protección de datos « SigmaCorporate

Articles Tagged with: protección de datos

El misterio de la Directora inexistente.

Saltó la sorpresa. O más bien la Directora. Porque ayer podíamos leer en un diario digital la extraordinaria noticia de que la Directora de la Agencia de Protección de Datos no existe. Y cómo puede ser eso, se preguntarán algunos. Porque en la página de la Agencia, concretamente dentro de la pestaña de organigrama, hay otra destinada a la Directora, en la que figura como tal Mar España Martí, describiéndose su currículum y sus funciones.

Lo sorprendente es que nadie dentro del organismo parece haber caído en la cuenta de que el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, en su disposición adicional única, dispone que quedan suprimidos los siguientes órganos directivos:

El Director de la Agencia Española de Protección de Datos.
El Registro General de Protección de Datos.
La Inspección de Datos.

Pues si bien del Registro y la Inspección no quedan rastros, lo cierto es que al frente de la Agencia sigue figurando la Directora General de la misma, sin que nadie pueda explicar en derecho cuál es la base legitimadora que le permite hacerlo.

Desde luego no será el Estatuto actual de la Agencia, que no contempla dicha figura, atribuyendo la dirección a la Presidencia de la Agencia Española de Protección de Datos, designada de conformidad con el procedimiento establecido en el artículo 48 de la Ley Orgánica 3/2018 de Protección de Datos.

Tampoco el Estatuto anterior conforme al cual fue nombrada, aprobado por Real Decreto 428/1993, qué queda derogado expresamente por la disposición derogatoria única del Real Decreto 389/2021.

La situación ha quedado al descubierto merced al dictamen jurídico elaborado por Javier Borrego, exmagistrado del Tribunal Supremo y del Tribunal Europeo de Derechos Humanos, actualmente abogado en el despacho Durán & Durán, que lo ha aportado en un procedimiento contencioso administrativo contra la Agencia Española de Protección de Datos en la Audiencia Nacional. Según el dictamen citado, la alto cargo que ratificó las sanciones impugnadas en calidad de «directora de la AEPD» no tiene facultades legales para desempeñar ninguna función ni aprobar ninguna resolución o sanción administrativa desde junio de 2021.

Y no podemos estar más de acuerdo con la postura, dado que la anomalía de que se estén dictando resoluciones sancionadoras en materia de derecho fundamentales, firmadas por una persona titular de un órgano administrativo inexistente, choca frontalmente con los principios de legalidad, competencia, interdicción de la arbitrariedad de los poderes públicos y cualquier otro principio básico de procedimiento administrativo que se nos venga a la cabeza.

No hablamos de un cargo público cuyo plazo de nombramiento está excedido y se encuentra en situación de interinidad o en funciones. Ni de una reestructuración administrativa, en la que se cambian la denominación y estructura del órgano, pues no hay ninguna disposición en ese sentido. Tampoco hay ninguna disposición transitoria que atribuya las competencias de la Presidencia de la AEPD, detalladas en el nuevo Estatuto, a la antigua Dirección.

La doctrina del órgano administrativo distingue entre:

El “órgano institución”, como conjunto de atribuciones o competencias.
El “órgano físico”, como persona llamada a ejercer dichas competencias.

Pues aquí nos encontramos con un “órgano institución” suprimido, conforme a derecho, cuyo titular físico ha decidido, por su cuenta y riesgo, seguir ejerciendo las competencias al margen de cualquier habilitación legal.

Porque si la “titular” del cargo actuara y firmara en calidad de Presidenta de la AEPD, órgano contemplado en la norma vigente, podríamos discutir si el nombramiento es legítimo o no, pero al menos habría una apariencia de legitimidad. Pero dado que esa “titular” ni siquiera pretende actuar en desempeño de las competencias de un órgano legítimo, sino de uno inexistente, es imposible otorgar cualquier legitimidad a sus actos.

