Miguel Ortego Ruiz

La Memoria 2019 de Agencia Española de Protección de Datos («AEPD») refleja que el número de reclamaciones en materia de protección de datos tramitadas durante el pasado ejercicio ha caído en un 11% (11.590) y las tramitadas de oficio a iniciativa de la Agencia en un 50% (15 procedimientos). También es importante subrayar que, del total de las reclamaciones que se interponen, más del 50% se inadmiten.

Esto puede tener dos lecturas: la primera, que estamos cada vez más conciéncianos en materia de protección de datos y por ello se inician menos procedimientos; la segunda, que la Agencia está desbordada y obsoleta y por eso no logra tramitar ni la mitad de los procedimientos que había llevado a cabo en 2018. Estamos hablando de menos de una treintena, así que la capacidad de control, revisión y seguimiento de la AEPD está más que en entredicho. El hecho de que más del 50% de las reclamaciones que se interponen se inadmita, me ayuda a pensar que la Agencia está «sobreviviendo» como puede.

Lo cierto es que a muchos les sorprenderá que de entre todas los procedimientos tramitados y sanciones impuestas, algunas de cuantía más que importante (en España, La Liga recibió una sanción de 250.000 € (1)), por ninguna parte aparece una Administración Pública sancionada con una multa económica. Como mucho se encontrará una resolución que sanciona a una Administración pública con «apercibimiento». Es decir, «tarjeta amarilla» en un símil futbolístico.

Esta maravilla es legal y es obra de los artículos 83.7 RGPD (2) y 77.2 LOPDGDD (3). El primero otorga libertad a los Estados miembros para decidir si quieren multa y en qué medida a las Administraciones públicas que incumplan la normativa de protección de datos. El segundo, ha regulado que el incumplimiento de la normativa de protección de datos por una Administración pública en nuestro país lleva aparejada un mero apercibimiento.

Esto no es sólo discutible desde el punto vista moral, sin que puedan acogerse explicaciones peregrinas como que de ser sancionadas las Administraciones públicas, ello supondría un coste para todos los ciudadanos (como bien han explicado algunos que piden ejemplaridad). Es, sobre todo y jurídicamente, un más que posible atentado contra el principio de igualdad consagrado en nuestra Constitución (art. 14 CE) y, más importante todavía, en el ámbito europeo, un ataque frontal (y quizá mortal) de una normal nacional al RGPD y a sus primacía y aplicación directa que pudiere ser objeto de recurso ante el Tribunal de Justicia de la Unión Europea. Por no hablar de la competencia desleal que supone que una empresa pública que compite en un mercado con otras privadas se vea exonerada de esta manera (por ejemplo RTVE frente a Mediaset y Atresmedia).

En realidad es-metafóricamente-un oxímoron del reglamento que, por un lado trata de proteger el derecho fundamental a la protección de datos y, por otro, abre la puerta a que una parte muy importante de los responsables del tratamiento queden sin régimen sancionador. Muchos de los Estados miembros han optado por eximir a las Administraciones públicas de cumplir una normativa muy gravosa y complicada, pero eso no es solución. Por mucho que la AEPD trate de cargar de obligaciones a éstas, no dejan de ser un centro neurálgico en el tratamiento de datos de los ciudadanos (cada vez más con la digitalización de la adminitración-eGovernment-) que, sin sanciones efectivas, juega en una situación ventajosa sin «la fuerza de la gravedad».

En efecto, de facto, que una norma nacional permita soslayar los principios fundamentales y razón de ser de un reglamento de la UE es todo menos conforme con el Derecho Europeo. Los principios de la protección de datos (art. 5 RGPD), la accountability o los fines del reglamento se ven mermados resultando en ineficaz, y, por extensión, el derecho fundamental a la protección de datos (art. 8 CEDH).

(1) Un resumen de las sanciones más interesantes del año en España se puede consultar aquí. A nivel europeo, British Airways, con una sanción 205 millones de euros, encabeza el ranking de las diez sanciones más altas dentro de la UE hasta la fecha (que se pueden consultar aquí). Y todas las sanciones, clasificadas por país, aquí.

(2) Art. 83.7 RGPD: «Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.»

(3) Art. 77.2 LOPDGDD: «Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.»

Imagen: EU Neighbour