¿PODRÍAN SER LAS AUTORIDADES AUTONÓMICAS DE PROTECCIÓN DE DATOS MÁS DE LO QUE SON?

Daniel Jove Villares

Investigador predoctoral FPU-MECD, Universidade da Coruña

Martes, 3 Noviembre, 2020

La existencia de órganos e instituciones independientes, capaces de llevar a efecto las funciones asignadas con la mayor eficacia, eficiencia e integridad es un elemento clave en cualquier democracia, como lo es la garantía de los derechos. En ocasiones, la protección de los derechos se refuerza mediante la configuración de determinados órganos administrativos, más allá del poder judicial o del Tribunal Constitucional, v.gr. los ombudsman.

Las autoridades de control en materia de protección de datos responden, en parte, a esta lógica de garantía institucional de los derechos, aunque con un par de matices que las diferencia de, por ejemplo, las defensorías del pueblo. En primer lugar, son un órgano especializado, con un fin determinado: “proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento y […] la libre circulación de datos personales” (art. 57.1 RGPD). Si esa especialización puede predicarse de otros órganos e instituciones (como los consejos de transparencia), la segunda de las características es la que les dota de singularidad y refrenda su importancia.

Las autoridades de control no son un órgano cuya creación dependa de la voluntad política, no son opcionales, no son un mecanismo adicional de garantía destinado a reforzar la protección del derecho a la protección de datos. Las autoridades de control son una exigencia directa del derecho a la protección de datos, forman parte de su contenido nuclear. El apartado tercero del artículo 8 de la CDFUE exige que el respeto de las normas relativas al tratamiento de datos personales esté “sujeto al control de una autoridad independiente”. No es solo que haya que implementar una autoridad de control –que también–, es que cualquier autoridad de control en materia de protección de datos que se establezca debe ser independiente. 

El panorama institucional español en lo que a autoridades de control se refiere tiene en la Agencia Española de Protección de Datos (AEPD) a su representante más renombrado. Esta autoridad pública[i], la única con competencia para fiscalizar los tratamientos de datos personales llevados a cabos por personas físicas y jurídicas, ha crecido en importancia conforme la digitalización y el procesamiento automatizado de la información personal han ido copando y modulando cada reducto de la vida en sociedad. La AEPD ha realizado sus funciones con un elevado grado de intensidad y con la protección de la ciudadanía frente al tratamiento de la información personal como máxima. La consagración y reconocimiento del derecho al olvido con el caso Mario Costeja, es, quizá, la prueba más fehaciente de la actitud proactiva de la AEPD.

Además de la AEPD, en España existen, en la actualidad[ii], otras tres autoridades de control en materia de protección de datos, con una competencia circunscrita a los tratamientos que lleven a cabo entidades del sector público autonómico o personas físicas o jurídicas cuando ejerzan funciones públicas (57.1 LOPDGDD). La Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía. Las dos primeras se crearon a principios del siglo XX (2002 y 2004, respectivamente), al amparo de las respectivas normativas sobre ficheros de titularidad autonómica, si bien la catalana ha visto su base de legitimación reforzada al reconocerse al reconocerse en el Estatuto de autonomía de Cataluña (art. 31).

La autoridad de control andaluza es singular en varios sentidos, en primer lugar, por ser la única que, en la actualidad[iii], aglutina en un único órgano las atribuciones en materia de protección de datos y transparencia. Esta combinación de funciones puede contribuir a evitar interpretaciones divergentes en aquellos asuntos en los que pueda concurrir, sobre una misma información, exigencias en materia de transparencia y de protección de datos. Ello no obsta para que, en última instancia, nos encontremos ante la unión de dos órganos con funciones diferentes y, en una parte significativa, no coincidentes; pues ni todo tratamiento de datos personales tiene ínsitas cuestiones de transparencia, ni todo problema de transparencia lleva aparejado el lidiar con la presencia de datos personales. Además, se diferencia de las otras dos autoridades autonómicas por la reciente asunción de la competencia en materia de protección de datos (en ejercicio desde octubre de 2019). Si bien es cierto que, el Estatuto andaluz de 2007, ya reconocía a la Comunidad Autónoma “competencia ejecutiva sobre protección de datos de carácter personal”, aunque circunscrita, esencialmente, al sector público (art. 82). 

El RGPD es, desde 2018, la norma de referencia en la regulación del derecho a la protección de datos en la Unión Europea[iv]. Aunque esta norma deja más margen a los estados miembros del que se podría esperar de su naturaleza, sus previsiones son un mínimo ineludible, la regulación básica del derecho a la protección de datos –y, en determinados ámbitos, también la de detalle–. Allí donde el RGPD lo habilita expresamente, o donde hay un margen para la concreción y el detalle, los estados miembros han podido complementarlo y desarrollarlo. En España esas habilitaciones y vacíos se han colmado con la LOPDGDD. Sin embargo, y esto es lo relevante, no debe obviarse que la regulación de referencia y la que fija los límites es el RGPD, no pudiendo las regulaciones de los estados miembros contradecirlo, minorarlo o modificarlo.

En lo referente a las autoridades de control, el RGPD establece las características que han de definir a los órganos que el artículo 8 de la CDFUE considera pieza esencial del derecho a la protección de datos. Las competencias, funciones y poderes que el RGPD atribuye a las autoridades de control no son modulables, son la condición sine qua non para asegurar su independencia y que puedan cumplir con el crucial cometido que tienen asignado en el sistema de tratamiento de datos personales. Los artículos 57 y 59 concretan un listado significativo de funciones y poderes que las autoridades de control deben reunir.

El RGPD no impide –más bien parece fomentar– que los estados miembros establezcan más de una autoridad de control (Considerando 117). Cabría preguntarse, siquiera como mera hipótesis, si, con el nuevo marco normativo, las CCAA podrían llegar a atribuir a sus autoridades de control la fiscalización de los tratamientos de personas físicas o jurídicas que no tuviesen conexión con el ámbito público. La doctrina del TC, fijada por la STC 290/2000, de 30 de noviembre, parece cerrar la puerta a dicha posibilidad. Pero han cambiado muchas cosas desde el año 2000 en materia de protección de datos, empezando por el marco de referencia. Ahora los límites del derecho no los fija una normativa española, por lo que la ratio decidendi de la STC 290/2000 ha perdido gran parte de su fundamento, porque “la exigencia constitucional de aplicación en todo el territorio nacional” (FJ 14) viene derivada de la fuerza normativa del RGPD, no de la normativa española.

La jurisprudencia del TC trataba de asegurar que el contenido del derecho fundamental a la protección de datos fuese el mismo en todo el territorio, y se respetasen los límites fijados en la LORTAD primero y en la LOPD después. Que, para asegurar el cumplimiento de la normativa reguladora del derecho a la protección de datos, el legislador español considerase que era conveniente establecer una autoridad de control (la AEPD) que se ocupase de los tratamientos entre privados, entra dentro de su margen de decisión y competencia. A él correspondía regular las condiciones básicas de ejercicio en igualdad del derecho a la protección de datos.

Sin embargo, esas condiciones básicas de ejercicio ya no están residenciadas en la normativa española y, con ello, el argumento principal para que solo la AEPD pueda ocuparse de los tratamientos inter privatos pierde gran parte de su razón de ser. Ya no es competencia del legislador español determinar los mecanismos institucionales para asegurar el mínimo común de protección y la igualdad en el ejercicio del derecho. Esa tarea ya la ha realizado el legislador europeo. Y la protección institucional que el RGPD prevé exige autoridades de control con potestades suficientes para hacer efectiva dicha protección, sin importar su ámbito de aplicación territorial.

De este modo, se abre la vía para que las autoridades de control autonómicas exploren la posibilidad de asumir la fiscalización de otros tratamientos, al menos aquellas CCAA que, en sus estatutos de autonomía, no han circunscrito a la esfera pública los tratamientos para los que tienen competencia. Esta es una posibilidad que el cambio de paradigma normativo ha abierto y cuyas posibilidades y alcance valdría la pena analizar.

No obstante, cualquier aproximación que vaya a realizarse debe hacerse sin apriorismos; sin ese halo de desconfianza que, aún con la nueva situación normativa, parece considerar a las autoridades de control autonómicas como sospechosas o menos comprometidas con la salvaguarda del derecho a la protección de datos. El legislador español ha situado a la AEPD en una atalaya privilegiada; y ello, a pesar de que la CDFUE exija que todas las autoridades de control deban ser independientes, de que el RGPD fije un haz de facultades comunes para todas las autoridades de control y establezca la cooperación –no la subordinación– como el marco de relación entre las diferentes autoridades de control.

Sirva como ejemplo ilustrativo de la afirmación anterior, la capacidad atribuida a la AEPD para fiscalizar las actuaciones de las autoridades autonómicas, pudiendo requerir de estas que adopten las medidas encaminadas a lograr el cese de tratamientos contrarios al RGPD. Sin embargo, se niega una posibilidad recíproca a las autoridades autonómicas respecto de las actuaciones de la AEPD. Esa clase de preponderancia no se compadece en absoluto con el modelo de autoridades de control que prevé el RGPD. Para éste, tanto las autoridades autonómicas como la AEPD son autoridades de control, pero parece que para, el legislador español, –seguramente por las dinámicas del pasado– hay una con más autoridad y control que las demás.

La decisión de dotarse o no de una autoridad de control corresponde a cada Comunidad Autónoma en el ejercicio de su autonomía, ahora bien, allí donde se establezcan, dejemos que sean lo que una autoridad de control puede ser.

 

[i] Creada en 1992 por la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD).

[ii] La Comunidad de Madrid llegó a tener pero prescindió de ella durante la crisis y no la ha vuelto a recuperar.

[iii] En la legislatura anterior se planteó una reforma similar en el caso de la autoridad vasca para dotarla de competencias también en materia de transparencia. Veremos si se retoma la idea en la nueva legislatura.

[iv] Aunque su entrada en vigor tuvo lugar un par de años antes, mayo de 2016.

Cortes de Aragon

Patrocinadores

Subir