Administración libre de multas por vulnerar la privacidad

 

La Unión Europea (UE) ha marcado el ritmo internacional en materia de protección de datos. Con la aprobación en 2016 del Reglamento General de Protección de Datos (RGPD), Europa lideró por primera vez un ámbito muy ligado a las nuevas tecnologías, caracterizándose, además, por ser especialmente proteccionista frente a legislaciones mucho más laxas como la estadounidense. En España entraría en vigor el 25 de mayo de 2018. Sin embargo, las duras sanciones que se recogen para el sector privado, inexplicablemente, no se aplican para el sector público.

Uno de los puntos más relevantes del RGPD, que cambió las reglas del juego tal y como se venía desarrollando hasta entonces, es el papel decisivo en cada organización de los responsables y encargados del tratamiento de los datos personales, con una marcada proactividad frente a la histórica reactividad. El incumplimiento de este RGPD contempla sanciones que, en los casos más graves, pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual.

Sin embargo, y tal y como destaca el profesor de Derecho Administrativo en la Universidad Complutense de Madrid, Alejandro Corral Sastre, el RGPD no resolvió una anomalía jurídica que venía produciéndose ya en la anterior legislación: “la imposibilidad de imponer multas o sanciones económicas a todo un elenco de personas jurídico-públicas entre las que se encuentran las Administraciones y otros organismos públicos”.

Cuando parecía que el RGPD adaptaría la legislación a la nueva realidad de internet y resolvería el sinsentido de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, transpuesta a nuestro ordenamiento por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, todo se vino abajo, manteniendo este doble rasero. La Directiva 95/46/CE dejaba a elección de cada país el régimen sancionador, lo que derivó en una heterogeneidad europea.

Este margen de libertad incluía, además, la posibilidad de imponer sanciones económicas a las Administraciones públicas. En el caso español, se optó por establecer un régimen más laxo, hasta el punto que, como indica Corral en su artículo de la Revista General de Derecho Administrativo, “se reconocía, sin tapujos, la posibilidad de cometer infracciones” y, a pesar de ello, no se podía imponer sanciones económicas.

La situación es absolutamente rocambolesca toda vez que, como recuerda Corral en su artículo, “desde la Ley de Protección de Datos del año 1992, y posteriormente con la Ley Orgánica 15/1999, las Administraciones públicas incumplían sistemáticamente todas las obligaciones impuestas por la Ley en materia de protección de datos”. De ahí, concluye que “el legislador llegó a la conclusión, triste conclusión por otro lado, de que lo mejor era excluir la posibilidad de imponer multas económicas a las Administraciones públicas por esta materia”.

Pues bien, el RGPD no revolvió esta arbitrariedad y en su artículo 83.7 establece que “sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

¿Qué hizo el legislador español? No imponer sanciones económicas a las Administraciones públicas y otros entes integrantes del sector público. No me refiero a las Fuerzas y Cuerpos de Seguridad del Estado, que con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, ya disfrutan de una legislación más laxa, sino de cualquier Administración u organismo públicos, que pueden ir desde la Administración General del Estado, Comunidades y Ayuntamientos a órganos jurisdiccionales, Banco de España, universidades públicas, consorcios, grupos parlamentarios, agencias estatales, organismos autónomos, etc.

Por este motivo, desde el punto de vista del académico, urge “un cambio normativo que permita imponer sanciones económicas a todas aquellas entidades del sector público que realicen tratamientos de datos personales, por cuenta propia o de terceros”. El fondo de la cuestión, básicamente, es que la protección de un derecho fundamental, como es la privacidad, debería darse en cualquier tipo de relación, ya sea con una empresa privada o una Administración pública.

Corral indica que aunque quizás inicialmente este doble rasero pudo tener algún sentido –dudoso-, el hecho de que “esa situación se haya mantenido inalterable en el tiempo no está justificado”, añadiendo que “eximir a los entes del sector público de recibir multas económicas por su masivo incumplimiento supone un claro atentado contra el principio de legalidad y el Estado de Derecho”.

Uno de los razonamientos para justificar esta discriminación, que también recoge el estudio, se resume en que de qué sirve multar a una Administración si, en última instancia, esa multa será soportada por los impuestos de la ciudadanía. Sin embargo, ¿por qué entonces sí se sanciona a las Administraciones en materia medio ambiental, por ejemplo? ¿Acaso no aplica ese mismo razonamiento? Al parecer no.

Por otro lado, no es tan negativo que los incumplimientos de un gestor público se reflejen en sanciones que han de pagar las arcas públicas porque, de ese modo y al afectar directamente a su bolsillo, quizás el ciudadano o la ciudadana castiguen posteriormente con su voto tal negligencia. A este respecto, Corral es un firme convencido de que “imponer multas económicas a las Administraciones públicas puede ayudar a alcanzar unas mayores cotas de democracia”, pues “trae al debate público las consecuencias de la legalidad o ilegalidad de la actividad administrativa”.

España no es el único país que libera a las Administraciones públicas de recibir multas administrativas económicas por incumplir el RGPD. Francia también lo hace, aunque únicamente eximiendo al Estado y no a las entidades públicas territoriales. Otros países, por el contrario, como Reino Unido o Italia sí permiten imponer estas sanciones al sector público.

El profesor de Derecho Administrativo concluye que “los tiempos exigen una mayor responsabilidad del sector público, una mayor implicación con la defensa de este esencial derecho fundamental que se ha convertido, con la transformación digital, en una de las claves de bóveda del sistema de defensa de los ciudadanos frente a los avances tecnológicos más desarrollados”.

(Artículo en Público)