La responsabilidad sancionadora de las administraciones públicas por la comisión de infracciones de protección de datos a examen: una revisión necesaria

En el presente trabajo se defiende una revisión del régimen sancionador en materia de protección de datos a las Administraciones públicas. No se puede justificar un tratamiento diferenciado entre el sector público, que no puede recibir sanciones económicas, y el sector privado, en el que las multas pueden ser muy elevadas. No hay criterios que justifiquen este tratamiento diferenciado. Al contrario, existen importantes razones que exigen habilitar la posibilidad de imponer sanciones económicas al sector público y que se desarrollan en las siguientes líneas.

Alejandro Corral Sastre es Profesor de Derecho Administrativo en la Universidad Complutense de Madrid

El artículo se publicó en el número 68 de la Revista General de Derecho Administrativo (Iustel, enero 2025)

THE SANCTIONING RESPONSIBILITY OF PUBLIC ADMINISTRATIONS FOR DATA PROTECTION INFRINGEMENTS UNDER EXAMINATION: A NECESSARY REVIEW

ABSTRACT: This paper argues for a revision of the data protection sanctioning regime for public administrations. A differentiated treatment between the public sector, which cannot receive financial penalties, and the private sector, where fines can be very high, cannot be justified. There are no criteria that justify such differentiated treatment. On the opposite, there are important reasons that require enabling the possibility of imposing financial penalties on the public sector, which are developed in the following lines.

I. INTRODUCCIÓN

En el año 2016 se aprueba el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Esta norma de Derecho europeo supone un giro copernicano en la forma de enfrentar la protección del derecho fundamental a la protección de datos en el territorio europeo, es decir, los veintisiete Estados miembros más Noruega, Islandia y Liechtenstein. Y no solo en el territorio de Espacio Económico Europeo (EEE), sino que ha trascendido sus fronteras, convirtiéndose en un modelo de protección de datos para muchos Estados alrededor del mundo.

El RGPD supone, como se ha apuntado en el párrafo anterior, un cambio en la manera de entender la protección de datos. Se incluyen determinados principios y obligaciones que cambian la concepción y el rol que deben jugar los responsables y encargados de tratamiento entre los que se encuentran, lógicamente, las Administraciones públicas. Así, por poner un ejemplo, el principio de responsabilidad proactiva recogido en el artículo 24.1 de la norma y por el que se exige a aquellos (responsables y encargados) que, bajo su responsabilidad, adopten las medidas técnicas y organizativas necesarias para garantizar y poder demostrar que se cumplen las obligaciones del RGPD y pueden demostrarlo.

Pero hay cosas que no han cambiado respecto al modelo anterior regulado en la Directiva 95/46/CE y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Me refiero, en concreto, a la imposibilidad de imponer multas o sanciones económicas por las Autoridades de Control a todo un elenco de personas jurídico-públicas entre las que se encuentran las Administraciones y otros organismos públicos vinculados o independientes recogidos en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Como intentaré desarrollar en el presente trabajo, entiendo que esta es una anomalía jurídica que se debe revisar mediante un cambio normativo que permita imponer sanciones económicas a todas aquellas entidades del sector público que realicen tratamientos de datos personales, por cuenta propia o de terceros. Y todo ello por las razones que más adelante se expondrán. No es de recibo en este caso, e insisto en la idea, que haya un tratamiento jurídico diferente para según que responsables y encargados de tratamiento. Sobre todo, cuando lo que se pretende proteger es el mismo bien jurídico, el mismo derecho fundamental.

Así, en la medida en que la potestad sancionadora en la materia tiene unos objetivos claros y las sanciones económicas tienden a alcanzar esas metas, no tiene sentido excluir a unos sujetos responsables o encargados cuyo tratamiento de datos puede resultar potencialmente arriesgado para los derechos de los ciudadanos, sobre todo por la atribución legal de potestades públicas y poderes exorbitantes. No debemos olvidar que el tratamiento que se hace desde el sector público, en concreto las Administraciones públicas, puede ser especialmente lesivo para el derecho fundamental a la protección de datos y que, como se verá, el propio RGPD impone especiales requisitos y condiciones a las Administraciones públicas.

Esta premisa resulta imprescindible para concluir, como intentaré en este trabajo, que las autoridades de control competentes deben tener la potestad de imponer sanciones económicas a las Administraciones públicas que cometan infracciones en materia de protección de datos en los mismos términos, al menos, que los responsables y encargados del sector privado. Aplicando, si se justifica adecuadamente, determinados criterios de modulación.

II. MODELO ANTERIOR AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

2.1. Visión general sobre la aplicación de la Directiva 95/46/CE en el territorio de la UE: divergencia entre ordenamientos

El régimen jurídico anterior al RGPD estaba recogido en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, antes mencionada, que fue transpuesta a nuestro ordenamiento por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Este tipo de normas europeas, como es conocido, han de ser adaptadas a los ordenamientos internos por medio de la legislación nacional. Esto ocasionó una divergencia de ordenamientos jurídicos y una heterogeneidad en el grado de protección del derecho fundamental a la protección de datos personales que debilitaba, en gran medida, su eficacia. Además, era una norma de la “era pre-Internet”(1) (Piñar Mañas, 2016: 16), lo que generaba algún problema con su aplicación a las tecnologías más avanzadas.

En lo que se refiere al régimen sancionador, en concreto, se debe señalar que esa divergencia entre ordenamientos se pronunciaba aún más. La Directiva 95/46 no desarrollaba un régimen de infracciones o sanciones uniforme, sino que dejaba una amplia libertad a los Estados miembros para su configuración, lo que generaba distintos regímenes muy diferentes. Así, el artículo 24 de la meritada Directiva 95/46, señalaba expresamente que:

“Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva”.

Es decir, los Estados podían establecer diversos regímenes sancionadores, llegando incluso, como en el caso de Irlanda, a no reconocer potestad sancionadora a su autoridad de control, lo que generaba una importante diferencia, por ejemplo, con el caso de España. Esto ya se puso de manifiesto en su momento por los representantes de las grandes empresas que se quejaron ante la Comisión “de que las disparidades actuales impiden a las organizaciones multinacionales desarrollar políticas paneuropeas sobre protección de datos. Los operadores económicos requieren de una mayor seguridad jurídica que permita las transferencias de datos personales a través de las fronteras interiores de la UE, algo incompatible con la actual fragmentación de las legislaciones nacionales (Troncoso Reigada, 2012: 70). Así se puso de manifiesto en el Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46 CE) (COM/2003/0265 final).

2.2. Sanciones a las Administraciones públicas: el caso español

Dentro de ese margen de libertad que otorgaba la Directiva 95/46, se incluía, también, la posibilidad de imponer sanciones económicas a las Administraciones públicas. Estas, sin ninguna duda, quedaban dentro del ámbito de aplicación de la Directiva y, por tanto, de las correspondientes normas de transposición. En el caso español, como es conocido, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La aplicación del régimen de protección de datos a las Administraciones públicas y, en general, al sector público, no ha planteado serias dudas en la doctrina. Al contrario, parece que ha habido unanimidad, desde el principio, a la hora de proclamar que los entes públicos deben quedar sometidos a la legislación sobre protección de datos. Algo que resulta completamente lógico y acorde a los principios de protección del derecho fundamental a la protección de datos, sobre todo si se tiene en cuenta la cada vez mayor intervención administrativa en la esfera privada de los ciudadanos y en el mercado. Es más, dado que la Administración ejerce un poder público intenso sobre personas físicas y jurídicas los tratamientos de datos que estas realicen deben ser objeto de especial supervisión por parte de las Autoridades de control competentes.

Esto ya quedaba patente en el modelo anterior. Y la propia Directiva, así como la Ley 15/1999, preveían el sometimiento de las autoridades públicas al régimen de protección de datos. Así en las definiciones que el artículo 2 de la Directiva realizaba sobre responsable y encargado de tratamiento, así como tercero. O en las bases que legitimaba el tratamiento al que se refiere el artículo 7.e) :

“es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos”(2)

Por su parte, la Ley orgánica 15/1999, también reconocía que los ficheros públicos, titularidad de una Administración pública, estaban sometidos al régimen jurídico entonces vigente. Tampoco planteaba duda alguna que las Administraciones pudieran incurrir en la comisión de infracciones administrativas derivadas de este régimen. Sin embargo, el artículo 46 no preveía la posibilidad de imponer sanciones de tipo económico (lo cierto es que tampoco lo prohibía), y se refería a que la AEPD dictaría una: “resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción”.

En conclusión, el distinto régimen jurídico sancionador entre el sector público y el sector privado ya venía recogido en el modelo anterior como una opción del propio legislador estatal. Nada impedía en la Directiva a los Estados miembros optar por un régimen igualitario entre el sector público y el sector privado, en que se pudiera imponer sanciones a ambos tipos de entidades. Pero España optó por establecer un régimen más laxo para las Administraciones públicas. Estas quedaban sujetas a las obligaciones en materia de protección de datos, incluso sus actuaciones podían ser, no ya contrarias a Derecho y por tanto nulas o anulables, sino que se reconocía, sin tapujos, la posibilidad de cometer infracciones. Lo que no se podía, sin embargo, es imponer sanciones económicas, a diferencia de lo que ocurre con las entidades del sector privado. Como se verá más adelante, en un epígrafe específico, esto no es igual en todos los países de la Unión.

Como se pondrá de manifiesto en los siguientes epígrafes, el mismo régimen se mantiene en el RGPD y en la LOPDygdd, pese a que aquel daba libertad a los Estados miembros para imponer multas económicas a las Administraciones, si lo estimaban oportuno. España no cambió de opción e intentaremos ver los motivos.

III. MARCO JURÍDICO ACTUAL DE LA PROTECCIÓN DE DATOS DENTRO DEL EEE

3.1. La necesidad de aprobar una nueva norma jurídica

Tal y como ya se ha indicado más arriba, la Directiva 95/46 presentaba algunas carencias que requerían ser atendidas por el legislador comunitario, bien mediante una modificación de la propia Directiva, bien mediante la aprobación de una nueva norma jurídica. Se optó finalmente, como es sabido, por esta última opción.

Las razones que motivaron el cambio de normativa se pueden sintetizar en las siguientes (Jiménez Asensio, 2019: 322): por un lado, la necesidad de poner remedio a la posición dominante, de cuasi monopolio, de las grandes compañías tecnológicas en relación a los datos personales de los ciudadanos; en segundo lugar, la necesidad de adaptar la normativa a tecnologías que no se habían tenido en cuenta en la elaboración de la Directiva anterior como, por ejemplo, la generalización del uso de internet por parte de los ciudadanos(3). El profesor José Luis Piñar Mañas (Piñar Mañas, J. L., 2016: 16) indicaba que “La ya vieja Directiva 95/46, que, junto con el Convenio 108 del Consejo de Europa y las Directrices de la OCDE de 1980, ha revolucionado la protección de datos a nivel mundial, tiene los meses contados. Desde múltiples foros se había advertido la necesidad de reformarla y se había advertido reiteradamente que era una norma de la era pre-Internet”.

Parecía, por tanto, necesaria la modificación del escenario normativo y su adaptación a los nuevos tiempos. Lo que no era tan claro ni, por tanto, había unanimidad, era sobre el tipo de norma que habría de utilizarse para establecer el nuevo régimen jurídico. Por algunos Estados miembros se defendió la idea de que lo mejor sería seguir con una Directiva. Otros, en cambio, propugnaron el Reglamento como norma más apropiada. Finalmente fue a través de un Reglamento, como es sobradamente conocido, lo que tiene unas implicaciones enormes sobre el régimen jurídico.

3.2. Un Reglamento con aires de Directiva

La norma que finalmente se aprobó, como ya se ha indicado, fue un Reglamento, esto es, se trata de una norma directamente aplicable, de alcance general y obligatorio en todos sus elementos, tal y como establece el artículo 288 del Tratado de Funcionamiento de la Unión Europea. Es decir, no necesita de transposición por parte de los Estados miembros, sino que es obligatorio en todos sus términos.

No obstante, es necesario poner de manifiesto que, pese a su alcance general y su aplicabilidad directa, se trata de una norma jurídica que deja amplios márgenes de apreciación a los Estados miembros(4) para su desarrollo (García Mexia, P., 2016: 26). Es decir, que el RGPD no agota toda la regulación en sí mismo, sino que permite a los Estados miembros concretar y detallar en su propio ordenamiento interno determinadas cuestiones. Por poner algunos ejemplos, el artículo 8 del RGPD señala que el consentimiento del niño en relación con los servicios de la sociedad de la información será válido cuando este tenga como mínimo 16 años, no obstante, otorga un margen de apreciación a los Estados para que, si lo estiman oportuno, se reduzca a los 13 años.

De la misma manera, y en lo que aquí ahora interesa, el artículo 83.7 del RGPD permite que sean los Estados miembros los que decidan si procede imponer multas administrativas a las autoridades y organismos públicos. España, siguiendo la línea anterior, decide no imponer sanciones económicas a las Administraciones públicas y otros entes integrantes del sector público, como luego señalaremos más detenidamente. Y así, como indicaba, el RGPD está repleto de “guiños”, si se me permite la expresión, al acervo de los Estados miembros.

3.3. Cambio de paradigma en el régimen jurídico de la protección de datos

Como se ha indicado más arriba, el régimen jurídico en materia de protección de datos da un giro copernicano pues se avanza hacia un nuevo modelo europeo de privacidad que ha pasado a ser, además, el estándar internacional en la materia (Cervera Navas, L., 2023: 67). Este cambio puede resumirse en una afortunada frase del profesor José Luis Piñar Mañas: “un nuevo modelo que podemos decir que pasa de la gestión de los datos al uso responsable de la información” (Piñar Mañas, J. L., 2016: 16).

Uno de los principios que, quizás, condense esta idea es el de “responsabilidad proactiva” que viene recogido en el artículo 24 del RGPD y que, literalmente, viene a indicar que:

“1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”

De este precepto llama la atención, en primer lugar, que son los responsables y encargados de tratamiento los que deben conocer a fondo su organización y su actividad y, en base a esto, adoptar las medidas que estimen oportunas. Ya no hay una regulación preestablecida en torno a la cual justificar el cumplimiento. Si se permite la licencia, no vale con cumplir y “echarse a dormir”. La vigilancia, después del RGPD, debe ser constante. El cumplimiento debe ser constante y duradero, atentos en todo momento a un posible cambio de las circunstancias.

En segundo lugar, llama poderosamente la atención, a quien suscribe al menos, que sean los responsables y encargados de tratamientos quienes deban no solo garantizar sino también estar en condiciones de demostrar que el tratamiento es conforme al RGPD. Es decir, se produce una suerte de inversión de la carga de la prueba, de forma que, ante una posible inspección o denuncia, es el responsable o encargado el obligado a demostrar que se han adoptado todas las medidas necesarias para cumplir el RGPD. Pero a esta cuestión, si se me permite, me referiré un poco más adelante, pues presenta una problemática muy específica.

Otras novedades que implementó del RGPD, ya conocidas y sin ánimo de ser exhaustivo: el nuevo régimen de transparencia e información(5), los derechos ARCOPOL(6), la necesidad de llevar un Registro de Actividades de Tratamiento(7), la obligación de realizar, en ciertos casos, Evaluaciones de Impacto sobre la privacidad(8), la figura del Delegado de Protección de Datos(9) o el principio de privacidad en el diseño y privacidad por defecto(10), entre otras circunstancias, obligaciones todas ellas que afectan de lleno a las Administraciones públicas.

3.4. Especial atención a las Administraciones públicas

Las Administraciones públicas se convierten en responsables y encargados de tratamiento cualificados, pues el riesgo que genera el ejercicio de potestades públicas y el poder reconocido por la Ley en sus relaciones con los ciudadanos y empresas hace que se deba tener un especial cuidado cuando son este tipo de entidades públicas las que tratan datos personales, pues la posibilidad de que se vea negativamente afectado el derecho fundamental se incrementa exponencialmente.

La historia reciente, además, se ha empeñado en mostrarnos lo terrible que puede ser el uso de este tipo de tecnologías de la información por parte de poderes públicos. La elaboración de perfiles étnicos o religioso, de afiliación a partidos políticos o sindicatos puede tener consecuencias muy perniciosas (Black, E., 2001)

De ello fue consciente el legislador europeo e incluyó en el RGPD múltiples referencias a las Administraciones y organismos públicos para concretar, de alguna manera, el régimen jurídico del tratamiento de datos personales. Así, en lo que se refiere a la responsabilidad proactiva, se exige a las Administraciones (Romeo Ruiz, A., 2020: 143) una mayor cautela en su cumplimiento derivada, sin duda, de su especial naturaleza pública.

Toda una serie de medias que ahora no se pueden detallar, aunque me quiero referir a una en concreto pues pone de manifiesto, sin duda alguna, la gran preocupación del RGPD por la relación entre las Administraciones públicas y los ciudadanos en este ámbito: el consentimiento expreso que los ciudadanos otorgan para el tratamiento de sus datos personales (Cerrillo i Martínez, A., 2019: 105). Y es que, consciente del desequilibrio existente entre Administraciones públicas y los ciudadanos, el considerando 43 del RGPD presume que el consentimiento que el interesado pueda dar al tratamiento de datos personales efectuado por una Administración no es libre. Así lo pone de manifiesto expresamente el citado Considerando:

“Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular”.

Se debe aclarar que cuando la Administración realiza tratamientos de datos por las Fuerzas y Cuerpos de Seguridad del Estado con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, no se aplica el régimen jurídico previsto en el RGPD sino uno mucho más laxo establecido en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que ha sido incorporada a nuestro ordenamiento jurídico por la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. No puede detenerme a valorar estas normas porque excede, estimo, del objeto de este trabajo, pero plantea cuestiones interesantes el ejercicio de potestades para la salvaguarda de la seguridad pública y la protección del derecho a la protección de datos de aquellas personas sobre las que no existen indicios fundados de que vayan a cometer un delito, es decir, la mayoría de la población (Corral Sastre, 2024: 97)

IV. RÉGIMEN SANCIONADOR EN MATERIA DE PROTECCIÓN DE DATOS Y LA APLICACIÓN ESPECIAL A LAS ADMINISTRACIONES PÚBLICAS

Vuelvo al objeto del trabajo, es decir, la aplicación excepcional del régimen sancionador en materia de protección de datos a determinados entes del sector público, incluidas las Administraciones públicas. Para ello, haré una breve aproximación sobre el régimen general en la materia para referirme, posteriormente, a las especiales particularidades en su aplicación a las Administraciones públicas.

Como ya se ha señalado más arriba, el régimen sancionador previsto en el RGPD y en la LOPDgdd se aplica también a las Administraciones públicas de manera que estas, como personas jurídico-públicas, pueden cometer infracciones administrativas de las tipificadas en las normas señaladas. La diferencia con respecto a las entidades del sector privado es, como veremos más adelante, que no se pueden imponer sanciones económicas a estas Administraciones. Pero esta no es la única especialidad, como veremos a continuación, del régimen sancionador. Vamos a hacer referencia a las más importantes

4.1. Aproximación general al régimen sancionador sobre protección de datos en el RGPD. Principales puntos de fricción con el ordenamiento sancionador interno

Una de las principales novedades que se incorporaron al RGPD fue su régimen sancionador. Quizás, lo que más llamó la atención fue el sensible incremento de las sanciones. De acuerdo con lo previsto en el artículo 83, estas podían llegar a 20 millones de euros o el 4% del volumen global anual de negocio de una empresa. Lo que se ha demostrado que, en el caso de grandes empresas, puede llegar a ser una cifra considerable(11). Como a continuación veremos, esta no es una preocupación que deban tener las Administraciones públicas.

Pero más allá del considerable incremento de las sanciones, lo que puede implicar una vulneración del principio de proporcionalidad en los términos establecidos por nuestro ordenamiento interno (Tornos Más, J., 2008: 40), lo cierto es que existen determinadas cuestiones sobre el régimen sancionador que debe ser abordadas con cierto detenimiento. No se pueden agotar todas las cuestiones en este trabajo, pues no es objeto de este, pero sí quiero mencionar las que, en mi opinión, pueden ser más problemáticas.

Así, la primera cuestión que llama la atención viene recogida en artículo 24.1 del RGPD que se refiere al ya citado principio de responsabilidad proactiva y que reza lo siguiente:

“1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.

Según entiendo humildemente, entra esta regulación en conflicto directo con el derecho fundamental a la presunción de inocencia tal y como se reconoce en el artículo 24.1 de la Constitución Española (CE), que supone, y cito textualmente la sentencia 66/2007, de 27 de marzo Tribunal Constitucional que “<<no pueda imponerse sanción alguna que no tenga fundamento en una previa actividad probatoria lícita>>, e implica también el reconocimiento del derecho a un procedimiento administrativo sancionador debido o con todas las garantías, que respete el principio de contradicción y en que el presunto responsable tenga la oportunidad de defender sus propias posiciones, vedando la incoación de expedientes sancionadores cuando resulte apreciable de forma inequívoca o manifiesta la inexistencia de indicios racionales de que se ha cometido una conducta infractora, o en los que esté ausente la antijuridicidad o la culpabilidad”. En esta misma línea se ha pronunciado nuestro Tribunal Supremo entre otras en la sentencia de 27 de noviembre de 2011: "la carga de probar los hechos constitutivos de cada infracción corresponde ineludiblemente a la Administración pública actuante, sin que sea exigible al inculpado una probatio diabólica de los hechos negativos"

Se produce aquí una colisión entre dos derechos fundamentales: derecho fundamental a la protección de datos, reconocido en la Carta de Derechos Fundamentales de la Unión Europea (artículo 8) y sobre el que esta tiene competencia para desarrollar normativamente (artículo 16 del Tratado de Funcionamiento de la Unión Europea, en adelante, TFUE) y el derecho fundamental nacional reconocido en el artículo 24 de la CE y que ha sido ampliamente desarrollado por nuestro más alto interprete de la Constitución y el Tribunal Supremo. Derecho este último, por cierto, que también se reconoce en la CDFU, en concreto, en su artículo 48 (12), y en el artículo 6.2 del Convenio Europeo de Derechos Humanos.

