Al final de Un Puente Lejano, Dirk Bogarde intenta consolar al general Urquhart (interpretado por Sean Connery), desolado por haber perdido a sus tropas en Arnhem. Frente al "hizo usted todo lo que pudo" de Bogarde, Connery replica "Sí, pero ¿pueden todos los demás decir lo mismo?". Ésa escena sirve para entender qué tenía en mente el Gobierno cuando el viernes pasado aprobó el Real Decreto-Ley 5/2018. Una norma que realmente nunca debería haber existido si, como el personaje de Connery se lamentaba, el plan previsto se hubiera cumplido.
El plan previsto era completar el Reglamento General de Protección de Datos, aprobado por la Unión Europea en abril de 2016, con una Ley Orgánica española antes de que el Reglamento entrara en vigor el 25 de mayo de 2018. Decidir cómo se recogen, usan y ceden nuestros datos personales es algo que en España forma parte de un derecho fundamental, la privacidad, tutelado en el artículo 18.4 de la Constitución y cuya regulación esencial requiere que nuestro Parlamento apruebe una Ley Orgánica por mayoría absoluta, tras un proceso de análisis y debate. Pero los dos años disponibles no bastaron. El proyecto de Ley Orgánica sigue en el Parlamento, pendiente de que se examinen las innumerables enmiendas presentadas y aún podría requerir muchos meses disponer de un texto definitivo.
Países como Reino Unido o Polonia lograron aprobar sus respectivas leyes de complemento del reglamento cuando el plazo estaba casi cumplido. Cabe recordar que cuando el reglamento nació, España estaba a punto de repetir elecciones generales, que la elección del nuevo Gobierno se demoró hasta finales de 2016 y que en dos años el Parlamento ha debido afrontar la crisis catalana, dos gobiernos de signo diferente, una moción de censura, unos Presupuestos Generales reñidísimos y el cambio de liderazgo de los dos partidos con más representación parlamentaria.
El reglamento establece unas normas idénticas para todos los territorios de la UE y algunas opciones que se pueden "personalizar" como la edad a partir de la cual los menores pueden consentir el tratamiento de sus datos, la gestión de antecedentes penales para evitar el fraude, el control de empleados mediante circuitos cerrados de televisión, los esquemas de quejas corporativos, definir los casos específicos en los que es necesario nombrar un delegado de protección de datos o perfilar algunas cuestiones de privacidad en el ámbito laboral. Aprovechar alguna de esas opciones o no es una opción legítima de cada Parlamento. El problema es cuando no se puede garantizar cuál de los caminos será el finalmente elegido. La falta de una nueva Ley Orgánica de Protección de Datos está haciendo daño desde el punto de vista empresarial y, al mismo tiempo, ciudadano, en algo tan importante como son las reglas del juego que se aplican a algo tan preciado como la información personal.
No acaban ahí los inconvenientes de la situación actual. La propia actuación inspectora de la Agencia Española de Protección de Datos se ve comprometida si no tiene un respaldo legal claro en sus actuaciones y si elementos básicos del procedimiento sancionador, como son los plazos de prescripción de infracciones y sanciones, no están claramente fijados. Los responsables y encargados de tratamiento que trabajan con bases de datos personales se enfrentan a la necesidad de tener que negociar de la noche a la mañana las actualizaciones conforme al reglamento de sus acuerdos de encargo, una tarea inabarcable cuando, como sucede en muchas empresas medianas y grandes, hablamos de decenas, cientos o incluso miles de contratos. La respuesta del Gobierno, en forma de Real Decreto-Ley, tiene un componente jurídico y otro político. El jurídico consiste en regular en un escenario de extraordinaria y urgente necesidad, como exige el artículo 86 de la Constitución, las cuestiones que veíamos en el párrafo anterior, que por no afectar de forma directa e inmediata al derecho constitucional a la privacidad, pueden ser abordadas en una ley ordinaria (y el Decreto-Ley, al margen de su aprobación inmediata y de precisar convalidación posterior por parte del Parlamento, lo es). No son muchas, ni siquiera las más importantes, pero son las únicas que puede resolver por sí mismo conforme al artículo 86 de la Constitución, que prohíbe usar el Decreto-Ley para materia de derechos fundamentales. El componente político es claro. El Gobierno le está diciendo al Parlamento que aprobar la nueva Ley Orgánica de Protección de Datos no es una cuestión intrascendente y que es necesario que cada poder público haga todo lo posible sin demora.
