El duro régimen sancionador que se impuso por el RGPD fue atemperado en sus efectos por la LOPDGDD, cuando sus destinatarios son (entre otras entidades) Administraciones Públicas, organismos públicos dependientes de aquellas, consorcios o fundaciones públicas. El artículo 77 LOPGDD impuso, así, lo que he denominado en otro lugar como un régimen blando en materia sancionadora de protección de datos para las entidades del sector público. Pero no para todas, puesto que las sociedades públicas no se ven amparadas por tan generoso paraguas.

Es cierto que el RGPD, en su artículo 83.7, ya preveía que “cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”. Ese margen de configuración normativa ha sido utilizado por la LOPDGDD en los términos indicados.

El fundamento de ese régimen sancionador singular está en la imposibilidad material de imponer sanciones pecuniarias a entidades que dependen, directa o indirectamente, de la propia Hacienda Pública (no así a sus responsables, como ya hacen algunas leyes de transparencia), lo que podría ir en perjuicio de los propios ciudadanos. En todo caso, ese razonamiento se quiebra cuando se deja extramuros del propio régimen sancionador singular a las citadas sociedades mercantiles de capital público, pues al fin y a la postre, directa o indirectamente, un número importante de tales empresas dependen para su subsistencia de las inyecciones financieras de los diferentes presupuestos públicos. Y viven de ellas.

El artículo 77.1 LOPDGDD, siguiendo el esquema de la LOPD de 1999, establece que la única sanción aplicable a las entidades públicas que allí se citan es la de apercibimiento, aunque regule algunas otras consecuencias sancionadoras, más bien livianas, en materia de transparencia para aquellos responsables públicos de administraciones o entidades que incumplan la normativa en protección de datos. También permite teóricamente a la autoridad de control la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello, adoptando en este caso el régimen disciplinario “que resulte de aplicación” (¿qué régimen resulta de aplicación cuando los responsables del tratamiento son cargos públicos?).

Lo cierto es que la vulneración en materia de protección de datos personales tiene, en esas entidades del sector público, un régimen sancionador mucho más blando que el existente en el ámbito del sector privado, dando la impresión de que se ha impuesto en la LOPDGDD una suerte de aplicación efectiva de la protección de datos de carácter personal a dos velocidades: muy exigente (al menos en cuantías) para el sector privado y muy tibia o aparente para el sector público (como si la vulneración de ese marco normativa fuera leve en este caso y muy grave en el otro). Dicho de otro modo: los datos personales en el ámbito público son, al parecer, de “otra pasta” menos relevante, pues se pueden pisotear con mayor facilidad. Algo que podría tener consecuencias de otra índole que ahora no toca abordar.

La LOPDGDD coloca así, al menos en apariencia, a las sociedades mercantiles de capital público en una situación paralela al resto de sociedades privadas en lo que a aplicación del régimen sancionador respecta. Por tanto, cabría concluir que las sociedades públicas deberán tener un exquisito cuidado, similar al existente en el ámbito privado, en aquellos casos en que lleven a cabo un tratamiento de datos personales (pues el “mazo sancionador” puede recaer sobre sus cabezas), aplicando con rigor el binomio normativo RGPD-LOPDGDD. Y ello, en efecto, por un sencillo motivo: al quedar inicialmente extramuros del régimen sancionador singular establecido en el artículo 77 LOPDGDD, las posibles infracciones que cometan en materia de protección de datos personales podrían ser objeto de fortísimas sanciones pecuniarias en los términos establecidos en el RGPD y en la citada Ley Orgánica. Con lo cual, indirectamente, la afectación a la Hacienda Pública sería obvia, pues tales sanciones deberían cubrirse con los recursos de la respectiva empresa, pero en última instancia podrían revertir sobre el estado o saneamiento de las cuentas públicas de la Administración matriz a la que tal empresa estuviere adscrita.

Ni que decir tiene que ese modelo diseñado por la LOPDGDD para el sector público carece de un diseño coherente. Más aún si se observa que, en la sistemática de la Ley, ese tratamiento diferenciado excluyente de tales empresas públicas no se da en todos los casos. En efecto, si se analiza la disposición adicional primera de la LOPDGDD se observará con claridad que, en la aplicación de las medidas de seguridad del Esquema Nacional de Seguridad a los tratamientos de datos personales, la norma no solo se aplica a los responsables enumerados en el artículo 77, sino también se afirma que deberán “impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetos al Derecho privado”. En este caso, no se diferencian, por ejemplo, fundaciones y empresas públicas, algo que sí hace, paradójicamente, el artículo 77, dejando extramuros de su ámbito de aplicación a las sociedades mercantiles, pero integrando en su aplicación a las fundaciones. Paradojas.