No obstante lo anterior, y para el ámbito concreto del Derecho de la competencia, se ha de indicar que hay cierta flexibilización de este derecho en la medida que es difícil, en determinados ámbitos, obtener pruebas suficientes para desvirtuar la mencionada presunción(13). Igualmente, este principio de presunción de inocencia no es absoluto, pues rige el principio de disponibilidad de la prueba, es decir, que “si la persona o entidad contra la que se dirige el procedimiento sancionador alega un hecho con el que pretende justificar su actuación o excluir su responsabilidad (por ejemplo, alega haber recabado el consentimiento o haber respondido en forma debida al requerimiento), la prueba de estos extremos corresponderá a quien los alega” (Calvo Rojas, E., 2003: 222)

Otra fricción entre el Derecho de la Unión y el interno en materia sancionadora de protección de datos se produce con el principio de tipificación de las sanciones administrativas y la falta de seguridad jurídica que plantea el hecho de que la sanción económica que puedan imponer las autoridades de control vaya de los 0 euros a los 20 millones de euros o el 4% del volumen total global anual de una empresa, según lo previsto en el artículo 86.3 del RGPD. Bien es cierto que el apartado 2 del mismo artículo 83 permite amoldar las sanciones a cada caso concreto en función de las circunstancias(14), pero no deja de ser una enorme discrecionalidad que, en mi opinión, atenta directamente contra el principio de seguridad jurídica.

Es comprensible, como defienden algunos autores, que no debamos quedarnos en estas fricciones de Derecho interno y adoptar una visión general de todo el sistema de protección de datos recogido en el RGPD. Así se puso de manifiesto por el profesor Alessandro MANTELERO en una intervención posterior a la ponencia de quien suscribe realizada en un seminario de Universidad de Murcia el pasado 2 de julio(15). Pero no dejan de ser problemas complejos, reales y cotidianos a los que los juristas debemos enfrentaros diariamente. Vivir en el mundo de las ideas es muy cómodo, si se me permite la expresión, pero pienso humildemente que la Academia debe descender al barro, a las trincheras, y dedicarse a solucionar los problemas reales de la aplicación del Derecho, sin renunciar, como es lógico, a proponer ideas generales mediante, en su caso, procesos de razonamiento inductivo.

4.2. Autoridades autonómicas de protección de datos

En ese margen de apreciación al que me refería más arriba, el RGPD, igual que hacía la Directiva 95/46, permitía la creación de autoridades de control autonómicas con las competencias a las que se refiere el artículo 57.1 de la LOPDgdd (Murillo de la Cueva, E.L., 2021: 2645):

“a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.

b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.

c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía”.

Por consiguiente, las presuntas infracciones cometidas por las Administraciones públicas autonómicas y locales, corresponde a estas autoridades autonómicas de control. En la actualidad solo tres comunidades autónomas han asumido competencias en materia tratamiento de datos personales efectuados por entidades del sector público: Cataluña(16), País Vasco(17) y Andalucía(18) y el ejercicio de dichas competencias corresponde, por tanto, a la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.

4.3. Interpretación extensiva de autoridad y organismo público

El RGPD, deja abierta la posibilidad a los Estados miembros de que se puedan imponer multas económicas a las Administraciones públicas. Así, el apartado 7 del artículo 83 de la norma europea establece lo siguiente:

“7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

En primer lugar, es necesario referir que entiende la LOPDgdd por “autoridades y organismos públicos”. Así, en una interpretación que puede considerarse extensa señala los siguientes (artículo 77.1):

“a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales”.

Sin perjuicio de otras cuestiones que puedan resultar problemáticas desde el punto de vista doctrinal, me quiero detener, si quiera brevemente, en el punto d) de este precepto. Se refiere a organismos públicos y entidades de Derecho público dependientes o vinculadas a las Administraciones públicas. Según lo previsto en el artículo 84.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dentro de estos organismos públicos y entidades de Derecho público se encuentran un heterogéneo elenco de entes. Transcribo el precepto para una mejor comprensión:

“a) Los organismos públicos vinculados o dependientes de la Administración General del Estado, los cuales se clasifican en:

1. Organismos autónomos.

2. Entidades públicas empresariales.

3. Agencias estatales.

b) Las autoridades administrativas independientes.

c) Las sociedades mercantiles estatales.

d) Los consorcios.

e) Las fundaciones del sector público.

f) Los fondos sin personalidad jurídica.

g) Las universidades públicas no transferidas”

Es cierto que el artículo 77.1 de la LOPDgdd no se refiere expresamente al sector público institucional de manera que puedan entenderse incluidas las sociedades mercantiles públicas. Pero tampoco las excluye expresamente, con lo que no queda claro que este tipo de empresas o sociedades integrantes del sector público estén dentro del régimen “blando” previsto en la LOPDgdd. Alguna doctrina niega que la exención de las multas económicas se pueda aplicar a las mencionadas empresas o sociedades públicas (Jiménez Asensio, R., 2019: 358), pero lo cierto es que ha habido resoluciones sancionadoras de la AEPD contra empresas públicas a las que se ha considerado incluidas en el artículo 77.1 tantas veces mencionado. Así, por ejemplo, la resolución ps-00189-2022, contra la Empresa Municipal Transportes Urbanos, S.A. De Gijón, por la que se impone una sanción de apercibimiento por la comisión de una infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD, y se hace referencia expresa al artículo 77.1 de la LOPDgdd(19)

Como es fácilmente comprensible, los argumentos que puedan utilizarse para justificar la no imposición de sanciones económicas, por ejemplo, al Ayuntamiento del El Hornillo, pequeño municipio del sur de Ávila, de 266 habitantes, no sirven para defender la no imposición de sanciones económicas a Paradores de Turismo S.M.E. S.A., una sociedad mercantil estatal, totalmente participada por la Administración General del Estado y que ofrece servicios turístico en el mercado, en competencia con otras empresas del sector. En el primer caso, podría estar justificado una modulación de la sanción en función de las especiales circunstancias, en el segundo, quizás, lo que estuviera justificado sería una agravación de la sanción económica dado que, además, se está falseando el mercado.

No es lo mismo. En el ejemplo del párrafo anterior, sin duda, ambos son entes del sector público, pero su naturaleza es muy diferente. Y, en mi opinión, ahí radica uno de los principales problemas que plantea el régimen de exención de sanciones económicas. Pudiera estar justificado un tratamiento diferente a ciertas Administraciones públicas de ámbito territorial (pequeños municipios) y organismos que cumplen misiones de interés público o presentan servicios públicos, pero no, desde luego, a todas las entidades que se han incluido en el artículo 77 de la LOPDgdd, algunas de las cuales, incido en la idea, compiten en el mercado con otras empresas y particulares que sí pueden ser sancionados económicamente.

4.4. Imposibilidad de imponer multas económicas a las Administraciones públicas en materia de protección de datos en el ordenamiento jurídico español

Quizás la cuestión que más polémica genera en relación con las Administraciones públicas tiene que ver con lo que constituye el objeto de este trabajo, es decir, con la imposibilidad de que las autoridades de control competentes puedan sancionar económicamente a estas entidades.

Nuestro país, siguiendo la senda marcada por la LOPD 1999, prevé que no se impongan sanciones económicas a las Administraciones públicas. Así, la LOPDgdd señala en su artículo 77.2 (20), de una forma un tanto rebuscada, si se me permite indicarlo:

“2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016”.

Precisamente, la medida prevista en el artículo 58.2.i del RGPD se refiere a:

“i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular”;

Como ya se ha dejado indicado más arriba, hemos de señalar que esto no es una imposición de la Unión Europea a través del RGPD, sino una elección del legislador español. Así el texto del RGPD (artículo 83.7) es bien claro:

“7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

Por tanto, el legislador español hace una elección. Excluye a determinados entes públicos de la posibilidad de imponer sanciones económicas. Una elección, además, que se aplica de manera específica al ámbito de la protección de datos y que no se extiende a otras materias como, por ejemplo, medio ambiente, vertidos, legislación hidráulica, carreteras, etc., en las que las Administraciones públicas pueden ser sancionadas económicamente por otras Administraciones competentes.

¿Qué ocurre, por consiguiente, en el ámbito de la protección de datos? ¿Qué argumentos pueden darse para justificar esta decisión legislativa? Vamos a analizarlos con mayor detalle a continuación, sin perjuicio de que indicar, desde este momento, que no comparto la idea de excluir a las Administraciones públicas, al menos todas las que se señalan en el artículo 77.1, de la posibilidad de imponer sanciones económicas, pues genera determinados problemas jurídicos.

V. ANÁLISIS DE LAS DIFERENTES RAZONES ESGRIMIDAS (Y YA SUPERADAS) PARA JUSTIFICAR LA NO IMPOSICIÓN DE SANCIONES ECONÓMICAS

5.1. El legislador conocía el incumplimiento sistemático del régimen jurídico por parte de las Administraciones públicas y decide no sancionarlas con multas económicas

Es cierto que, en los últimos años, se ha producido un avance extraordinario por parte de las Administraciones públicas para adaptarse al RGPD. En la mayoría de los casos, sobre todo en las Administraciones más grandes, el esfuerzo ha dado resultado y, por consiguiente, se puede decir sin temor a equivocarse que, en general, las Administraciones públicas cumplen con la legislación de protección de datos.

Pero no es menos cierto que esto no ha sido siempre así. Desde la Ley de Protección de Datos del año 1992, y posteriormente con la Ley Orgánica 15/1999, las Administraciones públicas incumplían sistemáticamente todas las obligaciones impuestas por la Ley en materia de protección de datos, por lo que el legislador llegó a la conclusión, triste conclusión por otro lado, de que lo mejor era excluir la posibilidad de imponer multas económicas a las Administraciones públicas por esta materia (Calvo Rojas, E., 2003: 228)(21). Esta misma idea subyace la afirmación de que el proceso de adaptación de las Administraciones públicas al régimen de protección de datos va a ser “lento y gradual” (Jiménez Asensio, R., 2019: 326)(22)

Quizás, en los primeros momentos de implantación de un régimen en materia de protección de datos en nuestro país, donde, en efecto, no había cultura en la materia, podía tener cierto sentido, dudoso, no obstante. Pero que esa situación se haya mantenido inalterable en el tiempo no está justificado. Que se exima a las Administraciones públicas de la posibilidad de que reciban sanciones administrativas en materia de protección de datos por su incumplimiento masivo y sistemático no puede justificarse. No es posible eximir a los entes del sector público de recibir multas económicas por su masivo incumplimiento. Esto supone un claro atentado contra el principio de legalidad y el Estado de Derecho, es decir, dar carta de naturaleza al incumplimiento de la ley por parte de las Administraciones públicas.

5.2. La multa económica que se imponga a las Administraciones será, en última instancia, soportada por los ciudadanos

Este ha sido, tradicionalmente, otros de los grandes argumentos utilizados para evitar imponer sanciones económicas a las Administraciones públicas, es decir, si la sanción que recae en el ente público posteriormente va a ser transferida a los ciudadanos a través de los ingresos públicos. En definitiva, lo que se quiere manifestar con este argumento es que no tiene sentido imponer una multa económica a una Administración que va a pagar con cargo a los presupuestos generales que se nutren, entre otros ingresos, de los tributos de los ciudadanos.

Sin embargo, como señala alguna autora (Ortega Bernardo, J., 2017: 189), “el hecho de que la sanción recaiga en la Administración y sea ulteriormente transferida al bolsillo de los contribuyentes, lejos de resultar inconveniente tendría ciertas ventajas”. Se refiere aquí la autora citada a la posibilidad de afectar al sentido del voto en relación con el Gobierno que dirige a la Administración. Es decir, que el ciudadano que observa que la Administración incumple y eso tiene efectos en la inversión pública (dado que parte del presupuesto debe ir a pagar la multa), puede cambiar el sentido del voto y, por tanto, ser determinante para las futuras elecciones.

Personalmente pienso que esta posibilidad, es decir, imponer multas económicas a las Administraciones públicas puede ayudar a alcanzar unas mayores cotas de democracia. Se trata, en definitiva, de traer al debate público las consecuencias de la legalidad o ilegalidad de la actividad administrativa y las consecuencias que el incumplimiento de la normativa vigente puede tener en la vida de los ciudadanos. Dedicar parte del erario público al pago de multas por incumplimientos normativos no puede estar bien visto por los ciudadanos que, a la postre, exigirán la correspondiente rendición de cuentas.

5.3. No se consigue uno de los objetivos esenciales del Derecho sancionador: la finalidad aflictiva o disuasoria

Otro de los argumentos utilizados para no imponer sanciones económicas a las Administraciones públicas tiene que ver con la imposibilidad de alcanzar el objetivo aflictivo que produce el menoscabo patrimonial. Es decir, no se genera en la Administración una finalidad disuasoria si lo que persigue la actividad administrativa no está motivado por el ánimo de lucro sino por el servicio al interés general. Sin embargo (Ortega Bernardo, J., 2017: 188), no hay duda de que una pérdida patrimonial a la Administración pública infractora puede acarrear importantes consecuencias para el adecuado funcionamiento de esta.

Por consiguiente, sí se cumple la finalidad disuasoria y aflictiva prevista en el Derecho sancionador cuando se impone una multa económica a las Administraciones públicas. Este argumento que justifica un “régimen sancionador blando” para los entes públicos no resulta ser muy sólido.

5.4. El Derecho Penal excluye la responsabilidad de las personas jurídico-públicas

Una muy cualificada doctrina (Rebollo Puig, M, 2023: 249) entiende que, en la misma medida que las personas jurídico-públicas estas exentas de responsabilidad penal en virtud de lo previsto en el artículo 31 quinquies del Código Penal, lo deben estar también de la responsabilidad sancionadora. El profesor Rebollo manifiesta importantes reparos a la posibilidad de que las Administraciones públicas sean sancionadas. Quizás el más importante sea que no se puede aplicar en este supuesto el principio de igualdad puro, pues todas las Administraciones están sometidas a Derecho Administrativo, lo que implica un régimen exorbitante y, por tanto, al margen del Derecho común. No puede pretenderse igualdad entre personas que no son iguales, pues las públicas gozan del ejercicio de potestades públicas.

Reconoce, no obstante, el autor, que al final estamos ante una elección del legislador (Rebollo Puig, M, 2023: 260) que no atenta ni contra la Constitución ni otras normas superiores (además, el RGPD, como hemos visto, deja libertad a los Estados miembros para configurar el sistema).

Pero lo cierto es que, puestos a elegir opciones legislativas, la de poder sancionar económicamente a las Administraciones, tal y como se expone en los siguientes epígrafes, parece la más acertada y adecuada al contexto social y económico que tenemos en la actualidad. Veamos las razones.

VI. UNA REVISIÓN NECESARIA DEL SISTEMA DE SANCIONES AL SECTOR PÚBLICO

Hace poco más de un año, se publicó en el BOE la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, en cuya Disposición Adicional 9.9, modificaba el apartado 2 del artículo 77 de la LOPDgdd.

Lo cierto es que la modificación es importante en la medida aumenta las medidas que se pueden adoptar frente a infracciones cometidas por las Administraciones públicas. Así, si en la primera redacción del artículo la única resolución posible frente a una infracción era el apercibimiento, con la modificación del 2023, se indica que la autoridad de control competente “dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido”. Eso sí, excluyendo expresamente la posibilidad de imponer sanciones económicas.