La consecuencia, como señala el dictamen, es que todas las resoluciones y sanciones dictadas en los últimos tres años por la AEPD son «nulas de pleno derecho» y podrían ser recurridas. Y por supuesto la totalidad de las que se dicten mientras se continue en esta situación de “limbo jurídico”.

Las multas de la AEPD suman casi 80 millones de euros tan solo en los últimos tres años, según las memorias anuales de la propia Agencia. Estaremos atentos a ver qué sucede con ellas, así como con la totalidad de resoluciones que firme la “Directora” de la AEPD a partir de ahora.

La Sociedad de la Información y su regulación: dos velocidades distintas.

Un vistazo al “top ten” de empresas mundiales en 2016 pone de relieve un hecho que todavía muchos no alcanzan a comprender: la Sociedad de la Información, se ha impuesto definitivamente. Si en 2006 el ranking estaba copado por las grandes empresas energéticas y corporaciones financieras, dejando apenas algún hueco para el sector tecnológico, hoy todas ellas han retrocedido posiciones, desapareciendo en su mayoría del ranking, que encabezan Apple, Alphabet (Google) y Microsoft. A quien, hace solo diez años, hubiera afirmado que el “libro de caras” creado por un estudiante de Harvard superaría en capitalización bursátil a Shell, General Electric o Citigroup, le hubieran tildado de loco.

Las implicaciones son enormes: asistimos al triunfo definitivo de conceptos como computación “en la nube”, comercio electrónico, “big data”, minería de datos, etc., y otros que acabarán popularizándose, como la intermediación en el tráfico web. Conceptos todos ellos con una repercusión directa en los derechos fundamentales de las personas y en las relaciones sociales y económicas.

Pues bien, mientras la realidad circula a velocidad de vértigo, la regulación trata de alcanzarla al paso de una carreta de bueyes. Hace pocas semanas, escuchaba a un miembro de un organismo financiero público reconocer, en un acto de sinceridad, que no entendía los bitcoin. Lo que no es de extrañar, habida cuenta de la obsolescencia de nuestra regulación tecnológica. No olvidemos que la base de la misma es la LOPD, que va camino de cumplir 20 años y todavía contempla “dinosaurios” como someter las transferencias internacionales de datos a autorización administrativa previa. Sin olvidar las múltiples lagunas normativas existentes, que son el campo abonado para que los estafadores y demás delincuentes cibernéticos operen a sus anchas en el mundo digital.

El Reglamento Europeo de Protección de Datos, publicado en mayo pasado, pretende introducir un nuevo marco regulatorio que unifique y modernice la normativa europea sobre protección de datos, permitiendo a los ciudadanos mayor control de sus datos y a las empresas un mercado único digital. Para conseguirlo se ha dado una “vacatio legis” de dos años, largo me lo fiais, comenzando a aplicarse a partir de mayo de 2018. Mientras, los estados deberán adaptar su normativa para hacer posible su aplicación.

Sin entrar en un juicio crítico del Reglamento, y reconociendo aspectos muy positivos del mismo, suscitan enormes dudas su aplicabilidad en aspectos como el consentimiento o las evaluaciones de impacto, además de la gran cantidad de cuestiones que deja en el aire y que tienen completamente despistados a los operadores jurídicos que, hasta el necesario desarrollo por la normativa de los distintos estados, no saben realmente cuál es el modelo de protección de datos que estará vigente a partir de 2018.

Quedan casi dos años para que sea de aplicación, pero comienza a ser motivo de preocupación la incertidumbre jurídica que rodea a un aspecto tan esencial como la información y la privacidad. La complejidad del mundo digital, derivada fundamentalmente del volumen del tráfico de datos y la interconexión global, dificulta enormemente la tarea de abordar su regulación, pero eso no es óbice para que, al menos, nos lo propongamos. Para ello habría que preguntarse, entre otras muchas cuestiones, si se puede afrontar la empresa dotando a la Agencia Española de Protección de Datos de un presupuesto que no llega a los 15 millones de euros. Esperemos no tener que lamentarnos de abordar cuestiones tan importantes con tan magros recursos.