Informe AEPD 2023
EXCEPCIONES O LIMITACIONES DE LOS DERECHOS DE LOS INTERESADOS (AEPD 2023)
De conformidad con el artículo 20 del Reglamento IMI, los Estados miembros informarán a la Comisión cuando su legislación nacional prevea excepciones o limitaciones de los derechos de los interesados establecidos en el Reglamento en el artículo 18, sobre el derecho a ser informado sobre el tratamiento de datos personales y en el artículo 19, sobre los derechos de acceso, rectificación y supresión de datos personales.
A este respecto, la Agencia Española de Protección señaló lo siguiente en un informe de 2023:
1. Art. 18
La información de los interesados y la transparencia se regula de conformidad con lo dispuesto en el Capítulo III (artículos 12 a 14) del Reglamento (UE) 2016/679, general de protección de datos (RGPD) y el artículo 11 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
2. Art. 19
El ejercicio de los derechos de los ciudadanos se regula de conformidad con lo dispuesto en el Capítulo III (artículos 15 a 23) del Reglamento (UE) 2016/679, general de protección de datos (RGPD) y el Capítulo II (artículos 12 a 18) de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
3. Excepciones art. 18
La disposición adicional decimocuarta de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establece que las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
El artículo 24 de la LOPD establece que, cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales, no será aplicable a los interesados a los que se soliciten datos personales el derecho a ser previamente informados de modo expreso, preciso e inequívoco de:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Las excepciones previstas en el artículo 24 están referidas a ficheros de titularidad pública.
Asimismo, pueden existir limitaciones en otras regulaciones sectoriales entre las que destacan las previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que transpone la normativa comunitaria sobre esta materia.
4. Excepciones art. 19
El propio RGPD establece limitaciones al ejercicio de los derechos de forma específica con respecto al derecho de supresión (artículo 17.3) o al derecho de oposición (artículo 21.1).
Con respecto a las limitaciones que puedan introducir las normativas nacionales, el Considerando 4 del RGPD establece un marco general, en el sentido de que el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. Los Considerandos 45 a 56, 62 y 73, también justifican ciertas circunstancias en materia de limitación del ejercicio de derechos.
En su artículo 23, el RGPD establece expresamente que el Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
f) la protección de la independencia judicial y de los procedimientos judiciales;
g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;
j) la ejecución de demandas civiles.
Adicionalmente, la disposición adicional decimocuarta de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establece que las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
El apartado 2 del artículo 23 contempla la posibilidad de denegar el ejercicio de los citados derechos por los responsables de los ficheros de la Hacienda Pública cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actividades inspectoras.
El artículo 23.1 de la LOPD ha sido derogado por el actual art. 24.1 de la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Asimismo, pueden existir limitaciones en otras regulaciones sectoriales entre las que destacan las previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que transpone la normativa comunitaria sobre esta materia.