Nadie duda, tampoco el legislador, de la pertenencia de las sociedades mercantiles de capital público al sector público dependiente de una Administración matriz. Asimismo, nadie duda de que tales empresas públicas son parte de ese sector público empresarial de la respectiva Administración Pública, que se nutre, en más ocasiones de las deseadas, de inyecciones presupuestarias directas o indirectas. Por tanto, lo que sea de su vida financiera, en este caso por la imposición de sanciones de cuantías potencialmente elevadísimas, no es un asunto baladí para el estado final de las cuentas públicas de la entidad de la que dependen.

Algo parece fallar, por tanto, en ese esquema diseñado por el legislador orgánico. Pero, realmente, el asunto puede comenzar a desdramatizarse sobre todo en aquellos casos en los que las empresas públicas, siempre que reúnan las exigencias establecidas en el artículo 32 de la Ley 8/2017, de 9 de noviembre, de contratos del sector público, tengan la condición de medios públicos personificados de una Administración matriz o de entidades dependientes o vinculadas de ésta.

En efecto, y aunque el tema requeriría un análisis que en esta breve entrada no puede hacerse, parece obvio que en tales casos las responsabilidades derivadas de un tratamiento de datos personales no se podrían hacer descansar exclusivamente sobre la empresa pública en aquellos casos en que la sociedad mercantil actúa a través de un encargo a medios propios personificados realizado por otra entidad, pues en tal supuesto esa sociedad mercantil tiene una condición vicarial o instrumental que se visualiza en aquellos casos en que los fines, objeto y condiciones, así como las instrucciones y mecanismos de supervisión del respectivo tratamiento se definan por la Administración matriz que lleva a cabo el citado encargo.

Esa posición de medio propio personificado de una sociedad mercantil de capital público no deja de ser, a nuestro juicio, un factor determinante a la hora de aplicar el régimen sancionador establecido en el RGPD-LOPDGDD, sobre todo en aquellos supuestos en los que se identifique la comisión de una determinada infracción como consecuencia de un tratamiento de datos personales que tenga su fuente en un encargo a medio propio personificado. Necesariamente se habrá de tener en cuenta en condición de qué actúa o interviene la citada sociedad (por un lado, si es responsable o encargado del tratamiento); pero al margen de todo ello, si la actuación de la mercantil deriva directamente del encargo a medio propio personificado parece obvio que la condición dominante será la de encargado del tratamiento y, en todo caso, se habrán de redirigir las responsabilidades sancionadoras (salvo que aquellas procedan exclusivamente de un incumplimiento del encargo o de las medidas técnicas y organizativas aplicadas en cada caso) a la entidad que ha definido los fines y determinado las instrucciones del tratamiento de datos personales y no a quien cumple un papel estrictamente vicarial o instrumental. No cabe olvidar en ningún caso que la composición de los órganos de gobierno de tales sociedades mercantiles de capital público está directamente condicionada por la representación política o directiva de la administración o administraciones que constituyeron aquellas. Por tanto, no deja de haber mucho de ficción en el planteamiento del legislador orgánico y en esa pretendida similitud entre sociedades mercantiles de capital privado o público.

En cualquier caso, todo lo anterior implica que se ha de tener un cuidado especial en la redacción de los encargos a medios propios personificados a la hora de prever el todos aquellos aspectos que se refieran a la protección de datos personales. Lo habitual, salvo excepciones singulares que puedan existir, es que quien encarga define los fines y objeto del tratamiento, mientras que quien es encargado está sujete a un “control análogo” al existente sobre los propios servicios y unidades de la Administración matriz. La condición de encargado del tratamiento puede asumirla un determinado órgano de la Administración (artículo 33.5 LOPDGDD), pero también cabe deducir que un medio propio personificado (artículo 32.2 LOPDGDD), con un régimen diferenciado en este caso al del sector privado. Por tanto, en ese supuesto, quien encarga adquiere habitualmente el rol de responsable del tratamiento, mientras quien ejecuta tal encargo, en los términos establecidos, debería responder por lo común a la condición de encargado del tratamiento. Una interpretación conjunta y ordenada del sistema jurídico así lo avalaría. En pura lógica, al menos en la dimensión sancionadora, no parece coherente que responda de un tratamiento de datos personales (menos en su dimensión sancionadora) quien no ha definido los fines u objeto del tratamiento. Otra cosa es, como antes se decía, que responda por no aplicar correctamente las medidas técnicas y organizativas o de seguridad imprescindibles para aplicar correctamente el RGPD y la LOPDGDD o, en su caso, incumplir el encargo realizado. Pero eso es otro problema.

En fin, esta interpretación esbozada en estas páginas no resuelve las contradicciones creadas por el legislador orgánico, pero al menos las atenúa. Bien es cierto que las empresas públicas que no actúen en cada caso puntual como medios propios personificados de otras Administraciones no podrán acogerse a este posible “salvavidas”. Y los problemas irán apareciendo conforme la aplicación del régimen sancionador previsto en el RGPD por parte de la autoridad de control competente vaya focalizando su atención también sobre el sector público y, más concretamente, sobre las empresas públicas. Entonces se tomará conciencia, tal vez, de la dimensión del nudo creado por la normativa hoy en día vigente, así como se irán alumbrando posibles soluciones.