Proyecto de Ley de Protección de Datos: Una nueva deslealtad a los ciudadanos que aún se puede corregir

La protección de las personas físicas en relación con el tratamiento de sus datos de carácter personal es un derecho fundamental. Con la aprobación del Reglamento General Europeo 2016/679 (RGPD) que será de exigible aplicación en toda Europa a partir del próximo 25 de mayo de 2018, por primera vez en España es el legislador europeo, y no el nacional, quien desarrolla y establece las bases para la protección de un derecho fundamental de nuestra Constitución (el que regula su artículo 18.4).

El RGPD a partir de la fecha en que resultará aplicable, como reza su artículo 99, es «obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro».

En España, como van a quedar sin efecto (el 25/05/18) la mayor parte de los artículos de la todavía vigente Ley Orgánica de Protección de Datos 15/1999, el legislador ha optado, en lugar de reformar dicha Ley Orgánica, por trasponer las obligaciones que establece el Reglamento Europeo a través de una nueva Ley Orgánica, derogando la anterior.

Dicha traslación al derecho español se producirá tarde, toda vez que estamos ya en el mes de marzo de 2018 y aún se está tramitando en el Congreso de los Diputados el Proyecto de Ley Orgánica de Protección de Datos que llevó el Gobierno el pasado 24 de noviembre de 2017, del que todos los operadores afirman con toda seguridad, y dadas las fechas, que el mismo no podrá entrar en vigor antes de la fecha límite del 25 de mayo de 2018.

Por tanto, desde el 26 de mayo de 2018 y hasta que finalmente se apruebe y entre en vigor la nueva ley orgánica nacional, nacerá un espacio temporal de inseguridad jurídica en todas aquellas materias que correspondía a España trasladar a su ordenamiento jurídico y que, siendo ya aplicable el RGPD, no se habrán regulado.

En determinadas materias, al legislador nacional el RGPD ofrece varias opciones para trasladar al derecho nacional la nueva normativa europea, algunas más transparentes y respetuosas, con la protección del derecho fundamental regulado, que otras.

¿TOTAL INDEPENDENCIA?

El RGPD prioriza la «total independencia» como la principal característica que deben de tener las autoridades de control (en España la Agencia Española de Protección de datos) al consagrar en su artículo 52.1 que actuarán con «total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes», de forma que, dichos poderes, atribuidos por el RGPD, deberían ser respetados por los demás poderes (como ocurre con jueces y tribunales), como ya desarrolló en el siglo XVIII Montesquieu con su teoría de la distribución social del poder y, mucho tiempo antes, el propio Aristóteles cuando estableció que «el poder concentrado se convierte en tiranía».

La pretensión del legislador europeo al establecer dicha total independencia es que no se vean «afectadas» las decisiones que adopte la autoridad de control a la hora de verificar el cumplimiento de la norma y, sobre todo, a la hora de establecer, en los casos de incumplimiento, la correspondiente sanción (que es el principal poder disuasorio que se le otorga) de entre las que ofrece el propio RGPD .

El RGPD dedica a regular dicha «total independencia» de la autoridad de control todo un capítulo, el VI, titulado «Autoridades de control independientes».

Pues bien, a la vista del Proyecto de Ley Orgánica que ha trasladado el Gobierno de España al Congreso de los Diputados, llama la atención como se aplica la «total independencia» a la hora de la propuesta, nombramiento y destitución del presidente de la Agencia Española de Protección de Datos, y así, si el RGPD posibilita, entre diversas opciones, entre las que destaca la de que el nombramiento lo haga un «organismo independiente encargado del tratamiento», el proyecto español opta en su artículo 48.2 porque lo nombre el «Gobierno» a propuesta del «ministro de Justicia» (lógicamente de entre las personas que el Ministro quiera proponer), con lo que desde ese inicial momento los miembros de la autoridad de control dejan de ser (o de parecer) ajenos en el desempeño de sus funciones y en el ejercicio de sus poderes a toda influencia externa directa o indirecta como textualmente exige el artículo 52.2 del RGPD.

¿Porque no los nombra un organismo independiente de entre las personas que decidan postularse para el puesto y así elegir a los mejores, y más expertos en la materia, en función de sus méritos? Probablemente la afinidad política al partido de gobierno de turno será la que decida el candidato elegido, de lo contrario no se explica la opción elegida por el legislador español.

PERSONAS QUE NADA TIENEN QUE VER CON LA PROTECCIÓN DE DATOS EN EL CONSEJO CONSULTIVO

Con la destitución de los miembros la cosa es aún peor.

Si el artículo 53.3 del RGPD establece que los miembros de la autoridad de control únicamente podrán dar por concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación obligatoria, el legislador español en el Proyecto (artículo 48.3) establece que se podrá cesar al presidente de la Agencia de Protección de Datos en sus funciones cuando el Gobierno decida su separación porque entienda que incumple sus obligaciones, que hay una incapacidad sobrevenida, alguna incompatibilidad o alguna condena por delito doloso, todas ellas causas de cesación más cercanas a un nombramiento político.

Al presidente de la Agencia al menos la Ley nacional propuesta exige que sea nombrado de entre «profesionales de reconocida competencia con conocimientos y experiencia acreditados para el desempeño de sus funciones», pero cuando llegamos al nombramiento de las personas que le van a asesorar en la materia, esto es, los miembros de la autoridad de control que integran el llamado «Consejo Consultivo de la Agencia»,  dicha exigencia de conocimientos desaparece de la norma y, lejos de que dichos «asesores» sean nombrados por un organismo independiente formado por expertos en protección de datos, se opta en el artículo 49 del Proyecto por repartir el «pastel» entre una serie de personas que nada tienen que ver con la protección de datos, tales como un diputado, un senador, un representante designado por el Consejo General del Poder Judicial, otro designado por la administración general del estado, representantes de las comunidades autónomas que tengan nombrada autoridad de control autonómica, un representante de la administración local, otro representante de usuarios y consumidores, etc., y de todos ellos un solo representante de los profesionales de la protección de datos y un solo experto en la materia que será el que proponga el Consejo de Universidades.

¿Porque el legislador determina que dicho Consejo Consultivo Asesor esté en su gran mayoría integrado y propuesto por personas e instituciones que nada tienen que ver con la materia sobre la que han de asesorar?

Cuando llegamos al terreno sancionador vemos que el RGPD indica que las sanciones han de ser «efectivas, proporcionadas y disuasorias», y para ello es especialmente severo al prever para los infractores de la norma fuertes multas económicas de hasta 20 millones de euros o en caso de empresas de un 4 por ciento del volumen de negocio total anual del ejercicio anterior, optándose por la que resulte de mayor cuantía.

NO CASTIGA CUANDO EL VULNERADOR ES UNA AUTORIDAD U ORGANISMO ADMINISTRATIVO

Al respecto, el artículo 83.7 del RGPD establece que corresponde a cada Estado miembro «establecer normas sobre si se puede, y en que medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro».

Pues bien la traslación que hace al respecto el legislador español en el Proyecto enviado al Congreso de los Diputados en su artículo 77 (denominado «Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento») es la de no sancionar con un solo euro las conductas infractoras cuando la vulneración del derecho fundamental de los ciudadanos a la protección de sus datos de carácter personal provenga de una autoridad u organismo administrativo.

La finalidad teleológica que justifica la sanción económica a quien incumple la norma en estos casos desaparece para el legislador español, que «sustituye» las cuantiosas multas económicas previstas y decide que solo sean aplicables a determinados infractores (particulares y empresas), mientras que cuando el infractor sea una autoridad administrativa o la propia Administración Pública la sanción a aplicar no podrá ir más allá de un mero «apercibimiento» que podrá derivar, como mucho, en una «propuesta de iniciación de actuaciones disciplinarias».

El principio de igualdad de trato ante idénticos comportamientos, clave en una sociedad democrática, desaparece sin justificación, lo que conllevará también a una mayor «relajación» en el cumplimiento de la norma por todos aquellos a los que se van a imponer unas «sanciones» en modo alguno efectivas, en modo alguno proporcionadas, y en modo alguno disuasorias, incluso cuando traten categorías especiales de datos a los que el RGPD otorga especial protección en su artículo 9, como son los relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, o datos genéticos, biométricos, relativos a la salud o a la vida sexual u orientación sexual de una persona física.

La historia se repite: ya hizo lo mismo el Gobierno en la Ley de responsabilidad penal de las personas jurídicas, que excluía a partidos y sindicatos, además de entes públicos, y fue tal el bochorno que lo tuvo que reformar. Mejor no repetirlo.