Algunas cuestiones polémicas acerca de la legitimación activa de la Agencia Española de Protección de Datos para demandar en juicio a las autoridades autonómicas de control

La protección de datos de carácter personal en el seno del proceso contencioso-administrativo, normalmente, viene de la mano de las pretensiones que el sancionado administrativamente por la autoridad de control (la AEPD, las Agencias Autonómicas de Control o el CGPJ) puede ejercitar ante los tribunales contencioso-administrativos de la Jurisdicción. Lo excepcional, aunque no inverosímil, es que la propia AEPD pueda reclamar la protección de los derechos fundamentales en la vía judicial ordinaria; y, una vez agotada esta, pueda solicitar amparo ante el Tribunal Constitucional. Este artículo, estudia, precisamente, el fundamento de este tipo de legitimación activa y si es o no viable, en atención a lo dispuesto en nuestro ordenamiento jurídico.

Raquel Bonachera Villegas es Profesora Titular de Universidad de la Universidad de Almería

El artículo se publicó en el número 52 de la Revista General de Derecho Procesal (Iustel, septiembre de 2020)

1. LAS AUTORIDADES DE CONTROL ESPAÑOLAS (1)

Aunque las autoridades de control no son instituciones nuevas, pues ya se recogían con mayor o menor profundidad en las distintas legislaciones de los Estados miembros de la Unión Europea(2), el Reglamento (UE) 2016/679, del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (RGPD), ha querido darle un tratamiento específico en su Capítulo VI (arts. 51 a 59 ). En concreto, el artículo 51, respecto de estas autoridades, señala que:

“1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.

3. Cuando haya varias autoridades de control en un Estado miembro, éste designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63 (...)”.

Podríamos decir que el objetivo principal de estas Autoridades de control es la protección del conjunto de derechos reconocidos por el RGPD, y además dispensar una protección frente a potenciales agresiones de forma coherente, puesto que el RGPD permite la coexistencia de varias autoridades de control en un mismo Estado. Y es que, el RGPD recoge un nuevo enfoque en el tratamiento transfronterizo de datos, conducente a permitir que un mismo responsable del tratamiento quede sometido a diversas autoridades de control (modelo de ventanilla única), supuesto este que pivota sobre el procedimiento de cooperación del artículo 60 y del mecanismo de coherencia del artículo 63 (3).

Nuestro Estado, en atención a las potestades que pueden asumir las Comunidades Autónomas, no solo cuenta con una autoridad de control a nivel nacional, la Agencia Española de Protección de Datos (AEPD), sino que también se prevé la creación de agencias autonómicas de control, que ejercerán las funciones y potestades contenidas en los artículos 57 y 58 del RGPD, de acuerdo con la legislación autonómica(4), cuando se refiera a una serie de tratamientos de datos (arts. 57 a 59 LOPDGDD).

Correspondiendo a la AEPD, autoridad nacional de control, lograr la citada coherencia. Por ello, debe informar a las autoridades autonómicas de protección de datos, acerca de la decisiones adoptadas por el Comité Europeo de Protección de Datos, y recabar su parecer cuando se trate de materias de sus competencias (art. 56.2 LOPDGDD). Además, le corresponde a la Presidencia de la AEPD, la facultad de convocar a las autoridades autonómicas para contribuir a la aplicación coherente del RGPD y de la LOPDGDD, estableciéndose a tal fin, la obligación de celebrar reuniones semestrales de cooperación(5). Por otra parte, las autoridades autonómicas de control contarán con representación en el Consejo Consultivo de la AEPD [art. 49.1, e) LOPDGDD].

En la actualidad en España, sólo contamos con tres autoridades autonómicas de control(6): la Autoridad Catalana de Protección de Datos (APDCAT)(7), la Agencia Vasca de Protección de Datos (AVPD)(8); y, el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA)(9). Ello obliga a precisar la relación que existe entre estas autoridades de control y la AEPD.

En principio, hemos de tener presente que, propiamente, no existe una relación de jerarquía entre la AEPD y las agencias o autoridades autonómicas de control, sino que todas ellas actúan en virtud del principio de competencia, según el cual, a cada autoridad de control le corresponderá en exclusiva el ejercicio de sus funciones y poderes respecto de los tratamientos de datos de su ámbito de actuación(10). Si bien es cierto que ha de tenerse en cuenta lo dispuesto en el artículo 149.1.1º de la Constitución, en el que se señala que:

“El Estado tiene competencia exclusiva sobre las siguientes materias:

1ª. La regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales”.

Este artículo consagra, pues, la igualdad de todos los españoles como elemento teleológico o finalista del título competencial del Estado(11). Competencia exclusiva del Estado que no sólo se proyecta sobre la potestad legislativa, sino también sobre la potestad ejecutiva. Y, en este sentido, se ha pronunciado la Sentencia del Tribunal Constitucional de 30 de noviembre de 2000, en donde se discutió si los artículos 24 , 31 , 39 y 40.1 y 2 y la Disposición final tercera de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento de los Datos de Carácter Personal (LORTAD) eran inconstitucionales por vulnerar el orden constitucional de reparto de competencias, al atribuir al Estado competencias exclusivas en la ejecución de dicha Ley Orgánica sobre los ficheros de datos de titularidad privada y aquellos otros creados por la Administración Local, reservando a las Comunidades Autónomas únicamente las pertinentes respecto de los ficheros de su propia Administración(12).

Pues bien, el Tribunal Constitucional es meridianamente claro, al señalar que:

“Si se proyectan estas consideraciones sobre el conflicto competencial subyacente al presente proceso cabe estimar, en primer lugar que cuando la LORTAD establece límites al uso de la informática en cumplimiento del mandato del art. 18.4 CE, tales límites han de ser los mismos en todo el territorio nacional ex art. 81 CE. Pues si los derechos fundamentales y las libertades públicas que nuestra Constitución reconoce son fundamento del orden público (art. 10.1 CE) y, por lo tanto, constituyen el estatuto jurídico básico de los ciudadanos, sólo mediante esa proyección general es posible garantizar la protección de los derechos a que se refiere el art. 18.4 CE, con independencia de que tales límites a la informática también contribuyen a la salvaguardia del específico derecho fundamental a la protección de datos personales.

De igual modo, es significativo que el constituyente haya querido introducir mediante la cláusula del art. 149.1.1 CE la garantía de los derechos fundamentales en el pórtico del reparto competencial y, a este fin, que haya apoderado al Estado para asegurar su respecto en todo el territorio nacional mediante el establecimiento de aquellas condiciones básicas que hagan posible que el disfrute de tales derechos sea igual para todos los españoles.

Imponiendo así un límite a las potestades de las Comunidades Autónomas en aquellas materias donde éstas ostente un título competencial. Y si bien, el alcance del artículo 149.1.1 CE es esencialmente normativo, como hemos dicho en la reciente STC 208/1999, de 15 de noviembre, por referirse a la regulación de esas condiciones básicas, cabe observar, sin embargo, que ninguna calificación adicional se ha agregado por el constituyente respecto a la naturaleza de tales condiciones que pueda restringir su alcance.

De lo que se desprende, en definitiva que junto a la normación como aspecto esencial del art. 149.1.1 CE las regulaciones dictadas al amparo de este precepto también pueden contener, cuando sea imprescindible para garantizar la eficacia del derecho fundamental o la igualdad de todos los españoles para su disfrute, una dimensión institucional (...)” .

De ello, colige el Tribunal Constitucional que las garantías de los derechos reconocidos en el artículo 18.4 de la Constitución facultan a la AEPD para ejercer sus funciones en todo el territorio nacional, sean quienes sean los responsables de tales ficheros, pues la actuación de la AEPD está orientada a lograr la igualdad de todos los españoles en el disfrute de sus derechos y no a invadir el ámbito competencial de las Comunidades Autónomas(13).

2. FUNCIONES DE LAS AUTORIDADES AUTONÓMICAS DE CONTROL

En coherencia con lo señalado anteriormente, de crear autoridades de control autonómicas, el artículo 57 LOPDGDD dispone que las autoridades autonómicas de control podrán ejercer las funciones establecidas en los artículos 57 y 58 del RGPD, de acuerdo con la respectiva normativa autónoma; y ello, cuando se refieran a:

1. El tratamiento de datos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.

2. El tratamiento de datos llevados a cabo por persona física o jurídica para el ejercicio de las funciones públicas en materia que sean competencia de la correspondiente Administración Autónoma o Local.

3. El tratamiento que se encuentre expresamente previsto, en su caso, en los respectivos Estatutos de Autonomía.

Así, por ejemplo, el Estatuto de Autonomía para Andalucía, no sólo atribuye al CTPDA competencia para conocer del tratamiento de datos enumerados en el artículo 57 , dado que también le atribuye competencia para conocer del tratamiento de datos de los que sean responsables las universidades integradas en el Sistema Universitario Andaluz.

Las autoridades de control en virtud de lo dispuesto en el artículo 57 del RGPD, entre otras funciones, podrán: controlar la aplicación del RGPD, promover la sensibilización del público, asesorar al Parlamento, al Gobierno y otras instituciones y organismos sobre la medidas legislativas o administrativa relativas a la protección de los derechos y libertades de las personas respecto al tratamiento de datos, facilitar información a los interesados, promover la sensibilización de los responsables y encargados del tratamiento acerca de sus obligaciones, y podrán resolver las reclamaciones presentadas por los interesados, etc.

Para el correcto desenvolvimiento de estas funciones, las autoridades de control dispondrán de una serie de poderes (art. 58 RGPD), como es el poder de investigación o la potestad sancionadora. Además, tanto la AEPD, como las autoridades autonómicas, en virtud de lo dispuesto por nuestra Ley Orgánica, podrán dictar, en relación con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos por la AEPD.

Lo cierto es que, de la atenta lectura de los dispuesto en los Considerandos 10º, 117º y 129º en relación con lo dispuesto en los artículos 57 y 58 del RGPD, podríamos decir que tanto las funciones como las potestades de las autoridades autonómicas de control son las mismas que las que desarrolla la AEPD en su respectivo ámbito de actuación.

Y con respecto a la configuración legal de estas funciones, ni el Estado ni las Comunidades Autonómas podrán limitarlas por vía legislativa. De tal forma, que una vez que el legislador autonómico, dentro de su ámbito competencial, decide libremente crear una autoridad o agencias autonómicas de control, no es libre para reducir el elenco de sus funciones y poderes, pues estos han sido atribuidos directamente por el legislador europeo, toda vez, que el RGPD es de aplicación directa y no admite reducción de las funciones que las autoridades de control deben desarrollar, sean estas de carácter estatal o autonómico, aunque sí que permite la ampliación del elenco de funciones por medio de una ley(14).

3. LA LEGITIMACIÓN DE LA AEPD PARA DEMANDAR EN JUICIO A LAS AUTORIDADES AUTONÓMICAS DE CONTROL

Uno de los preceptos que más extrañeza puede ocasionar de la LOPDGDD es el artículo 59 , según el cual:

“Cuando la Presidencia de la Agencia Española de Protección de Datos considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonómicas de protección de datos vulnera el Reglamento (UE) 2016/679 podrá requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesación.

Si la autoridad autonómica no atendiere en plazo el requerimiento o las medidas adoptadas no supusiesen la cesación en el tratamiento ilícito, la Agencia Española de Protección de Datos podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa”.

Tanto es así, que fue unos de los preceptos del Proyecto de Ley de 18 de abril de 2018, respecto del cual, varios grupos parlamentarios presentaron diversas enmiendas de modificación y/o de supresión(15). En este sentido, la más significativa fue la enmienda presentada por el Grupo Parlamentario Vasco, que propuso su supresión con base a que la previsión recogida en este precepto no venía contemplada en el Reglamento Europeo; al tiempo, que el precepto instaura un control sobre las Comunidades Autónomas que no respeta la compatibilidad entre la autonomía reconocida a las Comunidades Autónomas y los controles que el legislador atribuye al Estado sobre la actividad de aquéllas.

Por ello, entendemos que es necesario indagar sobre su fundamento, y las posibles observaciones que se pueden plantear a la regulación de esta facultad.

Por lo que refiere a su fundamento, a nuestro juicio, son tres los argumentos que interconectados entre sí pueden fundamentar la legitimación de la AEPD para demandar en juicio a las autoridades autonómicas de control.

En primer lugar, la aplicación del artículo 58.5 del RGPD, que impone a los Estados miembros la obligación de regular por Ley, la facultad de sus autoridades de control de poner en conocimiento de la autoridad judicial las infracciones del Reglamento europeo; y, si procede, tal facultad comprende, valga la redundancia, la facultad de iniciar o ejercitar acciones judiciales con el fin de cumplir lo dispuesto en el mismo.

En segundo lugar, esta legitimación se fundamenta en el hecho de que la garantía de los derechos fundamentales y, entre ellos, el reconocido en el artículo 18.4 de la CE, faculta a la AEPD para ejercer sus funciones en todo el territorio nacional con homogeneidad, sean quienes sean los responsables de tales ficheros, pues la actuación de la AEPD está orientada a lograr la igualdad de todos los españoles en el disfrute de sus derechos(16). Por lo tanto, en aquellos supuestos en los que la AEPD crea que una autoridad autonómica no está aplicando medidas que permiten una garantía igual al dispensado por otra autoridad autonómicas o la propia AEPD, podrá realizar requerimientos para que aquella adopte la medidas necesarias para que cese la violación del RGPD; y, en su caso, ante el incumplimiento de este requerimiento, o la insuficiencia de las medidas adoptadas, permitiría a la AEPD acudir ante los tribunales contencioso-administrativos de la Jurisdicción.

Y, en tercer y último término, se puede fundamentar en el principio de responsabilidad del Estado por incumplimiento del Derecho de la Unión Europea por la acciones u omisiones imputables a las Comunidades Autónomas (art. 4 TUE)(17). Así pues, esta previsión puede entenderse como un mecanismo de prevención que garantiza el cumplimiento del Derecho de la Unión Europea en materia de protección de datos de carácter personal por las agencias autonómicas(18).

Constatada la posible fundamentación de la facultad de la AEPD consagrada en el artículo 59 de la LOPDGDD, tenemos que reprobar la omisión en la Ley de Protección de Datos, de toda referencia al tipo de acción que puede ejercitar la AEPD ante los tribunales contencioso-administrativos, así como al cauce procedimental que puede utilizar para hacer efectivo el contenido del artículo 59 . Omisión ésta, que habrá de integrarse por lo dispuesto con carácter general en la LJCA.

Podría sostenerse que las acciones que la AEPD puede ejercitar frente a las autoridades de control autonómicas encuentran acomodo en el artículo 32 de la LJCA, toda vez que dicho precepto señala que: cuando el recurso se dirija contra la inactividad de la Administración pública-, en este caso la autoridad autonómica de control- conforme a lo dispuesto en el artículo 29 , el demandante-, en este caso la AEPD- podrá pretender del órgano jurisdiccional que condene a la Administración al cumplimiento de sus obligaciones en los concretos términos en que estén establecidos. Así pues, una vez que requerida la autoridad autonómica de control haya transcurrido el plazo de un mes sin que se haya atendido al requerimiento formulado por la AEPD, esta podrá solicitar de los tribunales contencioso-administrativos la condena de la misma al cumplimiento de sus obligaciones.

Si bien, tal solución tropieza con el tenor literal del artículo 29 , dado que este precepto parece que limita extraordinariamente la actividad material cuya realización podría dar lugar a una pretensión procesal, a aquella que puede dar lugar a una prestación concreta a favor de una o varias personas, con lo que parece aludir a los supuestos de actividad prestacional de las Administraciones Públicas(19).

Sin embargo, haciéndonos hueco de las voces más autorizadas de la doctrina administrativista(20), hemos de superar esta interpretación restrictiva, entendiendo que el artículo 29.1 de la LJCA, no comprende ni mucho menos todos los supuestos de inactividad material de la Administración que podrían dar lugar a un proceso contencioso-administrativo. Como, tampoco, cabe a nuestro juicio, concluir que este precepto marque también la legitimación para accionar en los supuestos de inactividad administrativa, pues aun cuando del artículo 29.1 parece desprenderse que no es suficiente con ser titular de un interés legítimo, sino que es preciso ostentar un derecho(21), tal interpretación sería cuanto menos restrictiva de las garantías jurisdiccionales consagradas en el artículo 24 de la CE, por vía del reconocimiento que la propia LJCA hace de la legitimación activa para demandar en vía judicial contencioso-administrativa no sólo a las persanas físicas o jurídicas que obstenten un derecho subjetivo sino también a las que obstenten un interés legítimo.

