Desde la publicación del RGPD siempre he mantenido una relación ambivalente con el artículo 23 del RGPD dado que su texto contempla la posibilidad de excepcionar los derechos y obligaciones en materia de protección de datos a través de medidas legislativa que afecten a una serie de materias que, sea dicho de paso, son difusas, indeterminadas y de difícil concreción. Es importante volver a releer el comienzo de dicho artículo para comentarlo mejor:

«El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar: a)la seguridad del Estado;….»

Bien o mal, siempre he interpretado dicha habilitación de una forma amplia, establecida mediante la normativa general que regule, por ejemplo, la Ley de Seguridad Ciudadana, pero sin que requiriese una norma diferente o específica por cada Administración que limite tales derechos y la exposición de cómo realiza dicha limitación.

Este planteamiento se me ha visto trastocado por la publicación de tres normas, aparentemente intrascendentes en nuestro ámbito: la Decisión de la Junta Directiva de la Agencia Europea de Defensa de 24 de febrero de 2020 sobre la adopción de las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la AED, la Decisión del Consejo de Administración de la Agencia de la Unión Europea para la Cooperación de los Reguladores de la Energía de 12 de diciembre de 2019 sobre las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Agencia y la reciente Decisión del Comité Director de la Agencia Ejecutiva para las Pequeñas y Medianas Empresas relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia.

En concreto, la última Decisión indicada regula las limitaciones en las que se ampara, estableciendo unas condiciones respecto a las limitaciones muy superiores a lo que estamos acostumbrados en un norma de carácter general en el ámbito de la protección de datos:

Artículo 2 – Limitaciones aplicables

Artículo 3 – Registro de las limitaciones

Artículo 4 – Riesgos para los derechos y libertades de los interesados

Artículo 5 – Garantías y plazos de conservación

Artículo 6 – Duración de las limitaciones

Artículo 7 – Participación del delegado de protección de datos

Artículo 8 – Información al interesado sobre las limitaciones de sus derechos

Artículo 9 – Derecho de acceso del interesado

Artículo 10 – Derecho de rectificación, supresión y limitación del tratamiento

Artículo 11 – Comunicación de una violación de la seguridad de los datos personales al interesado

Artículo 12 – Confidencialidad de las comunicaciones electrónica

---

Estas tres normas, que se amparan en el artículo 25 del Reglamento (UE) 2018/1725 en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, desarrolla de forma más o menos pormenorizada los criterios, los límites, los fundamentos, los plazos, en que se UNA organización Europea limita tales derechos.

La reflexión que me asalta es la siguiente: Considerando los paralelismos e identidad de razón existente entre dicho artículo 25 de dicho Reglamento de las instituciones Europeas con nuestro artículo 23 del RGPD, en los supuestos que -por cualquier actividad- una Administración Pública española limite los derechos de los ciudadanos en protección de datos ¿debe aprobar una norma similar a la publicada por la Agencia Ejecutiva para las Pequeñas y Medianas empresas en la que explique cómo limitará los derechos?

Si se responde afirmativamente supondría disponer de una norma general habilitante más una norma que describa las limitaciones, debiendo realizar un importante esfuerzo adaptativo para soportar dicha aseveración. Por ahora dejémoslo como una mera reflexión.