 |
| Congreso de los Diputados |
El 14 de noviembre de
2017 se presentó en el Congreso de los
Diputados el Proyecto de Ley
Orgánica de Protección de Datos de Carácter Personal (121/000013). La Mesa de la Cámara se reunió el día 21
del mismo ordenando publicar el proyecto en el Boletín Oficial de las Cortes Generales y estableciendo un plazo de
enmiendas, según el art. 97 del Reglamento de la Cámara. La publicación del
Proyecto fue tres días más tarde.
La Comisión de Justicia es la competente para debatir y corregir los
errores que pueda tener el proyecto. Desde el 14 de diciembre de 2017 hasta el
20 de marzo de 2018 se están llevando a cabo ampliación de enmiendas y
comparecencias.
El jueves 15 de febrero
de 2018 se celebró una Sesión plenaria donde debatieron la totalidad del
proyecto dado que el partido PDeCAT
había presentado una enmienda a la totalidad al proyecto, esto es, rechazo de
todo el proyecto y su devolución al gobierno para presentarse otro proyecto.
En dicha sesión
intervinieron:
- Grupo Parlamentario Mixto:
Ciuró i Buldó
- Grupo Parlamentario
Vasco (EAJ-PNV): Legarda Uriarte
- Grupo Parlamentario de
Esquerra Republicana tiene la palabra la señora Capella i Farré
- Grupo Parlamentario
Ciudadanos: Gómez Balsera
- Grupo Parlamentario
Confederal de Unidos Podemos-En Comú Podem-En Marea: Sixto Iglesias
- Grupo Parlamentario
Socialista: Rallo Lombarte
- Grupo Parlamentario
Popular: Martínez Vázquez
Enmiendas sobre el Proyecto
Intervino en primer lugar
Ciuró i Buldó del Grupo Parlamentario
Mixto, quien criticó el hecho de que en el Proyecto no establezca que cada
Comunidad Autónoma tenga la competencia exclusiva en materia de Protección de
Datos.
En este sentido, el
Proyecto establece en el artículo 57 que las autoridades autonómicas de
protección de datos podrán ejercer sus funciones en:
a) Tratamientos de los
que sean responsables las entidades integrantes del sector público de la correspondiente
Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito
territorial o quienes presten servicios a través de cualquier forma de gestión
directa o indirecta.
b) Tratamientos llevados
a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas
en materias que sean competencia de la correspondiente Administración
Autonómica o Local.
c) Tratamientos que se
encuentren expresamente previstos, en su caso, en los respectivos Estatutos de
Autonomía.
El RGPD permite que cada
estado miembro establezca una o varias autoridades de control para proteger los
derechos y libertades fundamentales de las personas (art. 51). Sin embargo,
cada estado miembro debe designar una Autoridad de control que le represente en
el Comité europeo. Por tanto, es lógico que se establezca una Autoridad de
control central (la actual Agencia Española de Protección de Datos), que
represente a España en el Comité europeo, y distintas Autoridades de control
autonómicas. Actualmente España representa al conjunto de CCAA tanto en la UE
como a nivel internacional, lo que entra en conflicto con lo que el Grupo
Parlamentario Mixto desea: que la Autoridad de control de una comunidad
autónoma pueda desempeñar un papel autónomo e independiente en su zona
geográfica y actuar como tal en los organismos internacionales.
En segundo lugar, Legarda
Uriarte del Grupo Parlamentario Vasco
(EAJ-PNV) apoya la tesis del Grupo Mixto en la necesidad de dotar a las
Autoridades de control de cada CCAA de todas las competencias que actualmente
tiene la AEPD y la posibilidad de poder intervenir a nivel internacional.
Por su parte, Capella i
Farré, del Grupo Parlamentario de
Esquerra Republicana, también critica “el
orden de distribución de competencias”, ya que el gobierno intenta adaptar
el RGPD sin tener en cuenta el “artículo
156 del Estatut de Autonomía de Catalunya atribuye a la Generalitat de
Catalunya la competencia ejecutiva en materia de protección de datos de
carácter personal, que respetando las garantías de los derechos fundamentales
en esta materia incluye, en todo caso, un ámbito de actuación exclusivo en
relación con la totalidad de las administraciones catalanas”. El problema
reside en que la UE considera a Cataluña como una parte integrante del Estado
español y no como un estado independiente, lo que el artículo 156 del Estatut de Autonomía
de Catalunya entra en conflicto con el RGPD
al no reconocer a la Autoritat Catalana
de Protecció de Dades como Autoridad principal en lugar de la AEPD.
Hay que tener en cuenta
que la norma principal en materia de protección de datos es el RGPD y las demás
normas estatales y autonómicas deben ser modificadas para su adecuación. Si un
Estatuto de Autonomía o norma autonómica contradice el RGPD, debe ser
modificada y limitarse a su ámbito geográfico.
Gómez Balsera del Grupo Parlamentario Ciudadanos critica
la enmienda a la totalidad por tratarse de una negativa que afecta solo a las
Autoridades de control autonómicas. Señala que en el proyecto de ley existe un
capítulo dedicado a las autoridades de control autonómicas en el que respeta “las competencias territoriales y por razón
de materia”. También recuerda que el artículo
51 del RGPD establece la
designación de una autoridad principal ante el Comité Europeo cuando existan
varias. En el caso de España debe ser la Agencia Española de Protección de
Datos al ser la “responsable de la
aplicación coherente del reglamento en todo el territorio nacional y la
competente en tratamientos transfronterizos”.
A su vez, Señor Sixto del
Grupo Parlamentario Confederal de Unidos
Podemos-En Comú Podem-En Marea, no ve justificada la enmienda a la
totalidad ya que ni siquiera produce un choque contra el artículo 156 del
Estatut de Autonomía de Catalunya. Sigue la misma línea que el Grupo
Parlamentario Ciudadanos en cuanto a la AEPD como Autoridad de Control central aunque
sí considera importante tratar de que “la
representación internacional se haga acorde con el respeto a las competencias
que tienen atribuidas dos comunidades autónomas”.
Rallo Lombarte, del Grupo Parlamentario Socialista, ha
aludido a la falta de mayor protección a los menores. El artículo 7.1 del
Proyecto de LOPD establece que puede tratarse datos personales de un menor de
edad cuando este lo consienta teniendo trece años. En cambio el RGPD sube la
edad hasta los 16 años (art. 8.1 RGPD), aunque deja la posibilidad de
que los Estados miembros puedan establecer la edad a los 13. Esta bajada de
edad para que un menor pueda consentir la recopilación, almacenamiento y
tratamiento de sus datos personales posiblemente produzca cierta indefensión.
Cuando Rallo Lombarte habla de otorgar mayor protección a los menores quizás se
refiera a que un niño de 13 años no tiene la misma madurez mental y, de
comprensión y decisión, que otro de 16 años por lo que es necesaria la
autorización de padres o tutores legales para el consentimiento.
También hace mención a la
imposibilidad de facilitar la investigación científica y médica. En este
sentido, el artículo 9.2.h) e i) RGPD permite el tratamiento de datos
personales relativos a la salud para fines de medicina preventiva o laboral,
protección frente a amenazas transfronterizas graves para la salud, etc. Por
parte del Proyecto de LOPD, el artículo 9 también ampara el tratamiento
de datos personales relativos a la salud además de dejar abierta la puerta para
normas específicas que establezcan requisitos adicionales relativos a su
seguridad y confidencialidad.
Finalmente Martínez
Vázquez del Grupo Parlamentario Popular
en el Congreso, defendió el Proyecto de LOPD presentado por el Gobierno.
Terminadas las
comparecencias, se procedió a la votación de la enmienda a la totalidad de
devolución al Proyecto de Ley Orgánica de Protección de Datos de Carácter
Personal con el resultado de:
Sí: 16
No: 318
Abstenciones: 7
Situación hasta el 20 de marzo de 2018
Los 318 votos en contra
de que el Proyecto de LOPD se devuelva permiten abrir una nueva etapa de Enmiendas al articulado. Hasta el día 20
han comparecido autoridades, funcionarios y representantes de los distintos
agentes sociales para informar en relación con el Proyecto. La última Sesión se
celebró el 15 de marzo con la comparecencia de:
- Ricard Martínez Martínez. Ex Presidente de la Asociación
Profesional Española de la Privacidad (APEP)
- Javier Plaza Penadés. Catedrático de Derecho Civil de la
Universitat de València
- María Àngels Barbarà Fondevila. Directora de la Autoridad Catalana
de Protección de Datos
- Cecilia Álvarez Rigaudias. Presidenta de la Asociación Profesional
Española de Privacidad (APEP)
- Agustín Puente Escobar. Jefe de Gabinete Jurídico de la Agencia Española
de Protección de Datos