Voy a proponer, a continuación, algunas tesis por las que, entiendo, debe revisarse el régimen actual e incluir la posibilidad de imponer sanciones económicas a aquellas entidades del sector público que cometan infracciones en materia.

6.1. Discriminación injustificada entre el sector público y el sector privado

De las razones que, quizás, más llaman la atención en lo que al diferente régimen jurídico se refiere nos encontramos, precisamente, con el de la injustificable discriminación entre el sector público y el privado.

Tal y como se ha señalado más arriba, no existen razones de peso suficiente para mantener respecto del sector público un régimen sancionador que impida imponer sanciones económicas y que con el sector privado se pueda llegar a más de 20 millones de euros. No está justificado. Como es lógico, el efecto disuasorio en el sector privado será mucho más eficaz que en el sector público, donde no se pueden imponer sanciones económicas.

La cuestión alcanza cotas kafkianas cuando la exención a la imposición de sanciones económicas se aplica a entidades públicas que ofrecen bienes y servicios en el mercado y, por tanto, compiten con otras empresas del sector privado que, por cierto, si pueden ser sancionadas con multas astronómicas. Más arriba se ha señalado el ejemplo de la Empresa Municipal Transportes Urbanos, S.A. De Gijón (resolución ps-00189-2022). Pero existen otros ejemplos como el apercibimiento al Organismo Autónomo Regional Establecimientos Residenciales para Ancianos de Asturias (resolución: ps-00123-2022) o la Fundación Pública Andaluza para la Gestión de la Investigación en Salud de Sevilla (FISEVI) (resolución: ps-00220-2023).

Se incide en la idea, no hay razón alguna para que el sector privado pueda ser sancionado con multas económicas y el público no. Es una discriminación contraria a los artículos 20 y 21 de la Carta de Derechos Fundamentales de la Unión Europea y al artículo 14 de la Constitución Española, por lo que, debería realizarse, en mi opinión, una reforma del sistema sancionador.

6.2. Un régimen sancionador dual que resulta ineficaz

No se puede considerar útil un sistema sancionador cuyo principal objetivo es proteger el derecho fundamental a la protección de datos personales de las personas físicas cuando se prevén, por un lado, rigurosísimas sanciones a personas físicas y jurídicas del sector privado y, sin embargo, por otro lado, no se permiten imponer sanciones, solo de apercibimiento, a entidades y organismos del sector público.

La eficacia del sistema, como es lógico, disminuye exponencialmente. Solo una parte de los responsables y encargados de tratamiento sometidos al régimen europeo de protección de datos viven pendientes de las posibles consecuencias de incumplir sus obligaciones: es decir, las durísimas sanciones económicas. Este peligro no existe en el ámbito de lo público por lo que el miedo al incumplimiento es mucho menor, las consecuencias son mucho más débiles y, por consiguiente, el cuidado y la atención disminuye.

No es eficaz, por tanto, un sistema que prevé un régimen sancionador duro, para el sector privado, y blando, para el sector público. No es eficaz, repito, pero tampoco comprensible, porque las empresas y profesionales observan que sus posibles incumplimientos van a ser tratados de forma mucho más dura que los realizados por entes públicos. Y esto genera, como no puede ser de otra forma, resistencia en el cumplimiento e incomprensión por parte de los ciudadanos y empresas.

Es necesario, por consiguiente, equiparar las sanciones previstas para el sector público y el privado, de manera que se elimine esa sensación de impunidad y trato favorable del primero respecto al segundo.

6.3. Los tratamientos del sector público son especialmente arriesgados

A lo largo de este trabajo se ha venido haciendo referencia a que el legislador europeo ha sido especialmente cauteloso con los tratamientos efectuados por las Administraciones públicas y restantes entes del sector público. Hay un dato esencial, lógico por otra parte, que hace que estos tratamientos sean especialmente arriesgados: el ejercicio de potestades públicas y la relación de sujeción de los ciudadanos al poder público que representan las Administraciones.

No es el momento adecuado de realizar un análisis de las teorías del ejercicio del poder público, pero lo cierto es que en el ejercicio de potestades públicas las Administraciones gozan de potestades, prerrogativas y privilegios frente a las personas físicas y jurídicas privadas. No hay igualdad, así de claro. Tal y como prevé la LPACAP los actos de las Administraciones públicas se presumen válidos y surten efectos desde el momento en que se dictan(23), siendo, además ejecutables(24).

Sin perjuicio de los derechos que se reconocen a los ciudadanos y empresas en las leyes (LPACAP y LRJSP), lo cierto es que la posición de autotutela de las Administraciones es mucho más beneficiosa, desde el punto de vista jurídico, que la de las personas privadas. Por eso, en mi opinión, carece de sentido que, además, se les “premie” con la exención del pago de sanciones económicas.

Los tratamientos de datos efectuados por las Administraciones públicas son especialmente delicados: datos de salud, datos relativos a investigaciones criminales(25) datos sobre infracciones administrativas, datos de seguridad social, tributarios, huellas dactilares, patrimonio, origen racial, étnico, militancia política, afiliación sindical, entre otros muchos ejemplos. La información de la que disponen las Administraciones públicas puede hacer realidad la gran distopía imaginada por George Orwell y convertir a los Estados e verdaderos “Grandes Hermanos”(26).

Por eso no tiene sentido, según estimo, que, además, sus incumplimientos en materia de protección de datos queden impunes, es decir, sin ningún tipo de sanción económica. Es necesario, por tanto, incido en la idea, una revisión de este sistema en el sentido de permitir que se puedan imponer sanciones económicas.

6.4. En otros sectores las Administraciones públicas pueden ser sancionadas

No se alcanza a comprende que en otros ámbitos o sectores como el de la protección del medio ambiente, vertidos, aguas, competencia, orden social, sin ánimo de ser exhaustivo, se pueden imponer multas económicas entre administraciones públicas y no en el ámbito de la protección de datos.

Por poner un reciente ejemplo, la Sentencia del Tribunal Supremo 179/2023, de 15 de febrero (recurso de casación 430/2021), confirma la multa de 1 millón de euros impuesta al Ayuntamiento de San Cibrao Das Viñas (Ourense), por el Consejo de Ministros, por la comisión de una infracción muy grave contra dominio público hidráulico, prevista en el artículo 117 del Texto Refundido de la Ley de Aguas, aprobado por Real Decreto Legislativo 1/2001, de 20 de julio (en adelante, TRLA), en relación con los artículos 116-3.º de dicho Texto Legal y 326 y siguientes del Reglamento de Dominio Público, aprobado por Real Decreto 849/1986, de 11 de abril. Ninguno de los argumentos esgrimidos por el citado Ayuntamiento, ni tampoco el Tribunal Supremo lo trae a colación en la resolución, se hace referencia a la imposibilidad de imponer multas económicas a las Administraciones públicas.

Quiere esto decir, a mi entender, que no hay objeciones jurídicas a que una Administración pública pueda ser sancionada económicamente. Se hace habitualmente, sobre todo con los entes locales que, presupuestariamente tienen mayores problemas, por lo que tampoco puede ser un óbice la cuestión presupuestaria o que el dinero salga, al final, de los presupuestos generales de la Administración correspondiente.

6.5. No hay un aumento significativo del gasto público

Al hilo de lo manifestado en el último párrafo del epígrafe anterior, la imposición de multas a entes público no puede suponer un aumento significativo del gasto público salvo, quizás, para los pequeños municipios o entidades locales menores. En estos casos sí puede suponer un problema, sobre todo teniendo en cuenta la cuantía de las sanciones.

