Qui protegeix els protectors de dades?
25/11/16
Fa poc vam participaré en la conferència semestral de la FBE a Luxemburg, dedicada a debatre els drets de defensa davant dels tribunals de la UE. Mentre que Denis Waelbroeck criticava les regles que limiten l’extensió màxima dels escrits processals i l’Stefan discutia el Dret Penal de la UE, va haver-hi molt moc de debat prospectiu, per exemple sobre el tema més candent que hi ha damunt de la taula ara mateix: la Protecció de Dades.
Parlament i Consell van adoptar el Reglament general de protecció de dades (“RGPD”) a la primavera d’enguany. Tothom sembla concentrar-se en els nous requisits de fons i en les fortes multes que amenacen qui no els compleixi. Els Estats membres, però, encara estan negociant les regles procedimentals… i a Espanya ens recordem de la notòria frase del Comte de Romanones després de les eleccions de 1932: “Dejad que ellos hagan las leyes, que yo haré los reglamentos.” El del Congrés, per cert, fins al dia d’avui sembla concebut per impedir que els diputats hi parlin.
Els articles 68 i ss. Del RGPD creen una nova autoritat, el Comitè Europeu de Protecció de Dades, compost per la cap d’una de les autoritats supervisores de cada Estat membre i pel Supervisor Europeu de Protecció de Dades. El Comitè adoptarà decisions vinculants per a les autoritats nacionals que no aconsegueixin cap acord sobre com aplicar el RGPD a una disputa transfronterera donada. Aleshores, aquestes autoritats adoptaran decisions pròpies concordants, un cop havent remès un esborrany al Comitè.
Des d’una perspectiva de drets de defensa, la qüestió clau és si el Comitè ha de donar o no ha de donar audiència a les parts interessades en el procediment nacional, és a dir, si n’hi ha prou amb que aquestes parts puguin presentar al·legacions davant de l’autoritat nacional. La tasca preparatòria dels Estats membres sembla indicar que ells pensen que sí n’hi ha prou.
Nosaltres pensem que resultaria qüestionable retallar el dret d’audiència de les parts interessades (és a dir, d’individus i d’empreses sotmeses al RGPD) davant del Comitè. Efectivament, l’exemple més obvi de la solució inversa ens semblaria ser el plantejament de qüestions prejudicials al TJUE. Si aquest instrument esdevingué el principal motor de la integració europea fou en bon tros perquè el TJUE, malgrat no decidir el litigi principal nacional, sí donava i dóna audiència a les parts d’aquest litigi, coneixent així les qüestions de fons que s’hi plantegen.
De manera semblant, el Comitè està cridat a esdevenir el motor principal d’harmonització del procediment administratiu d’aplicació del RGPD. Per tant, hom diria que tot advoca per facilitar al Comiè la informació més completa possible sobre les qüestions darrere d’una determinada disputa transfronterera.
Tant de bo que els Estats membres acabin coincidint amb aquest punt de vista.