Así pues, aunque el supuesto de inactividad material por parte de las autoridades de control autónomicas no es propiamente un supuesto de actividad prestacional de las Administraciones públicas; y, aunque la AEPD no obstenta un derecho subjetivo que la legitime para demandar en juicio aquellas al cumplimiento de sus obligaciones, hemos de reconocer que podrá actuar como parte activa en el proceso contencioso-administrativo. Y, ello, porque el RGPD impone a las autoridades de control una actividad general, consistente en velar por los derechos contemplados en su artículado, deber que cuando se incumple por parte de una autoridad de control autonómica, podrá ser objeto de un proceso contencioso-administrativo instado a instancia de la AEPD (ex art. 59 LOPDGDD).

Podríamos concluir, pues, que el artículo 59 de la LOPDGDD ha venido a ampliar la legitimación activa para pretender la condena de las autoridades autonómicas al cumplimiento de sus funciones(22).

Pretensión esta, que entendemos deducible por los trámites del procedimiento ordinario, y no por las cauces del procedimiento especial de tutela de los derechos fundamentales de la persona (ex. arts. 114 a 122 LJCA). Y ello, se deduce de lo dispuesto en el artículo 19 de la LJCA en relación con el artículo 161.1, b) de la CE, que al regular la legitimación activa para instar el procedimiento especial, indica que se encuentran legitimados activamente para iniciar tal procedimiento los sujetos de derecho que sean titulares de un interés legítimo respecto de la actuación administrativa impugnada lesiva del derecho fundamental; y, junto aquellos el Ministerio Fiscal y Defensor del Pueblo(23).

No podemos concluir el estudio de este apartado sin hacer ver que la previsión contenida en el artículo 59 de la LOPDGDD se debería haber complementado con alguna modificación de la LJCA en este sentido, por vía de la Disposición final sexta de la LOPDGDD.

4. LA LEGITIMACIÓN ACTIVA DE LA AEPD PARA ACUDIR EN AMPARO ANTE EL TC

De acuerdo con lo dispuesto en el artículo 162. 2, b) de la CE: “están legitimados para interponer el recurso de amparo, toda persona natural o jurídica que invoque un interés legítimo, así como el Defensor del Pueblo y el Ministerio Fiscal”.

Regulación que se complementa con lo señalado en el artículo 46 de la LOTC(24), al señalar que: cuando la violación proceda del Legislativo, ostenta legitimación la persona directamente afectada, el Defensor del Pueblo y el Ministerio Fiscal, mientra que cuando la violación proceda del Gobierno, de sus agentes, o del Poder Judicial, la ostenta quienes hayan sido parte en el proceso judicial correspondiente, el Defensor del Pueblo y el Ministerio Fiscal.

De la aplicación conjunta de ambos preceptos cabe plantearse la duda de si la AEPD ostenta legitimación para acudir en amparo ante el Tribunal Constitucional, una vez agotada la vía judicial ordinaria. A nuestro juicio, y sin pretender agotar el estudio de esta materia, la respuesta a esta cuestión depende directamente de la naturaleza del derecho fundamental que se invoque como lesionado.

Si se invoca la vulneración del derecho a la protección de datos de carácter personal (art. 18.4 CE)(25), o de cualquier otro derecho fundamental de naturaleza sustantiva directamente relacionado con aquél, debemos entender que no ostenta legitimación activa, porque se ha de entender que la titularidad de estos derechos le corresponde al ciudadano, que podrá ejercitarlos por sí mismo, o a través de representante, contra las personas físicas o jurídicas privadas o públicas que los vulneren (art. 12 LOPDGDD). Y es que, la AEPD no podrá pretender el restablecimiento de estos derechos frente a otros poderes públicos, correspondiendo a las personas físicas la legitimación activa para acudir en amparo ante el Tribunal Constitucional una vez agotada la vía judicial previa(26).

Pero, si el derecho fundamental que se invoca tiene naturaleza procesal, por ejemplo, porque se invoca la violación del derecho fundamental a la tutela judicial efectiva (art. 24.1 CE), sí se ha de reconocerse legitimación a la AEPD. Y ello, porque esta puede ser parte del proceso contencioso-administrativo, dado que no puede imponer a las agencias autonómicas de control sus decisiones en caso del incumplimiento de sus requerimientos ex art. 59 de la LOPDGDD, debiendo recurrir a los tribunales contencioso-administrativos para lograr la efectividad de los derechos cuya protección tiene encomendada por la ley.

Precisamente, en este sentido, se pronunció el Auto del TC 20/2011, de 28 de febrero , al negar legitimación a la AEPD para pretender amparo constitucional de un derecho, como es el de protección de datos de carácter personal (art. 18.4 CE); derecho que le es ajeno, por cuanto que:

“este Tribunal ha admitido la disociación entre legitimación para recurrir en amparo y la titularidad del derecho fundamental, ya que el art. 162.1 b) CE reconoce legitimación a toda persona natural o jurídica que invoque un interés legítimo, entendiendo que tal interés concurre en toda persona cuyo círculo jurídico puede resultar afectado por la violación de un derecho fundamental, aunque dicha vulneración no se haya producido directamente en su contra (por todas, STC 52/2007, de 12 de marzo, FJ 3). Ahora bien, también este Tribunal ha reiterado que no puede calificarse de interés legitimador el que pueda tener los entes públicos para preservar derechos de terceros. Así, se ha afirmado que no es motivo suficiente para tener por legitimados a los Poderes Públicos para recurrir en amparo el que la Administración pública persiga con su actuar la mejor garantía de los derechos fundamentales de los ciudadanos, pues tal cosa constituye más bien una genérica obligación que pesa sobre la actividad de cualquier Poder Público que se no le atribuye ninguna especial representación legal de estas mismas personas cuyos derechos fundamentales supuestamente trata de defender o favorecer (ATC 310/2000, de 18 de diciembre, FJ único)”.

En atención a estas consideraciones, cuando la AEPD dicta resolución administrativa para resolver las controversias que surjan en relación al derecho de protección de datos entre particulares, ocupa una posición de un aplicador imparcial del Derecho, en el que no se pondera ningún interés público, lo que excluye la existencia de un interés que la legitime para acudir en amparo ante el Tribunal Constitucional(27).

Por el contrario, sí cabe reconocer a la AEPD legitimación activa para acudir en amparo ante el Tribunal Constitucional, cuando el derecho que se alega vulnerado es el derecho a la tutela judicial efectiva, porque la ratio de este derecho fundamental se encuentra en “la condición de parte en el proceso”, y no en la protección de los seres humanos o de los ciudadanos como el resto de derechos fundamentales(28). Y ello, porque es de común aceptación que el derecho a la tutela judicial efectiva es el correlativo lógico de la prohibición de la autodefensa privada y de la concentración de la función tuitiva de derechos en los órganos del poder judicial(29). Y este derecho ha sido reconocido con limitaciones a los entes públicos(30).

De ordinario, se acepta que cuando la Administración acude al proceso en defensa de los actos dictados en el ejercicio de sus potestades exorbitantes, no es titular del derecho a la tutela judicial en todas sus manifestaciones, sino que sólo es titular de algunos de los derechos que consagra el artículo 24 de la Constitución. En concreto, el Tribunal Constitucional ha señalado en estos casos que las personas jurídicas públicas son titulares del derecho de acceso al proceso (que comprende el derecho de acceso a la jurisdicción y el derecho de acceso al recurso) y del derecho a no padecer indefensión procesal, lo que conlleva que sean titulares de algunos derechos fundamentales que se derivan de las garantías procesales previstas en el artículo 24.2 de la Constitución.

Por el contrario, cuando las Administraciones Públicas acuden al proceso desprovistas de sus prerrogativas de poder público, esto es, cuando acude a los órganos judiciales como cualquier particular, son titulares del derecho a la tutela judicial efectiva consagrado en el artículo 24 de la Constitución en toda su extensión o con todas sus facetas(31).

Resultando obvio cuando la AEPD demanda a las autoridades de control autonómicas ante la Jurisdicción contencioso-administrativa no está actuando en una posición procesal de privilegio, -pues como ya se dijo anteriormente la relación que une a la AEPD y a las autoridades autonómicas de control no es una relación de jerarquía sino de competencia-, sino que actúa como cualquier otro particular, acudiendo a la jurisdicción demandando la condena de la autoridad de control autonómica al cumplimiento de las obligaciones consagradas en el RGPD. Así pues, resulta evidente que cualquier vulneración del derecho a la tutela judicial efectiva en el ejercicio de la acción consagrada en el artículo 59 podrá hacerse valer en amparo constitucional(32).

5. BIBLIOGRAFÍA

- BONACHERA VILLEGAS, R.: El control jurisdiccional de los reglamentos, Navarra, 2006.

- CABALLEIRA RIVERA, Mª. T.: “¿Gozan de derechos fundamentales las Administraciones Públicas?”, en RAP, Núm. 158, 2002.

- CIENFUEGOS MATEO, M.: “Comunidades Autónomas, Tribunales de la Unión Europea y responsabilidad por el incumplimiento autonómico del Derecho Comunitario. Reflexiones a partir de la práctica reciente”, en REAF, Núm. 5, 2017.

- CÓRDOBA CASTROVERDE, D. y DÍEZ-PICAZO GIMÉNEZ, I.: “Reflexiones sobre los retos de la protección de la privacidad en el entorno tecnológico”, en El derecho a la privacidad en un nuevo entorno tecnológico (Asociación de Letrados del Tribunal Constitucional), Madrid, 2016.

- DE MIGUEL ASENSIO, P. A.: “Competencia y derecho aplicable en el Reglamento General de Protección de Datos de la Unión Europea”, en Revista Española de Derecho Internacional, Vol. 69/1, 2017.

- ESTEVE PARDO, J. (con otros): Comentarios a la Ley de la Jurisdicción Contencioso-administrativa (dir. Santos Vijande), Madrid, 1999.

- GONZÁLEZ-CUÉLLAR SERRANO, N. (con GIMÉNO SENDRA, V.; MORENO CATENA, V. y GARBERÍ LLOBREGAT, J.: Comentarios a la nueva Ley de la Jurisdicción Reguladora de la Jurisdicción Contencioso-administrativa de 1998, Madrid, 1999.

- GONZÁLEZ PÉREZ, J.: Comentarios a la Ley de la Jurisdicción Contencioso-administrativa, Madrid, 2011.