No obstante, en estos últimos casos, al igual que el RGPD establece criterios de modulación para las sanciones(27) en el supuesto de personas físicas o pequeñas empresas, se puede hacer lo mismo con las entidades locales más pequeñas.

Es más, tal y como señala la profesora Ortega Bernardo (Ortega Bernardo, J., 2017: 189), el hecho de que la multa, en última instancia, deban soportarla los ciudadanos con el pago de tributos, más que un inconveniente debe considerarse una ventaja, dado que puede llegar a ser un motivo para modificar el sentido del voto en relación con el Gobierno que ha cometido la infracción administrativa, como se ha señalado más arriba.

6.6. Principio de legalidad y la Administración pública como modelo de cumplimiento: nulidad más sanción y refuerzo del principio democrático

Otro de los argumentos que se puede utilizar en defensa de la revisión del actual sistema, tiene que ver con reforzar el principio de legalidad en la actuación administrativa y ampliar las consecuencias de la nulidad de la actuación correspondiente.

Si mediante una actuación administrativa un ente público vulnera una obligación prevista en el RGPD, no basta con que dicho acto sea declarado nulo o anulable, sino que, en buena lógica, se habrá cometido, además, una infracción administrativa de las tipificadas en el artículo 83 del RGPD, por lo que habría que imponer la correspondiente sanción administrativa.

No basta en estos casos, en mi opinión, con señalar la actuación ilegal y declararla nula (vulnera un derecho fundamental), sino que tiene que haber más consecuencias. Los ciudadanos no entienden que la Administración que comete las mismas infracciones no sea sancionada en similares términos. No se trata solo de una cuestión de discriminación, que también, sino de reforzamiento del principio democrático. Que los ciudadanos vean que, ante los mismos hechos, todos, incluidas las Administraciones públicas, pueden ser sancionadas.

Todo ello, además, teniendo en cuenta que quien regula y sanciona debería ser absolutamente pulcro en el cumplimiento de las obligaciones que supervisa. Es decir, que la Administración debe ser un modelo de cumplimiento normativo, no ya solo porque ejerce poder público y los tribunales controlan la legalidad de su actuación, sino porque los ciudadanos exigen ese cumplimiento. De alguna manera, el hecho de que los entes públicos puedan ser sancionados por la comisión de infracciones en la misma manera que los ciudadanos refuerzan, si se permite la expresión, el principio democrático.

Esto genera una cuestión que no puede ser tratada en este trabajo pero que puede resultar interesante: ¿Quién controla al controlador?, es decir ¿Quién supervisa el cumplimiento de las obligaciones del RGPD por parte de las autoridades de control?

Y no se debe olvidar que estamos, en definitiva, ante un derecho fundamental cuya defensa debe ser prioridad para la Administración, sin perjuicio de otros derechos fundamentales que pueden entrar en conflicto y que habrá que ponderar, como es lógico.

VII. SANCIONES ADMINISTRATIVAS A LAS ADMINISTRACIONES SÍ, PERO CON NECESARIOS MATICES

No obstante lo manifestado en el apartado anterior y la reivindicación que se hace en relación con una necesaria revisión del sistema que permita imponer sanciones económicas a los entes del sector público, lo cierto es que, según estimo, también es necesario, de alguna manera, atemperar el régimen sancionador a la especial naturaleza de las Administraciones públicas.

Por ello, entiendo que, al igual que el Comité Europeo de Protección de Datos aprobó unas directrices sobre modulación de las sanciones (Directrices 04/2022, sobre el cálculo de las multas administrativas contempladas en el RGPD), sería conveniente, de revisarse el sistema, establecer unos criterios normativos mínimos que tuvieran en cuenta determinadas circunstancias como el tamaño del ente, su naturaleza territorial o institucional, las circunstancias del incumplimiento, etcétera. En definitiva, establecer unos matices necesarios atendiendo a la especial naturaleza de la misión que constitucionalmente tiene encomendada el sector público, es decir, el servicio al interés general.

En esta línea, es necesario indicar que no puede ser tratado de la misma manera el incumplimiento que realizan los servicios de salud o de emergencia en una comunidad autónoma para salvaguardar la vida y a integridad física de los ciudadanos, que el que realiza una empresa pública que ofrece bienes y servicios en el mercado.

Todas estas cuestiones deberían tenerse en cuenta en una posible revisión del sistema. Una revisión que debe pasar, necesariamente, por una reforma del artículo 77 de la LOPDgdd y por el correspondiente desarrollo reglamentario. En este sentido, dado que el legislador europeo ha dado libertad a los Estados para configurar las sanciones a las autoridades y organismos públicos, debe hacerse a través de normas jurídicas internas. No resulta aquí adecuada la aprobación de directrices por el Comité Europeo de Protección de Datos cuya naturaleza jurídica, dicho sea de paso, no queda muy clara. Los instrumentos de soft law pueden ser adecuados, quizás, en el sector privado (aunque tengo mis dudas), pero no, desde luego, en el sector público donde rige el principio de legalidad y debe haber un mínimo de densidad normativa para que las Administraciones públicas puedan actuar.

VIII. BREVE REFERENCIA AL DERECHO COMPARADO

Lo cierto es que la posición adoptada por el legislador español en el sentido de no imponer multas administrativas económicas a las Administraciones públicas es compartida por otros países de nuestro entorno.

Así, por ejemplo, Francia establece en el Capítulo VII (artículo 45) de su Ley nº 78-17 de 6 de enero de 1978, modificada en el año 2018 para su adaptación al RGPD, una excepción en la imposición de multas económicas al Estado. En este sentido, podemos mencionar una resolución de la Comisión Nacional de la Informática y de las Libertades (CNIL), que es la autoridad francesa en materia de protección de datos, de 17 de octubre de 2024 (Délibération de la formation restreinte n°SAN-2024-017 du 17 octobre 2024 concernant le ministère de l'intérieur et des Outre-Mer et le ministère de la justice), por el que se realiza un “llamamiento al orden” al Ministerio de interior por la comisión de varias infracciones en materia de protección de datos. Es decir, en el caso de infracciones administrativas cometidas por el Estado, la sanción no es económica sino un simple apercibimiento o llamamiento al orden.

Sin embargo, siguiendo en el país galo, este criterio parece no aplicarse a otras entidades públicas. Así, la propia CNIL impone una multa a la comuna de Kourou(28), en la Guayana Francesa, de 6 900 euros por incumpliendo del deber de designar un Delegado de Protección de Datos(29). De lo que se deduce que la exención se limita al Estado y no alcanza a otras entidades públicas territoriales que sí pueden ser sancionadas con multas administrativas de tipo económico.

Por otro lado, la imposición de multas al sector público en el Reino Unido sí está permitido por su ordenamiento jurídico. Nada dice la Ley de Protección de Datos de 2018 (DPA) al efecto, pero lo cierto es que el The Information Commissioner’s Office (ICO), impone multas económicas a entidades públicas. Así, esta autoridad de control multó al Ministerio de Defensa (MoD) con 350 000 libras esterlinas por revelar datos de personas que buscaban reubicarse en el Reino Unido poco después de que los talibanes tomaran el control de Afganistán en 2021. Lo interesante de esta resolución de diciembre de 2023 es que redujo la propuesta inicial de sanción que ascendía a las 700 000 libras en consideración de que se trataba de un ente del sector público.

Para terminar las referencias de Derecho comparado, en Italia sí se permite imponer multas económicas a entidades públicas. Así el Garante per la Protezione dei Dati Personali (Garante), en una resolución de 20 de junio de 2024 (Registro dei provvedimenti n. 372 del 20 giugno 2024, Provvedimento [10039471]), impone una multa de 20 000 euros al municipio de Nepi, una pequeña población ubicada en la provincia de Viterbo en la región de Lacio, por violación de los artículos. 5, párr. 1, carta. a), 6 y 28 del RGPD:

IX. CONCLUSIONES

El RGPD permite a los Estados miembros configurar libremente el régimen sancionador a las autoridades y organismos públicos. Es decir, imponer sanciones económicas o no, según el legislador nacional considere.

