¿Quién protege a los protectores de datos?

25/11/16

Hace poco asistimos a la conferencia semestral de la FBE en Luxemburgo, dedicada a debatir de los derechos de la defensa ante los tribunales de la UE. Mientras Denis Waelbroeck criticaba que se limite la extensión máxima de los escritos y Stefan disertó sobre el Derecho Penal de la UE no se miró mucho hacia adelante, por ejemplo, discutiendo el tema más candente encima de la mesa: la protección de datos.

Parlamento y Consejo adoptaron el Reglamento General de Protección de Datos (“RGPD”) en la pasada primavera. Todo el mundo se está fijando en nuevos requisitos materiales y en las multazas en caso de incumplirlos. Pero los Estados Miembros siguen elucubrando la normativa procedimental… y en España recordamos la preocupante frase del Conde de Romanones tras las elecciones de 1932: “dejad que ellos hagan las leyes, que yo haré los reglamentos.” El del Congreso, por cierto, hasta el día de hoy parece concebido para impedir que los diputados hablen.

Los artículos 68 y ss. del RGPD establece una nueva autoridad, el Comité Europeo de Protección de Datos, compuesta por la jefa de alguna autoridad de supervisión nacional de cada Estado miembro y por el Supervisor Europeo de Protección de Datos. Este Comité dirigirá decisiones vinculantes a las autoridades nacionales que, en un caso transfronterizo concreto, no logren ponerse de acuerdo sobre cómo interpretar el RGPD. Acto seguido, dichas autoridades nacionales adoptarán decisiones basadas en la interpretación del Comité, previo envío a éste de un borrador de decisión.

La pregunta, desde la óptica de los derechos de la defensa, es si resulta imperativo permitir que las partes del procedimiento ante la autoridad nacional puedan formular alegaciones ante el Comité o si basta permitirles que las formulen ante la autoridad nacional. Los trabajos preparatorios de los Estados miembros parecen indicar que ellos tienden a pensar que sí basta.

Nosotros pensamos que limitar el derecho de las partes interesadas (léase, individuos y empresas sujetas al RGPD) a presentar alegaciones ante el Comité resultaría cuestionable. Efectivamente, el mejor ejemplo contrario sería el planteamiento de cuestiones prejudiciales al TJUE. Si esta institución se convirtió en el principal motor de la integración europea fue en Buena parte porque el TJUE, aun sin decidir el litigio nacional, dio y da audiencia a las partes de dicho litigio, conociendo así al detalle las cuestiones de fondo que éste plantea.

De forma similar, el Comité ha de ser el principal motor de la práctica administrativa en aplicación del RGPD. Por eso, todo parece abogar en favor de ofrecer al Comité la información más completa posible sobre las cuestiones que plantea una determinada disputa transfronteriza.

Ojalá los Estados miembros acaben compartiendo este punto de vista.