- GONZÁLEZ-VARAS IBAÑEZ, S.: “Problemas procesales, actuaciones de la Jurisdicción Contencioso-administrativa”, CGPJ, 1993.

- Comentarios a la Ley de la Jurisdicción Contencioso-Administrativa, Madrid, 1999.

- MARTÍN DELGADO, I.: “La repercusión de la Responsabilidad por Incumplimiento del Derecho de la Unión Europea en el contexto del Estado Autonómico”, en RAP, Núm. 199, 2016.

- MONTERO AROCA, J. y FLORS MATÍES, J.: Amparo constitucional y proceso civil, Valencia, 2014.

- MORENILLA ALLARD, P. (con GIMENO SENDRA. V., TORRES DEL MORAL, A. y DÍAZ MARTÍNEZ, M.): “El amparo ordinario administrativo”, en Los derechos fundamentales y su protección jurisdiccional, Madrid, 2017.

- “Sobre la muy limitada legitimación activa del Gobierno de la Nación para la interposición de un recurso de amparo”, en Diario La Ley, Núm. 8985, Sección Tribuna, 23 de mayo de 2017.

- TRONCOSO REIGADA, A.: La protección de datos personales. En busca del equilibrio, Valencia, 2010.

- VELASCO CABALLERO, F.: Administraciones públicas y derecho a la tutela judicial efectiva, Barcelona, 2003.

NOTAS:

(1). Estudio realizado en el marco del Proyecto de Investigación: <<Asignaturas pendientes del sistema procesal español>> (DER2017-83125-P), financiado por el Ministerio de Economía y Competitividad (Gobierno de España).

(2). El primer texto que preveía la necesidad de instituir una autoridad independiente que velase por el derecho fundamental a la protección de datos de carácter personal, fue el Convenio 108 del Consejo de Europa de 28 de enero de 1981. En virtud de este texto internacional, se dictó en España el RD 428/1993, de 26 de marzo, que aprobó el Estatuto de la Agencia Española de Protección de Datos (AEPD). Recogiendo el testigo del Convenio, tanto la Carta Europea de Derechos Fundamentales como la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.

(3). Sobre este modelo y las implicaciones que tiene para la determinación de la competencia judicial internacional, vid. DE MIGUEL ASENSIO, P. A.: “Competencia y derecho aplicable en el Reglamento General de Protección de Datos de la Unión Europea”, en Revista Española de Derecho Internacional, Vol. 69/1, 2017, págs. 75 y ss.

(4). Así, por ejemplo, vid. el artículo 32 del Estatuto de Autonomía para Andalucía, que reconoció explícitamente el “derecho de todas las personas al acceso, corrección y cancelación de sus datos personales en poder de las Administraciones públicas andaluzas”. Y, en consonancia con ello atribuyó a la Comunidad Autónoma “la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz” (art. 82).

(5). En este sentido, téngase en cuenta el Considerando 119 del RGPD, en donde se indica que si un Estado miembro establece varias autoridades de control, debe disponer por ley de mecanismos que garanticen la participación efectiva de dichas autoridades de control en los mecanismos de coherencia.

(6). Téngase en cuenta que la Agencia Autonómica de Madrid, creada en el año 2001, fue suprimida el 1 de enero de 2013, en virtud de la Ley 8/2012, de 28 de diciembre, de Medidas Fiscales y Administrativas de la Comunidad de Madrid, pasando a asumir sus funciones la AEPD.

(7). Regulada por la Ley 32/2010, del 1 de octubre, de la Autoridad Catalana de Protección de Datos, y desarrollada por el Decreto 48/2003, de 30 de febrero, que ha sido modificado por el Decreto 162/2018, de 17 de julio.

(8). Regulada por la Ley 2/2004, de 24 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de la Creación de la Agencia Vasca de Protección de Datos, desarrollada por el Decreto 305/2005.

(9). Los Estatutos del Consejo fueron aprobados por Decreto 434/2015, de 29 de septiembre. Sin embargo, la asunción de las competencias en materia de protección de datos quedó diferida (Disposición transitoria tercera) hasta la aprobación de la Orden 1 de agosto de 2019, que fijó el 1 de octubre de 2019, como fecha de inicio del ejercicio de sus funciones en materia de protección de datos.

(10). Vid. TRONCOSO REIGADA, A.: La protección de datos personales. En busca del equilibrio, Valencia, 2010, pág. 19.

(11). Vid. en este aspecto, la STC 51/1997, de 20 de marzo, en la que se señala: “el art. 149.1.1º de la CE no debe ser entendido como una prohibición de divergencia autonómica, ni tampoco como un título residual, aunque la normación del derecho por virtud de esta competencia sea limitada, en lo que siempre ha de restar un espacio normativo para las Comunidades Autónomas, sino, más exactamente, como ha quedado razonado, porque las condiciones básicas que garanticen la igualdad, por definición, no pueden consistir en un régimen jurídico acabado y completo de los derechos y deberes constitucionales afectados. La regulación de esas condiciones básicas si corresponden en exclusiva al Estado, pero con tal normación, como es evidente, no se determina, ni agota su entero régimen jurídico”.

(12). STC 290/2000, de 30 de noviembre.

(13). Por ello, como más tarde veremos al analizar la legitimación activa de la AEPD, no estamos muy de acuerdo con las afirmaciones realizadas por San José Amat, cuando señala que: “no existe posibilidad de revisión ulterior por parte de otra autoridad, sin perjuicio de la necesaria cooperación institucional y asistencia mutua” (SAN JOSÉ AMAT, C.: “Autoridades de control y régimen sancionador del RGPD y la LOPDGDD”, en La Ley Digital, Núm. 8801, 2019).

