La modificación de la Ley 39/2015 por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Cuando se publicó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, se suscitaron dudas sobre la adecuación de lo previsto en el art. 28.2 y 3 de la Ley 39/2015 a la nueva norma, en lo referido a la presunción legal de autorización de consulta de datos personales por parte de las personas interesadas.

En su redacción original, el art. 28.2 de la Ley 39/2015 establecía la inexistencia de obligación a cargo de las personas interesadas de aportar documentos al procedimiento administrativo elaborados por cualquier Administración, tanto si su aportación era obligatoria o facultativa,

siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.

Asimismo, el art. 28.3 excluía que las Administraciones públicas requiriesen a las personas interesadas la aportación de datos o documentos no exigidos por la normativa o que hayan sido aportados anteriormente por la persona interesada a cualquier Administración, los cuales habían de ser recabados electrónicamente por las Administraciones Públicas previa ubicación por parte de las personas interesadas, presumiéndose que

esta consulta es autorizada por los interesados, salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.

Como es sabido, el Reglamento (UE) 2016/679 establece que el tratamiento¹ de datos personales solo es lícito si cumple al menos una de las siguientes condiciones (art. 6.1):

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; y

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (no aplicable al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones).

Cuando el tratamiento de los datos personales se basa en el consentimiento, el Reglamento (UE) 2016/679 exige que éste sea expreso. Como indica en el núm. 32 de su exposición de motivos,

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. (…) Por tanto, el silencio (...) o la inacción no deben constituir consentimiento (…).

Por ello se define el consentimiento de la persona interesada (art. 4.11) como

toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Además, se exige en el art. 7.1 que

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Todas estas exigencias se han trasladado a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuya disposición final duodécima da una nueva redacción a los apartados 2 y 3 del art. 28 de la Ley 39/2015.

Con la nueva redacción de los preceptos mencionados, el legislador concilia la Ley 39/2015 con las exigencias del Reglamento (UE) 2016/679 en tanto que desaparece la presunción de que la persona interesada presta su consentimiento salvo que conste su oposición expresa a la obtención de documentos por parte de la Administración. Este cambio normativo supone probablemente -nada de ello se nos dice en la exposición de motivos de la Ley que nos los pueda aclarar- que se ha desplazado el fundamento del tratamiento del consentimiento de la persona interesada (art. 6.1, a) del Reglamento (UE) 2016/679) al cumplimiento de una obligación legal aplicable al responsable del tratamiento a que alude el art. 6.1, c) del Reglamento (UE) 2016/679. Y, de paso, el legislador aclara la confusa y contradictoria redacción original del art. 28.2 de la Ley 39/2015, que establecía en primer lugar que para que las personas interesadas no estuviesen obligadas a presentar los documentos a los que se alude,

siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos

para decir a renglón seguido que se presumirá que la consulta es autorizada salvo que conste la oposición expresa de la persona interesada.

La nueva redacción del art. 28.2 es mucho más clara:

Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello.

Se introduce como novedad que no cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección. Y, en consonancia con la exigencia del Reglamento (UE) 2016/679 de que el consentimiento siempre ha de ser expreso, desaparece la excepción anteriormente existente en los apartados 2 y 3 del art. 28 que remitía al consentimiento expreso exigido por una ley especial aplicable.

__________

1 Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.