Ante los evidentes riesgos que se abren en materia de protección de datos en la era de la revolución tecnológica, uno de los pilares de esta nueva regulación formada por el binomio normativo RGPD/LOPDGDD era dotar a las autoridades de control de “poderes coercitivos más contundentes” con el fin de proteger los derechos y libertades de las personas físicas como consecuencia de los tratamientos de datos personales.

Detrás de todo ello está, sin duda, el avance imparable de la revolución tecnológica y el poder cuasi absoluto de las empresas de ese mismo ámbito que despliegan su actividad con el manejo y cruce de toda la información recuperada a través de los motores de búsqueda, de las redes sociales o de los correos electrónicos. Es algo muy conocido, más todo lo que esté por llegar en un escenario plagado de fuertes incertidumbres.

Con esa finalidad de fortalecer la aplicabilidad del nuevo marco normativo en esta materia, no quedaba otra opción que hacer el necesario hincapié en el poder sancionador. Y eso es algo que se recoge en los Considerandos 149 y siguientes del RGPD.

En todo caso, la pretensión de estas líneas es solo dar una idea general de esta problemática, entre otras cosas porque su aplicabilidad a las entidades del sector público se ve mediatizada por la regulación blanda que se prevé en la LOPDGDD, dónde –a pesar del cambio cualitativo que implica el RGPD- en el ámbito sancionador se sigue el viejo patrón de la LOPD de 1999, con algunos matices que luego se detallarán.

 Regulación del régimen sancionador aplicado al Sector Público en el RGPD

 El Capítulo VIII del RGPD se enuncia del siguiente modo: “Recursos, responsabilidad y sanciones”. De esa amplia y detallada regulación (con un significado endurecimiento del régimen sancionador, aplicable en términos generales, pero que el propio RGPD abre la posibilidad de que cada Estado miembro, en función de las peculiaridades de su sistema jurídico, lo adecue en su extensión al sector público), solo nos interesa particularmente lo que tiene que ver con la previsión puntual del régimen sancionador para las autoridades y organismos públicos prevista en el artículo 87.3 RGPD.

Allí se expone lo siguiente: “7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

El RGPD centra la atención, por tanto, en multas administrativas (y no en otro tipo de sanciones), pero la limita en el plano subjetivo a autoridades y organismos públicos, lo que no debería impedir en el caso de exceptuar su aplicabilidad a tales entidades volcar el régimen sancionador sobre las personas que cubren esas responsabilidades públicas (autoridades públicas o funcionarios, en su caso) si fruto de su acción u omisión se ha podido incurrir en las infracciones que prevé el ordenamiento jurídico.

Regulación del régimen sancionador aplicado al Sector Público en la LOPDGDD

El Título IX del LOPDGDD trata del Régimen sancionador. Y muy brevemente nos interesa hacer mención a la previsión recogida en el artículo 77 LOPDGDD, puesto que tal regulación, tal como decía anteriormente, representa un régimen sancionador absolutamente blando en comparación con el que se prevé para el sector privado, lo que da a entender una suerte de blindaje de la clase política (no en vano esta ocupa, como altos cargos o asimilados, la condición de responsables del tratamiento en las Administraciones Públicas y en las entidades de su sector público) frente al más que evidente endurecimiento del régimen sancionador que, con carácter general, impuso el RGPD.

Lo que la LOPDGDD enuncia elípticamente como el “régimen aplicable a determinadas categorías de responsables o encargados del tratamiento”, locución que esconde denominar a las cosas por su nombre (esto es, exceptuar o singularizar mediante una “rebaja” la aplicación del  régimen sancionador para los responsables y encargados de la Administración Pública y de sus entidades del sector público (salvo empresas públicas), se recoge en el importante artículo 77 LOPDGDD (Ver Cuadro adjunto en el Anexo).

Por lo que ahora importa, las novedades más destacables de esa regulación (que en buena medida sigue los pasos, con algunas variaciones, de la recogida en el derogado artículo 46 de la LOPD 15/1999) son importantes, pero más en sus aspectos formales que materiales. En efecto, se ha implantado de nuevo un régimen light en materia de régimen sancionador aplicable al sector público (aunque el contexto normativo es radicalmente distinto, muy exigente para el resto y blando para el sector público). Como ya se indicaba más arriba, nada hubiese impedido, sin embargo, aplicar un régimen de sanciones singular o específico a los responsables o encargados del tratamiento (en cuanto personas físicas que desempeñan un cargo o responsabilidad de carácter público), así como al personal al servicio de las Administraciones Públicas, tipificando las sanciones que se pueden imponer en ese caso, que bien podrían ser individualizadas (al menos para los responsables y encargados), tal como se ha hecho en la normativa de transparencia que han aprobado diferentes Comunidades Autónomas. No deja de ser paradójico que, cuando está en juego un derecho fundamental como es la protección de datos personales, se persiga con menos intensidad que cuando se trata de un derecho de configuración legal (al menos de momento) como es el de derecho de acceso a la información pública o de la propia transparencia.

