El cumplimiento del Reglamento General de Protección de Datos en comisiones parlamentarias de investigación

• Autor: vLex

La Sentencia del Tribunal de Justicia en el asunto C-33/22 establece que una comisión de investigación creada por el parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el Reglamento General de Protección de Datos (RGPD).

Asimismo, cuando en ese Estado miembro sólo haya una autoridad de control, esta es competente , en principio, para controlar el respeto del RGPD por la comisión de investigación. Por el contrario, cuando la comisión de investigación ejerza efectivamente una actividad destinada como tal a proteger la seguridad nacional, no está sujeta al RGPD ni, en consecuencia, al control de la autoridad de control.

Hechos

La Cámara Baja del Parlamento austriaco constituyó una comisión de investigación encargada de aclarar la existencia de una posible influencia política sobre la Agencia Federal de Protección Constitucional y Lucha contra el Terrorismo austriaca.

Esta comisión de investigación oyó a un testigo en un interrogatorio retransmitido por los medios de comunicación. El acta de esta audiencia fue publicada en el sitio de Internet del Parlamento austriaco y, a pesar de que el testigo había solicitado permanecer en el anonimato, contenía el nombre completo de este. Al estimar que la mención de su nombre era contraria al RGPD , el testigo presentó una reclamación ante la autoridad austriaca de protección de datos. Explicó que trabajaba como agente infiltrado en el grupo de intervención de la policía encargado de la lucha contra la delincuencia en la vía pública.

La autoridad de protección de datos desestimó dicha reclamación por considerar que el principio de separación de poderes impide que esta autoridad, como órgano del poder ejecutivo, controle el respeto del RGPD por parte de la comisión de investigación.

El testigo impugnó esta decisión ante los órganos jurisdiccionales austriacos. El Tribunal Supremo de lo Contencioso-Administrativo austriaco planteó una cuestión prejudicial al Tribunal de Justicia si la comisión de investigación, que forma parte del poder legislativo y lleva a cabo una investigación relativa a actividades de seguridad nacional, está sujeta al RGPD y al control de la autoridad de protección de datos.

Cuestión prejudicial

El Tribunal de Justicia resuelve que incluso una comisión de investigación creada por el parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el RGPD.

Ciertamente, el RGPD no se aplica a los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional. No obstante, sin perjuicio de las comprobaciones que deba realizar el Tribunal Supremo de lo Contencioso-Administrativo austriaco, la investigación en cuestión no parece tener por objeto, como tal, proteger la seguridad nacional. Así, esta comisión de investigación debía inquirir acerca de la existencia de una posible influencia política sobre una autoridad perteneciente al poder ejecutivo, la cual tenía como misión proteger la Constitución y luchar contra el terrorismo.

Dicho esto, la seguridad nacional puede justificar limitaciones, a través de medidas legislativas, a las obligaciones y a los derechos derivados del RGPD. Sin embargo, de los autos del asunto no se desprende que la comisión de investigación en cuestión alegara que la divulgación del nombre del testigo fuera necesaria para proteger la seguridad nacional y estuviera basada en una medida legislativa.

No obstante, corresponde al Tribunal Supremo de lo Contencioso-Administrativo austriaco hacer las comprobaciones necesarias a este respecto. Dado que Austria ha optado por crear una única autoridad de control, en el sentido del RGPD. esto es, la autoridad de protección de datos, esa autoridad también es competente, en principio, para controlar el respeto de ese Reglamento por una comisión de investigación como la del presente asunto, sin que obste a ello el principio de separación de poderes. Esta solución se desprende del efecto directo del RGPD. y de la primacía del Derecho de la Unión, incluso respecto del Derecho constitucional nacional.

Fuente: Comunicado de Prensa nº 7/24

Legislación

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE)