Principio de proporcionalidad en la LO 3/2018 (LOPDGDD) y en el Reglamento general de protección de datos (RGPD)

Debemos partir de la premisa de que los datos personales deben ser adecuados, pertinentes y limitados a los fines para los que son tratados.

Pues bien, aunque la LOPDGDD no defina de forma explícita el principio de proporcionalidad se refiere al mismo en los siguientes supuestos:

• Medidas provisionales necesarias.
• Uso de dispositivos de videovigilancia y grabación de sonidos en el lugar de trabajo.

El apartado primero del artículo 69 de la LOPDGDD establece que durante las actuaciones previas de investigación o iniciado un procedimiento sancionador: 

«(...) La Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado».

Así, la AEPD acordará las medidas provisionales necesarias y adecuadas para proteger del derecho fundamental a la protección de datos, en concreto, las siguientes:

• Medidas provisionales del apartado primero del artículo 66 del RGPD.
• Bloqueo cautelar de los datos.
• Obligación inmediata de atender el derecho que se solicite.

A TENER EN CUENTA. En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá, como excepción al mecanismo de coherencia contemplado en los artículos 63, 64 y 65, o al procedimiento mencionado en el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses. La autoridad de control comunicará sin dilación dichas medidas, junto con los motivos de su adopción, a las demás autoridades de control interesadas, al Comité y a la Comisión (artículo 66.1 del RGPD).

El apartado tercero del artículo 89 de la LOPDGDD determina que la utilización de sistemas de cámaras o videocámaras u otros sistemas similares para la captación de sonidos en los lugar de trabajo:

«(...) se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores (apartado 1 y 2 del artículo 89 de la LOPDGDD). La supresión de los sonidos conservados por estos sistemas de grabación se realizará atendiendo a lo dispuesto en el apartado 3 del artículo 22 de esta ley».

A estos efectos, la supresión de los sonidos almacenados por los referidos medios de grabación se efectuará en el plazo máximo de un mes desde su captación, excepto cuando se deban guardar para probar la realización de conductas que atenten contra:

• La integridad de las personas.
• Los bienes.
• Las instalaciones.

En dicho caso, las grabaciones tendrán que ser presentadas ante la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de las imágenes.

A TENER EN CUENTA. No será de aplicación a los referidos tratamientos la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD. 

Si bien, para comprobar si una medida restrictiva de derechos supera el juicio de proporcionalidad, es fundamental, que cumpla los siguientes requisitos (STC, núm. 66/1995, de 8 de mayo. ECLI:ES:TC:1995:66):

• La medida es capaz de alcanzar el objetivo propuesto.
• No exista otra medida más moderada e igual de eficaz para conseguir tal objetivo.
• La medida es proporcionada por proceder de ella más beneficios para el interés general que daños sobre otros bienes en conflicto

CUESTIÓN

¿Qué preceptos del RGPD se refieren al principio de proporcionalidad?

a) Considerando 4 del RGPD:

«El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística».

b) Considerando 156 del RGPD:

«(...) Debe autorizarse que los Estados miembros establezcan, bajo condiciones específicas y a reserva de garantías adecuadas para los interesados, especificaciones y excepciones con respecto a los requisitos de información y los derechos de rectificación, de supresión, al olvido, de limitación del tratamiento, a la portabilidad de los datos y de oposición, cuando se traten datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos para que los interesados ejerzan dichos derechos si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico, junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe observar otras normas pertinentes, como las relativas a los ensayos clínicos».

c) Considerando 170 del RGPD:

«Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protección de las personas físicas y la libre circulación de datos personales en la Unión Europea, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a las dimensiones o los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo».

A TENER EN CUENTA. Véanse también los artículos 6, 9 y 35 de la misma norma.