Este régimen blando en materia sancionadora se caracteriza por los siguientes elementos:

• • El ámbito de aplicación de ese régimen excepcional o singular se extiende a todas las Administraciones Públicas, organismos públicos, fundaciones y consorcios, así como (blindaje político puro) a los grupos parlamentarios y a los grupos políticos locales. Pero no, adviértase, a las sociedades mercantiles vinculadas a la Administración matriz, a las que se les aplicaría el régimen general de sanciones del RGPD y de la LOPDGDD.
  • Si el responsable o encargado cometieran alguna infracción sería sancionado con apercibimiento y adopción, en su caso, de las medidas pertinentes. La notificación se trasladará también a los interesados.
  • La autoridad de control “propondrá” (atentos a la fórmula verbal) también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello, que se tramitarán según la normativa sancionadora aplicable.
  • En cualquier caso, si la infracción es imputable a una autoridad o directivo, y se acredita que se apartaron de los informes técnicos o recomendaciones sobre el tratamiento (la figura del DPD, emerge), “en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará su publicación en el Boletín Oficial del Estado o autonómico que corresponda”. Nada se dice de publicarlo también como exigencia de publicidad activa en el Portal de Transparencia o en la página Web de la entidad pública a la que pertenezca, en su caso, el responsable o encargado del tratamiento.
  • Asimismo, se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones (las de carácter disciplinario o sancionador y cualesquiera otras) a que se refieran los apartados anteriores.
  • También se deben comunicar al Defensor del Pueblo e instituciones autonómicas análogas las actuaciones realizadas y las resoluciones dictadas al amparo de lo previsto en el artículo 77 LOPDGDD
  • Si la autoridad competente para imponer la sanción es la Agencia Española de Protección de Datos, se procederá a publicar la resolución referida en el artículo 77.1 LOPDGDD, “con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Si la competencia es de la autoridad autonómica de protección de datos, se estará en cuanto a publicidad a lo que disponga su normativa específica. Aplazamiento, por tanto, del tema, mientras no se aprueban las leyes autonómicas respectivas (de Cataluña y del País Vasco, así como, en su caso, de Andalucía), lo que a corto plazo no parece muy viable.

 

En fin, el régimen sancionador que se ha impuesto en la LOPDGDD para las Administraciones Públicas y entidades del sector público (salvo por lo que respecta a las empresas públicas) es sencillamente poco incisivo para garantizar de estas el estricto cumplimiento de las exigencias normativas. Se podría haber sido mucho más creativo.

No se trata de multar a las organizaciones públicas (algo complejo de defender en un sistema de Hacienda Pública), sino de depurar responsabilidades individuales, también de los responsables, cuando no de los encargados del tratamiento (¿por qué estos cuando trabajan para el sector público, piénsese en una contratación pública, tienen ese régimen tan blando?). Da la impresión de que será más fácil incoar expedientes sancionadores a los funcionarios o empleados públicos por incumplimiento de sus obligaciones (acudiendo al procedimiento disciplinario general) que a los propios responsables (por lo común, cuyos titulares son cargos de designación política), pues en estos últimos no hay procedimiento sancionador previsto en lo que afecta a tipificación de infracciones ni tampoco a la determinación de sanciones.

La única medida de disuasión, como decíamos, es la publicidad del responsable que haya cometido la infracción, pero que solo es personalizada de momento en aquellos procedimientos que incoe la Agencia Española de Protección de Datos. De todos modos, sorprende sobremanera las enormes exigencias que en esta materia tienen que cumplir las organizaciones del sector privado y el relajo con el que el legislador ha regulado los incumplimientos, por muy graves que sean (que lo pueden ser), de tales exigencias en el sector público (apercibimiento). Una situación completamente desigual que no es sostenible en el tiempo si se quiere una plena aplicación efectiva del nuevo marco normativo y del cambio de paradigma que implica.

El problema fundamental radica en que si lo que pretende el binomio normativo RGPD/LOPDGDD es proteger en plena era de revolución tecnológica de forma mucho más intensa los derechos fundamentales de los ciudadanos mediante un sistema de gestión (tratamiento) de los datos personales exigente (“la zanahoria”), parece obvio –tal como fue diseñado el RGPD- que ello difícilmente se conseguirá “sin los estímulos” que implica que quien incumpla gravemente las previsiones recogidas en tal normativa “saldrá de rositas” y el “castigo divino” (que fustiga a la empresas, pero se ablanda hasta lo inusitado en el ámbito público) se limitará a un apercibimiento a la institución y a la publicación del órgano que ha incumplido o, todo lo más, a la difusión del nombre de su titular.

Paños calientes que, más tarde o más temprano, nos advertirán que no se puede dejar la aplicación de una normativa tan importante a la buena voluntad de quien la debe poner en marcha, pues en el ámbito público (salvo excepciones muy singulares) hay todavía muy poca percepción de que “la zanahoria” (los derechos reforzados de la ciudadanía en materia de tratamientos de datos personales) deben ser especialmente protegidos con un nuevo modelo de gestión de protección de datos. Con un régimen sancionador inspirado en el plumero más que en el palo, toda esa protección se deja a la buena voluntad de los responsables y encargados que operan en el ámbito público. Hasta que algo grave ocurra. Que un día u otro sucederá. Entonces nos daremos cuenta de que no se puede establecer un régimen asimétrico de responsabilidades privadas y públicas en materia de protección de datos personales. Pues los datos no conocen del origen de quien los trata. Son neutros en ese aspecto, son de las personas. O, al menos, así deberían ser.

(*) Esta entrada recoge algunos fragmentos del libro que en las próximas semanas publicará el Instituto Vasco de Administración Pública titulado Introducción al nuevo marco normativo de la protección de datos personales: su aplicación al sector público (Oñati, 2018). Su edición swerá solo en papel o en formato PDF para libro electrónico.

ANEXO: ARTÍCULO 77 LOPDGDD

Teniendo en cuenta la importancia que tiene ese artículo 77 LOPDGDD para las Administraciones Públicas y entidades de su sector público, consideramos oportuno por su innegable importancia en su aplicación al sector público reproducirlo en estas páginas:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

1. a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
2. b) Los órganos jurisdiccionales.
3. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
4. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
5. e) Las autoridades administrativas independientes.
6. f) El Banco de España.
7. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
8. h) Las fundaciones del sector público.
9. i) Las Universidades Públicas.
10. j) Los consorcios.
11. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
12. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.”