(14). En este sentido, vid. VALÍN LÓPEZ, M. (con otros): “Capítulo XV: Las Autoridades Autonómicas de Protección de Datos”, en Tratado de Protección de Datos (Dr. Rallo Lombarte), Valencia, 2019.

(15). Entre las primeras están las enmiendas núms. 155 del Grupo Parlamentario Mixto y 277 de Esquerra Republicana, entre las segundas están las enmiendas Núms. 53 del Grupo Parlamentario Vasco y 291 del Grupo Parlamentario Socialista (BOCG, Congreso de los Diputados, Serie A, Núm. 13-2).

(16). Vid infra. lo dicho sobre la STC 290/2000.

(17). Sobre el principio de responsabilidad del Estado por incumplimiento del Derecho de la Unión Europea imputable a las Comunidades Autónomas, vid. CIENFUEGOS MATEO, M.: “Comunidades Autónomas, Tribunales de la Unión Europea y responsabilidad por el incumplimiento autonómico del Derecho Comunitario. Reflexiones a partir de la práctica reciente”, en REAF, Núm. 5, 2017, págs. 39 y ss. Y, MARTÍN DELGADO, I.: “La repercusión de la Responsabilidad por Incumplimiento del Derecho de la Unión Europea en el contexto del Estado Autonómico”, en RAP, Núm. 199, 2016, págs. 51 a 92.

(18). Mecanismos de prevención que encuentran respaldo en el Informe del Consejo de Estado de 2008 sobre la inserción del Derecho Europeo en el Ordenamiento español, en donde señala que sólo una interpretación inadecuada de los principios constitucionales y estatutarios puede obstaculizar esa función de garantía del cumplimiento del Derecho de la Unión Europea que corresponde únicamente al Estado español y por vía de consecuencia, privar al Estado de los instrumentos precisos que garanticen el cumplimiento autonómico de las obligaciones que le impone aquel ordenamiento. Y, este sentido, vid. la STJUE de 13 de junio de 2002 (asunto C-479/99 Comisión/España), en la que se señala que le corresponde a los Estados miembros procurar que el cumplimiento de las obligaciones comunitarias por las autoridades centrales y descentralizadas sea efectivo.

(19). En este sentido, vid. ESTEVE PARDO, J. (con otros): Comentarios a la Ley de la Jurisdicción Contencioso-administrativa (dir. Santos Vijande), Madrid, 1999, págs. 319 a 322; y, GONZÁLEZ-CUÉLLAR SERRANO, N. (con GIMÉNO SENDRA, V.; MORENO CATENA, V. y GARBERÍ LLOBREGAT, J.: Comentarios a la nueva Ley de la Jurisdicción Reguladora de la Jurisdicción Contencioso-administrativa de 1998, Madrid, 1999, págs. 324 a 329.

(20). Vid. GONZÁLEZ-VARAS IBAÑEZ, S.: “Problemas procesales, actuaciones de la Jurisdicción Contencioso-administrativa”, CGPJ, 1993, págs. 26 y 28; y, del mismo autor, Comentarios a la Ley de la Jurisdicción Contencioso-Administrativa, Madrid, 1999, págs. 243 y ss., para quién el termino prestación, ha de entenderse en el sentido establecido en el Código Civil, esto es, como objeto de una obligación de dar o de hacer (art. 1088). Y ello, en palabras de González Pérez, porque en ocasiones las disposiciones generales imponen a las Administraciones Públicas llevar a cabo una actividad general, siendo el supuesto más tipicoel deber de establcimiento de un servicio público (GONZÁLEZ PÉREZ, J.: Comentarios a la Ley de la Jursidicción Contencioso-administrativa, Madrid, 2011),

(21). En este sentido, vid. las SSTS (Sala 3ª) de 24 de julio de 2000, Núm. de Recurso: 408/1999; 21 de enero de 2002 de 2002, Núm. de Recurso: 516/1999; y, 8 de enero de 2013, Núm. de Recurso 7097/2010. En contra, vid. el ATS (Sala 3ª) de 18 de septiembre de 2000, Núm. de Recurso: 139/1999.

(22). Téngase en cuenta que las Administración públicas, de ordinario, en el proceso contencioso-administrativo pueden actuar como parte activa para impugnar sus propios actos o disposiciones generales (art. 19.2 y 43 LJCA) o cuando impugnan los actos o las disposiciones generales dictados por otra Administración pública. Al primero de los supuestos, tradicionalmente, se le ha denominado procedimiento de lesividad. Al segundo supuesto se le conoce como conflicto interadministrativo. Para un mayor abundamiento de estos supuestos, al que ha de añadirse el estudiado, de solicitud de condena al cumplimiento de las obligaciones reconodidas en el RGPD, vid. BONACHERA VILLEGAS, R.: El control jurisdiccional de los reglamentos, Navarra, 2006, págs. 141 y ss.

