Hemos hablado en los artículos precedente de la LOPDGDD, su obligatoriedad, su periodicidad y su nueva función, también hemos hablado de las sanciones y su nuevo rango; nada que ver el proceso sancionatorio con los “atracos” sufridos hasta ahora y justificados muchos de ellos por la Audiencia Nacional; también visionamos la videovigilancia y su “todo el campo es orégano” y acabamos señalando la desaparición en la Ley de la regulación de los datos de salud, de opinión y biométricos.
Pero no podríamos marcharnos sin hablar de las “fuentes de acceso publico”, herramienta básica para el trabajo periodístico.
Hemos cedido nuestra soberanía a la Union Europea en el tema de protección de datos de carácter personal. Y eso ha sido en dos fases; la primera, a través de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y, posteriormente la segunda, a través del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Para hacer un símil, en la primera fase, la de la Directiva, lo que hace la UE es construir unos cimientos, y sobre ellos, los estados pueden construir lo que crean oportuno: El Reglamento Europeo correspondería, a una segunda fase, a la construcción, sobre esos cimientos comunes, de la caja del edificio. Todos los estados tienen los mismos cimientos, forma y volumen edificado; eso es cierto, pero a partir de ahí, cada estado debe ocuparse de hacer las distribuciones internas, decidir el techado, poner las ventanas ajustadas para su clima, etc. Así, solo se tiene capacidad de adaptar con una norma interna ese mínimo común denominador obligatorio que es el Reglamento europeo, y en la medida que el Reglamento lo permite.
Nos encontraremos con estados muy concienciados que pondrán cristal doble en las ventanas, el tejado a prueba de tifones y calefacción central, y otros que creen que, para sus intereses, o mejor dicho, los de sus dirigentes, les basta con un tejado de uralita y unos plásticos para cuando llueve.
Lo anteriormente explicado se ve de manera palmaria con las llamadas “fuentes de acceso público”. En la extinta LOPD, quedaban señaladas indubitativamente. Eran el censo promocional, lo publicado en gacetas oficiales y lo publicado por los medios de comunicación.
Otros países han continuado con esa definición que nace de la derogada directiva y que la UE permite a los estados mantener. El Estado Español, decidió olvidarse de ese concepto que ya ni figura en el Reglamento ni en la LPODGDD y que otros estados, como por ejemplo el francés sí han mantenido.
Así, cualquier dato que se publique en las redes sociales, boletines, medios o, en los tablones de anuncios del Mercadona o por la calle (María López, da clases de repaso: tel…. o Hemos perdido perrita de nombre Cuqui, tel…. Lola Páramo), es susceptible de ser aprehendido y tratado, porque se entiende que es público. Esto nos lleva a la paradoja que, pongamos el ejemplo, de que un tercero ha colgado sin mi autorización un dato personal familiar mío, digamos una fotografía de mi entorno familiar, fotografía que yo nunca colgaría, en ningún caso. Pues bien, posiblemente por publicar ese dato personal, la persona que lo ha hecho habría de responder delante de la Justicia. Pero, hete aquí, que un periodista, o un detective, o el director del banco de la esquina, podría recaudar ese dato y tratarlo SIN MI PERMISO, ya que es un dato que ha devenido público. La suspensión de ese tratamiento vendría a partir de la acreditación de la primera ilicitud.
Han creado las condiciones necesarias para que se provoque la tormenta perfecta de la “fake news”. ¡Y eso que el gobierno dice luchar contra ellas!
Recordemos el carajal que se montó con el tema de recaudación de esos datos por parte de los partidos políticos, como públicos que son, y que la AGPD, visto el escándalo montado, ha emitido un bienintencionado dictamen y una posterior bienintencionada circular, para evitar que la quemasen en hoguera pública. Y puede ser cierto que directamente no los utilicen, pero a la Ley, le han encontrado la Trampa. El propio Reglamento es quien amplía esa excepción de consentimiento a las fundaciones (de los partidos), centros filosóficos, entidades sin ánimo de lucro, etc.
Recordemos la excepción a la autorización de tratamiento del art. 9 del RGPD. Si..
- d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas
que mantengan contactos regulares ( concepto más que indeterminado) con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados; Y aquí cabria añadir “y que no sean públicos”.
Actualmente pues, todo dato publicado es, en principio público. Aunque su publicación sea ilícita. Y como dato público puede ser aprovechado por los periodistas, políticos, abogados bancarios y otra gente de mal vivir.
Y finalmente me queda una duda;
¿En caso de que te pillen, de quién es la potestad sancionadora?, y realmente, ¿es una potestad, o una delegación de competencias?. Si nos leemos el RGPD llegaremos a la conclusión que es solo una delegación de competencias, con obligación de ponerse en línea la Administración con unos estándares determinados que quedan más allá de la discrecionalidad de la AEPD o de la Magistratura Española. Así, el antecedente 13 el RGPD nos dice:
(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos… con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros.
Y es que, recordemos, estamos delante de una cesión completa de soberanía. Ello es así y queda acreditado por la Sentencia del TJUE Van Gend & Loos de 5 de febrero de 1963. España ya NO ES SOBERANA en materia de Protección de Datos. Es el Reglamento, que le otorga unas competencias a España a partir de esa soberanía cedida.
El RGPD plantea así el marco sancionatorio ya desde el 25 de mayo de 2016, (fecha de entrada en vigor del reglamento), obligando a que las sanciones sean equivalentes independientemente del lugar donde ocurra la contravención, y con especial ponderación a las pequeñas y medianas empresas.
Cualquier sanción fuera de ese marco desde el 25 de mayo de 2016 plantearía la Responsabilidad del Estado por la no aplicación prevalente del Derecho de la Unión. Y junto con la del estado, la de los funcionarios intervinentes, sean jueces o no.
Y ya me callo, porque sé lo pesado que llego a ser.
