El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó, en el marco de una decisión prejudicial, que las comisiones investigadoras parlamentarias deben hacer observancia de lo dispuesto en el Reglamento General de Protección de Datos (RGPD), salvo que la investigación y el tratamiento de datos personales versen sobre un asunto de seguridad nacional, como lo son las actividades terroristas.
Según se narra en los hechos, la Cámara Baja del Parlamento austriaco constituyó una comisión investigadora para esclarecer presuntas irregularidades en la Agencia Federal de Protección Constitucional y Lucha contra el Terrorismo del país. En este contexto se interrogó a un testigo, cuya declaración fue transmitida por los medios de comunicación. El acta de esta audiencia fue publicada en el sitio web del parlamento, lo cual generó controversia pues se expuso la identidad del interrogado a pesar de que había solicitado permanecer en el anonimato.
El testigo, quien era un agente encubierto, presentó una reclamación ante la autoridad austriaca de protección de datos, aduciendo una vulneración del RGPD. No obstante, la autoridad rechazó la reclamación argumentando que, como órgano del poder ejecutivo, carecía de la competencia para supervisar el cumplimiento del RGPD por parte de la comisión de investigación debido al principio de separación de poderes.
Por ello, el testigo llevó el caso a los tribunales austriacos. Así, el Tribunal Supremo de lo Contencioso-Administrativo planteó una cuestión prejudicial al TJUE para que este determinara si la comisión de investigación, siendo parte del poder legislativo y responsable de investigar actividades relacionadas con la seguridad nacional, está sujeta al RGPD.
Noticia Relacionada
En su análisis de fondo, el Tribual señala que, “(…) incluso una comisión de investigación creada por el parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el RGPD. Ciertamente, el RGPD no se aplica a los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional”.
Agrega que, “(…) no obstante, sin perjuicio de las comprobaciones que deba realizar el Tribunal Supremo de lo Contencioso-Administrativo austriaco, la investigación en cuestión no parece tener por objeto, como tal, proteger la seguridad nacional. Así, esta comisión de investigación debía inquirir acerca de la existencia de una posible influencia política sobre una autoridad perteneciente al poder ejecutivo, la cual tenía como misión proteger la Constitución y luchar contra el terrorismo”.
Observa que “(…) la seguridad nacional puede justificar limitaciones, a través de medidas legislativas, a las obligaciones y a los derechos derivados del RGPD, Sin embargo, de los autos del asunto no se desprende que la comisión de investigación en cuestión alegara que la divulgación del nombre del testigo fuera necesaria para proteger la seguridad nacional y estuviera basada en una medida legislativa. No obstante, corresponde al Tribunal Supremo de lo Contencioso-Administrativo austriaco hacer las comprobaciones necesarias a este respecto”.
El Tribunal concluye que, “(…) dado que Austria ha optado por crear una única autoridad de control, en el sentido del RGPD, esto es, la autoridad de protección de datos, esa autoridad también es competente, en principio, para controlar el respeto de ese Reglamento por una comisión de investigación como la del presente asunto, sin que obste a ello el principio de separación de poderes. Esta solución se desprende del efecto directo del RGPD y de la primacía del Derecho de la Unión, incluso respecto del Derecho constitucional nacional”.
Al tenor de lo expuesto, el Tribunal estimó que en el caso concreto no se advierte que la revelación de la identidad del testigo haya sido necesaria para garantizar la seguridad nacional, por lo que el RGPD sería aplicable.
Vea sentencia Tribunal de Justicia de la Unión Europea C-33/22.