de Desarrollo de la LOPD. Valencia: Tirant lo Blanch. |
|
|
Martínez López-Sáez, M. (2018). Una revisión del derecho fundamental a la protección de datos de carácter personal. Valencia: Tirant lo Blanch. |
|
|
Martínez Vázquez, F. (2019). La tramitación parlamentaria de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales. En A. Rallo (dir.). Tratado de Protección de Datos (pp. 53-77). Valencia: Tirant lo Blanch. |
|
|
Matía Portilla, F. J. (2016). Primacía del Derecho de la Unión y derechos constitucionales. En defensa del Tribunal Constitucional. Revista Española de Derecho Constitucional, 106, 479-522. |
|
|
Pascual Huerta, P. (2017). La génesis del derecho fundamental a la protección de datos Personales [tesis doctoral]. Madrid: Universidad Complutense. Disponible en http://eprints.ucm.es/43050/1/T38862.pdf. |
|
|
Pérez Luño, A. E. (2012). Los derechos humanos en la sociedad tecnológica. Madrid: Universitas. |
|
|
Piñar Mañas, J. L. (dir.). (2016). Reglamento general de protección de datos. Hacia un nuevo modelo europeo de privacidad. Madrid: Editorial Reus. |
|
|
Piñar Mañas, J. L. y Recio Gayo, M. (2018). Derecho a la protección de datos en la jurisprudencia del tribunal de justicia de la Unión Europea. Madrid: La Ley. |
|
|
Proust, O. y Bartoli, E. (2012). Binding Corporate Rules: a global solution for international data transfers. International Data Privacy Law, 2 (1), 35-39. Disponible en https://doi.org/10.1093/idpl/ipr023. |
|
|
Rallo Lombarte, A. (2012). Hacia un nuevo sistema europeo de protección de datos: las claves de la reforma. Revista de Derecho Político, 85, 15-56. |
|
|
Rallo Lombarte, A. (2014a). Estudio sobre la evolución del régimen sancionador en la legislación de protección de datos. Revista de Estudios Políticos, 166, 95-121. |
|
|
Rallo Lombarte, A. (2014b). El derecho al olvido en Internet. Google versus España. Madrid: Centro de Estudios Políticos y Constitucionales. |
|
|
Rallo Lombarte, A. (2017a). De la ‘libertad informática’ a la constitucionalización de nuevos derechos digitales (1978-2018). Revista de Derecho Político, 100, 637-667. |
|
|
Rallo Lombarte, A. (2017b). El Tribunal de Justicia de la Unión Europea como juez garante de la privacidad en Internet. Teoría y Realidad Constitucional, 39, 583-610. |
|
|
Rallo Lombarte, A. (2018a). Nuevas tecnologías, nuevos derechos. En B. Pendás (dir.), E. González y R. Rubio (coords.). España constitucional (1978-2018). Trayectorias y Perspectivas. Tomo III (pp. 2363-2379). Madrid: Centro de Estudios Políticos y Constitucionales. |
|
|
Rallo Lombarte, A. (2018b). The right to be forgotten on the Internet: Google vs Spain, Washington: EPIC. |
|
|
Rallo Lombarte, A. (dir.) (2019a). Tratado de protección de datos. Valencia: Tirant lo Blanch. |
|
|
Rallo Lombarte, A. (2019b). Del derecho a la protección de datos a la garantía de nuevos derechos digitales. En A. Rallo (dir.). Tratado de protección de datos (pp. 23-52). Valencia: Tirant lo Blanch. |
|
|
Rallo Lombarte, A. y García Mahamut, R. (eds.). (2015). Hacia un nuevo derecho europeo de protección de datos. Towards a new European Data Protection Regime. Valencia: Tirant lo Blanch. |
|
|
Rebollo Delgado, L. (2008). Vida privada y protección de datos en la Unión Europea. Madrid: Dykinson. |
|
|
Rebollo Delgado, L.(2018). Protección de datos en Europa. Madrid: Dykinson. |
|
|
Ruiz Miguel, C. (2003). El derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea: análisis crítico. Revista de Derecho Comunitario Europeo, 14, 7-43. |
|
|
Sánchez Bravo, A. (1998). La protección del derecho a la libertad informática en la Unión Europea. Sevilla: Universidad de Sevilla. |
|
|
Schaar, P. (2010). Privacy by Design. Identity in the Information Society, 3 (2), 267-274. |
|
|
Tornos Mas, J. (2008). Potestad sancionadora de la Agencia Española de Protección de Datos y principio de proporcionalidad. En La potestad sancionadora de la Agencia Española de Protección de Datos (pp. 25-50). Pamplona: Aranzadi. |
|
|
Troncoso Reigada, A. (2010a). Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal. Pamplona: Thomson-Reuters. |
|
|
Troncoso Reigada, A. (2010b). La protección de datos personales en busca del equilibrio. Valencia: Tirant lo Blanch. |
|
|
Ugartemendia Eceizabarrena J. I. (2013). La tutela judicial de los derechos fundamentales en el ámbito de aplicación nacional del Derecho de la Unión Europea. Recientes acotaciones del Tribunal de Justicia y del Tribunal Constitucional español. Teoría y Realidad Constitucional, 32, 391-428. |
|
|
Ugartemendía, J. I. y Ripol S. (2017). El Tribunal Constitucional en la encrucijada europea de los derechos fundamentales. San Sebastián: IVAP. |
|
|
Valero Torrijos, J. (2014). Protección de los datos personales en Internet ante la evolución tecnológica. Pamplona: Aranzadi. |
|
|
Villaverde Menéndez, I. (1994). Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo. A propósito de la STC 254/1993. Revista Española de Derecho Constitucional, 41, 187-224. |
|
|
Warren, A. (2009). Privacy Impact Assessments: the UK experience. 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Madrid, 4-6 de noviembre. |
|
|
Wright, D. y De Hert, P. (dirs.). (2012). Privacy Impact Assessment. Dordrecht: Springer. |
|
|
Zabía de la Mata, J. (dir.). (2008). Protección de Datos. Comentarios al Reglamento. Valladolid: Lex Nova. |