La nueva normativa sobre procedimiento administrativo nos lleva hacia una administración sin papeles. Esencialmente, tal objetivo se basa en el establecimiento de herramientas técnicas y jurídicas capaces de interrelacionar a las administraciones para facilitar la vida a los ciudadanos. Sin embargo, esto obliga a resolver la aparente contradicción que supone la garantía de los datos del ciudadano y la dinámica positiva de entender que las administraciones pueden intercambiar esos datos para dejar de pedirlos una y otra vez al ciudadano.
Recientemente escribía en este mismo blog de Legaltoday un artículo titulado "El principio de una sola vez, o cómo dejar de marear al ciudadano". Posteriormente, el Ministerio de Justicia presentó un informe al Consejo de Ministros el pasado 24 de junio sobre el anteproyecto de Ley orgánica de protección de datos de carácter personal. El anteproyecto pretende adaptar la normativa española en la materia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
El Reglamento de Protección de Datos
El anteproyecto se encuentra en estos momentos en trámite de audiencia en información pública en la web del Ministerio de Justicia, a la espera de conocer las opiniones de los ciudadanos al respecto. Tras conocerse públicamente, he recibido algunos comentarios que consideran que esta nueva normativa europea pone en peligro el principio de una sola vez que consagra la ley la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas. También algunos especialistas han abordado esta cuestión, como es el caso de Concepción Campos Acuña, que en su artículo "Ya tenemos Anteproyecto LOPD. 5 Aspectos claves para empezar", considera que uno de los aspectos clave es precisamente la presunción de consentimiento.
Empecemos por aclarar que se trata de un reglamento europeo, y no de una directiva. Eso supone que, a diferencia de lo que ocurre con las directivas, el reglamento es directamente aplicable en los estados miembros, sin necesidad de ningún trámite previo de adaptación de la normativa interna. El Reglamento entró en vigor el 25 de mayo de 2016, y prevé su aplicación y vigencia plena el próximo 25 de mayo de 2018. Por tanto, aunque no haya norma específica española, entrará en vigor en nuestro país la fecha señalada.
Consentimiento explícito
Aquí es donde entra en juego el anteproyecto mencionado, porque el carácter aplicable del reglamento no impide que los estados europeos tengan la capacidad de aprobar sus propias normativas para adecuarlo en la medida de lo posible a los usos, peculiaridades y mejor comprensión de los ciudadanos de cada país. De ahí que en el caso español se haya optado por una ley orgánica de protección de datos que sustituya a la todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
En la materia que nos ocupa, el reglamento de la UE señala que "el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal." Y añade más adelante que "el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento."
En el marco de lo que se conoce como "legitimación para el tratamiento", el anteproyecto español de ley orgánica alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como "consentimiento tácito". Y para clarificar al máximo, en su artículo 7 especifica que "se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que éste acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen."
Choque de leyes
En principio, este planteamiento entra en contradicción con el apartado 2 del artículo 28 de la Ley 39/2015, cuando que señala que "los interesados no estarán obligados a aportar documentos que hayan sido elaborados por cualquier Administración… siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos". Pero añade que "se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso."
Aquí es donde nos encontramos en aparente contradicción entre la ley española de procedimiento administrativo y el reglamento europeo. Si el reglamento y el anteproyecto que lo traslada a la normativa española rechazan el consentimiento tácito y exigen una manifestación expresa de consentimiento, se invalidaría la presunción de consentimiento que establece el artículo 28.2 de la ley 39/2015.
Lo grave es que este precepto es el que hace verdaderamente racional el principio de una sola vez. De no ser así, sustituiríamos la liberación de la entrega de documentos por la obligación de entregar una autorización previa a las consultarlos a través de la plataforma de intermediación. Es decir, restaríamos una buena carga de su operatividad a la administración electrónica.
Los españoles, subidos al carro de la liberación de papeleos
Tras esta situación se esconde lo que viene siendo una complicada búsqueda de consenso entre los países de la UE. En este caso, por paradójico que parezca, en España está arraigado el principio de una sola vez. Hay una aceptación y una demanda sobre la necesidad de liberarnos en la medida de lo posible de la entrega de documentos que ya obran en poder de las administraciones públicas. En otros países, sobre todo nórdicos, en cambio prima más la protección de los datos de carácter personal, aunque ello suponga que el ciudadano tenga que autorizar en cada caso el intercambio y consulta de datos entre las administraciones.
En casos como éste, podemos entender un mayor avance en España en la conciencia social en materia de liberación de cargas administrativas. Probablemente, en parte debido a la frustración que ha supuesto derogar la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, sin poder hacer realidad su artículo 35.f, que otorgaba a los ciudadanos el derecho de "no presentar documentos no exigidos por las normas aplicables al procedimiento de que se trate, o que ya se encuentren en poder de la administración actuante".
Decidir sobre los datos personales
Naturalmente, eso no significa que se valore social y administrativamente la protección de datos. Más bien al contrario, como dan prueba de ello evidencias tan claras como la todavía ley de protección de datos y sentencias como la STC 292/2000, de 30 de noviembre, del Tribunal Constitución, cuando garantiza que "el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular…." Pero se trata de buscar un equilibrio entre la protección de datos personales y las ventajas que supone al ciudadano un desarrollo pleno de la administración electrónica.
Tener que dar marcha atrás ahora al consentimiento tácito de la Ley 39/2015 sería un retroceso de consecuencias difícilmente evaluables en estos momentos. Por eso, lo adecuado sería que el legislador encontrara un punto de enlace y convivencia entre la protección de datos y un consentimiento operativo que evite la reiteración de trámites de consentimiento para las administraciones públicas. Es decir, hacer compatible la protección de datos con esa promesa de vida más fácil que encierra la administración sin papeles.