(23). En este sentido, vid. MORENILLA ALLARD, P. (con GIMENO SENDRA. V., TORRES DEL MORAL, A. y DÍAZ MARTÍNEZ, M.): “El amparo ordinario administrativo”, en Los derechos fundamentales y su protección jurisdiccional, Madrid, 2017, págs. 695 y 696)]. Precepto que ha de relacionarse con lo dispuesto en los artículos 114.2 y 121.2 de la LJCA, pues el primero de ellos al regular el objeto de este procedimiento especial, señala que podrán hacerse valer en este procedimiento las pretensiones a que se refieren los artículos 31 y 32, siempre que tengan por finalidad la de restablecer o preservar los derechos o libertades por razón de los cuales el recurso hubiera sido formulado. En tanto que el segundo precepto, al hacer referencia a la obligación del órgano jurisdiccional de dictar sentencia, dispone que el órgano jurisdiccional dictará sentencia estimatoria de la pretensión del actor, cuando la actuación administrativa impugnada incurra en cualquier desviación de poder, y como consecuencia de la misma se vulnere un derecho fundamental susceptible de amparo constitucional.

(24). En este sentido, vid. la STC 106/1984, de 21 de noviembre y la STC 144/1997, de 15 de septiembre, en las que se señala que el texto constitucional reconoce legitimación activa para interponer recurso de amparo a toda persona física o jurídica que invoque un interés legítimo y por el art. 46.1, b) de la LOTC, que reconoce legitimación a quien haya sido parte en el proceso judicial correspondiente, fórmula esta última que complementa a la primera, pero que no debe considerarse limitativa del texto constitucional.

(25). Obsérvese, que de este derecho se ha dicho que es un agujero negro que lo absorbe todo y no deja escapar nada de su entorno [CÓRDOBA CASTROVERDE, D. y DÍEZ-PICAZO GIMÉNEZ, I.: “Reflexiones sobre los retos de la protección de la privacidad en el entorno tecnológico”, en El derecho a la privacidad en un nuevo entorno tecnológico (Asociación de Letrados del Tribunal Constitucional), Madrid, 2016, pág. 109].

(26). En este sentido, vid. MONTERO AROCA, J. y FLORS MATÍES, J.: Amparo constitucional y proceso civil, Valencia, 2014, pág. 226.

(27). No obstante, véase el voto particular del magistrado Pablo Pérez Tremps, discrepando con el voto mayoritario del TC, por las singularidades -vinculadas a la muy especial función institucional que cumple la AEPD en relación con el art. 18.4 CE- que le llevaron a sostener que la AEPD si ostenta un interés legítimo que la habilita para interponer el recurso de amparo en defensa del derecho protegido por el citado precepto constitucional. Y es que, en opinión de Pérez Tremps, “la función que legalmente se otorga a la Agencia española de protección de datos en relación con el derecho de protección de datos de carácter personal (art. 18.4 CE) es mucho más que una obligación genérica de protección de este derecho: forma parte integral de su sistema de garantías confiriéndole una obligación específica. De ella cabe derivar la específica legitimación en defensa de su función de protección de este derecho, incluyendo el acceso al recurso de amparo (...)”.

(28). En este sentido, vid. VELASCO CABALLERO, F.: Administraciones públicas y derecho a la tutela judicial efectiva, Barcelona, 2003; y, en la doctrina constitucional, vid., entre otras, las SSTC 137/1985, de 17 de octubre, 64/1988, de 23 de julio, y 175/2001, de 12 de julio. En contra, Díez- Picazo cuestiona la atribución del derecho a la tutela judicial efectiva realizado por el TC a los poderes públicos, al entender que ello supone un retorsión del concepto de derecho fundamental, cuando no una confusión de derechos, porque una cosa es la atribución de potestades o derechos por la legalidad ordinaria y otra bien distinta dotar a dichos derechos y potestades de contenido constitucional, encontrando la única virtualidad de esa atribución, en abrir la puerta al recurso de amparo a las persona jurídica públicas, cuando lo que hay que preguntarse es quién es el titular de los derechos fundamentales, y especialmente, quién es el sujeto pasivo del derecho a la tutela judicial efectiva, para concluir que este derecho es un derecho que se tiene frente al Estado, constituyendo una retorsión que el Estado tuviera un derecho frente a sí mismo (cfr. DÍEZ-PICAZO GIMÉNEZ, I.: “Reflexiones sobre algunas facetas del derecho fundamental a la tutela judicial efectiva”, en Cuadernos de Derecho Público, Núm. 10, 2010, págs. 13 a 19).

(29). VELASCO CABALLERO, F.: Administraciones públicas y derecho a la tutela judicial efectiva, ibidem, pág. 30.

(30). Vid. MORENILLA ALLARD, P.: “Sobre la muy limitada legitimación activa del Gobierno de la Nación para la interposición de un recurso de amparo”, en Diario La Ley, Núm. 8985, Sección Tribuna, 23 de mayo de 2017.

(31). En este sentido, vid. la STC 78/2010, de 20 de octubre, y más recientemente la STC 3772019, de 26 de marzo de 2019, que otorga amparo a la Administración General del Estado al entender que se ha vulnerado su derecho a un proceso con todas las garantías, que se ha vulnerado por el órgano judicial, al inaplicar una ley contraria al Derecho de la UE, sin haber planteado previamente la cuestión prejudicial ante el TJEU.

(32). En este sentido, vid. la STC 175/2001, de 26 de julio, que otorga amparo a la Generalitat por vulneración del derecho de acceso a la jurisdicción, precisamente porque su posición procesal, como demandante que pretendía la anulación de una resolución municipal, era homóloga a la de los particulares, necesitando del juez para la revocación del acto municipal. Y. sobre esta Sentencia, vid. CABALLEIRA RIVERA, Mª. T.: “¿Gozan de derechos fundamentales las Administraciones Públicas?”, en RAP, Núm. 158, 2002, págs. 233 y ss.

Comentarios