El pasado 7 de diciembre entró en vigor la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales. Con ella, se derogaba la norma puente, integrada por el Real Decreto-Ley 5/2018 de 27 de junio que implementaba provisionalmente la norma europea: Reglamento (UE) 2016/ 679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, (RGPD). Este instrumento, ligado a la Carta de los derechos fundamentales de la Unión, incluye el derecho de toda persona a la protección de los datos de carácter personal que le conciernan. Pero, a pesar de la importancia horizontal de la norma europea –hasta el punto de llegar a considerarse que puede llegar a romper la unidad de Internet- la protección que ofrece se equilibra, con bastante dificultad, con la función económica empresarial, que presenta el tratamiento de los datos. Ciertamente, el RGPD incrementa la obligación de proporcionar a los ciudadanos – a los interesados-, una mayor información en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten. Singularmente, se regula la obligación de informar a éstos cuanto se pretenda recabar, usar o almacenar datos personales. Entre otros extremos, la exigencia de información en orden a los ficheros, destinatarios y al ejercicio de derechos se incrementa debiendo facilitarse adicionalmente los datos de contacto del delegado de protección de datos, figura de nuevo cuño. Siendo una norma de aplicación general y directa no precisa trasposición, pero si una implementación al ordenamiento jurídico nacional para permitir su correcta aplicación. Esta acción legislativa es imprescindible para el RGPD. Como consecuencia de su difícil negociación, la norma presenta 56 remisiones a la ley nacional asi como importantes omisiones, debido a que solo puede comprender en su ámbito aquellas materias sobre las que la Unión europea presenta competencias, en base a los Tratados. Por ello, deja al Derecho nacional temas de la importancia de la prescripción. Por ello, el RGPD, pese a su alcance, no es el lugar en el que los ciudadanos europeos pueden encontrar mecanismos que garanticen derechos digitales en toda su extensión, ni tan siquiera una articulación de éstos. Recordemos que, junto a los datos personales que individualizan a una persona física, se encuentran otros datos, estructurados o no, como los biométricos, de enorme importancia para el ciudadano. Tampoco debe olvidarse el papel de las Administraciones Públicas, cada vez más digitalizadas –una Administración sin papel- susceptible de crear por edad, zonificación, cultura o medios, bolsas de personas excluidas del sistema.
En este contexto, la Ley Orgánica 3/2018, se dirige a incrementar los derechos de los ciudadanos españoles ante Internet. Para ello, incluye un título X bajo la rúbrica garantía de los derechos digitales, compuesta de normas de rango orgánico, de carácter generalmente programático. Asi el artículo 79 -los derechos en la Era digital- establece, más allá de la mera referencia a nuestra Constitución, una referencia a la interpretación de los instrumentos convencionales internacionales de los que España sea parte. Sus derechos y libertades, dice, son plenamente aplicables en Internet. Tan indudable es que eso es así –en su contexto- como que no corresponde a una ley nacional, incluso orgánica, por razón de competencia normativa, esta aclaración de consumo exclusivamente interno.
Por lo demás, el elenco de derechos que contempla la norma es variado. Son tanto horizontales: -neutralidad, acceso universal (no discriminación), protección de menores, derecho de rectificación o intimidad-, como sectoriales: seguridad (sin perjuicio de la normativa específica de ciberseguridad: RDL 12/2018, que traspone la directiva SIS 2018/1148/UE); Derecho laboral, sanitario o de comunicaciones. Especial interés presentan las normas referentes al derecho al olvido, extendidas a personas fallecidas y por tanto con regulación del denominado, impropiamente, testamento digital, ya conocido en la legislación catalana. La regulación que hace al efecto de los prestadores de servicios, carece, no obstante, de concreción, al no aludirse a su ámbito de aplicación. Éste debería ser una referencia a su actuación directa o por estar dirigido al mercado español (Vid. en el ámbito de geobloking, el Reglamento (UE) nº 2018/302, que puede permitir inspiración en sus criterios). Extender a otros operadores, incluso de la Unión europea, estas obligaciones por el legislador nacional, es una pretensión que carece de base jurídica en materia no directamente apoyada en el RGPD. Este tema pone una vez mas de manifiesto la insuficiencia de instrumentos globales para los servicios en Internet. Por otra parte, en una primera aproximación, pudiera entenderse el articulo 96 – testamento digital- una norma concurrente con la legislación catalana: ley 10/2017, de voluntades digitales. Requerirá un estudio más reposado la eventual concurrencia de bases jurídicas civiles, estatales y autonómicas, al establecer la disposición final segunda que el precepto se dicta al amparo del artículo 149.1.8 de la Constitución. Por tanto, en base a las competencias civiles del Estado que deberán respetar a su vez las de las Comunidades autónomas con capacidad legislativa. Pero ¿en base a qué criterio, siendo la referencia la vecindad civil?