En España, el artículo 77.2 de la LOPDgdd impide imponer multas económicas a las Administraciones y demás entes establecidos en el apartado primero del mismo artículo. Pero, según estimo, es necesario llevar a cabo una revisión del sistema que permita imponer multas a estos entes públicos. Las razones son variadas.

No existe ninguna objeción jurídica que impida optar por este régimen. Es, además, según entiendo, discriminatorio que las sanciones económicas afecten solo al sector privado, amén de ineficaz. Las Administraciones públicas deben, en este sentido, ser modelos de cumplimiento normativo, sobre todo teniendo en cuenta que se trata de un derecho fundamental. No es suficiente con la declaración de nulidad de la actuación administrativa de que se trate. Las consecuencias, en caso de incumplimiento y comisión de infracciones debe ser igual que en el sector privado, es decir, la imposición de sanción económica. Así se hace, sin mayor problema, en otros sectores del ordenamiento jurídico y está unánimemente aceptado por la doctrina.

Tampoco el presupuesto se verá gravemente afectado, y se refuerza, de paso, el principio democrático, es decir, los ciudadanos y empresas comprenderán que las normas son para todos y las consecuencias de su incumplimiento similares. En definitiva, que no hay excepciones ni islas de impunidad para el sector público.

Con ello no se quiere negar la especial naturaleza de las Administraciones y demás entes del sector público. Lógicamente, según entiendo, habrá que modular las correspondientes sanciones en función de la naturaleza específica del ente público. En esta línea, no puede ser igualmente considerado una pequeña Administración local, con problemas presupuestarios y que tiene encomendada por Ley la prestación de servicios públicos, que una gran empresa pública que ofrece bienes y servicios en el mercado.

No es de recibo, además, que uno de los países tradicionalmente más riguroso desde el punto de vista sancionador(30), sea especialmente débil con su sector público, llegando a exonerar las sanciones económicas a los entes públicos. Esto no ocurre, como se ha visto, en otros países de nuestro entorno.

Estimo, por tanto, humildemente, que la revisión es necesaria. Que los tiempos exigen una mayor responsabilidad del sector público, una mayor implicación con la defensa de este esencial derecho fundamental que se ha convertido, con la transformación digital, en una de las claves de bóveda del sistema de defensa de los ciudadanos frente a los avances tecnológicos más desarrollados. Especialmente, cuando el uso de estas tecnologías viene del poder público, es decir, de las Administraciones públicas que pueden imponer jurídicamente sus actos y ejecutar los mismos sin necesidad de acudir al Poder Judicial.

X. BIBLIOGRAFÍA

Black, E., (2001), IBM y el Holocausto: La alianza estratégica entre la Alemania nazi y la más poderosa corporación norteamericana, Atlántida.

Calvo Rojas, E., (2003), “Algunas consideraciones sobre el procedimiento sancionador en el ámbito de la protección de datos personales”, Cuadernos de Derecho Público, núm. 19-20, pp. 215-230.

Carbajal Iranzo, I., (2006), “Organización territorial en Francia”, Monográfico de la Revista Parlamentaria de la Asamblea de Madrid sobre la Organización territorial de los Estados Europeo, pp. 169-195.

Corral Sastre, A., (2024), “Las obligaciones de registro documental e información sobre hospedaje y alquiler de vehículos a motor en España a la luz de la normativa europea sobre protección de datos”, Revista Española de Derecho Europeo, núm. 90, pp. 89-114

Comisión Europea, “Informe de la Comisión - Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46 CE) /* COM/2003/0265 final */. Disponible en: ENLACE [Consulta 19 de octubre de 2024]

Cerrillo i Martínez, A., (2019), “Las características del consentimiento del interesado y su incidencia en el tratamiento de datos en las Administraciones Públicas”, Consultor de los ayuntamientos y de los juzgados, núm. Extra, 3, pp. 100-109.

Cervera Navas, L. (2023), “La apuesta de la Unión Europea por la protección global de los datos personales”, en Piñar Mañas, J. L. (Dir.), Privacidad en un mundo global, Tirant lo Blanch.

García Mexia, P., (2016) “La singular naturaleza jurídica del Reglamento General de Protección de Datos de la UE. Sus efectos en el acervo nacional sobre protección de datos”, en Piñar Mañas, J. L., (Dir.), Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, Reus

Green, M. C., J. A. Krosnick y A. L. Holbrook (2001): The survey response process in telephone and face-to-face surveys. Differences in respondent satisficing and social desirability response bias. Disponible en web: ENLACE [Consulta: 21 de septiembre de 2010]

Jiménez Asensio, R., (2019) “El nuevo marco normativo de la protección de datos personales: su aplicación a las entidades locales, Anuario Aragonés del Gobierno Local 2018, pp. 321-365.

Murillo de la Cueva, E. L., (2021), “Las autoridades autonómicas de protección de datos (Comentario al artículo 57 LOPDGDD)”, en Troncoso Reigada (Dir.) y González Rivas, J. J., (Pr.), Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales

Ortega Bernardo, J., (2017), “¿Se puede sancionar a la Administración por la ilegalidad de su actuación?”, El alcance de la invalidez de la actuación administrativa: actas del XII Congreso de la Asociación Española de Profesores de Derecho Administrativo, INAP.

Piñar Mañas, J. L., (2016), “Introducción. Hacia un nuevo modelo europeo de protección de datos”, en Piñar Mañas, J. L., (Dir.), Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, Reus.

Rebollo Puig, M., (2023), Responsables de las infracciones administrativas, Universidad de Sevilla.

Romeo Ruiz, A. (2020), “la responsabilidad Proactiva de las Administraciones Públicas en la Protección de datos Personales”, Revista Vasca de Gestión de Personas y Organizaciones Pública, 18, pp. 138-153.

Tornos Más, J., (2008), “Potestad sancionadora de la Agencia Española de Protección de Datos y principio de proporcionalidad”, en La potestad sancionadora de la Agencia Española de Protección de Datos, Thomson-Aranzadi, pp. 33-50.

Troncoso Reigada, M. J. (2012) “Hacia un nuevo marco jurídico europeo de la protección de datos personales”, Revista Española de Derecho Europeo, 43, pp. 25-184.

NOTAS:

(1). Que sea una norma de la era pre-Internet no justifica, en mi opinión, su reforma o derogación pues existen mecanismos jurídicos y fuentes del Derecho que han de ser capaces, aplicados debidamente, de colmar las lagunas y adaptar los ordenamientos a los tiempos actuales.

(2). En este sentido, el Considerando 32 de la Directiva señalaba que: “ [] que corresponde a las legislaciones nacionales determinar si el responsable del tratamiento que tiene conferida una misión de interés público o inherente al ejercicio del poder público, debe ser una administración pública u otra persona de derecho público o privado, como por ejemplo una asociación profesional”.

(3). En palabras de Jiménez Asensio, R., (2019) “El nuevo marco normativo de la protección de datos personales: su aplicación a las entidades locales, Anuario Aragonés del Gobierno Local 2018, p. 322: “Las razones de ese tránsito en la concepción del problema tienen que ver con dos factores sustantivos:

a) La posición dominante de las grandes compañías tecnológicas que tienen una posición de cuasi monopolio en todo lo que afecta a los datos personales con un volumen de información cada vez más abrumador, lo que puede tener serias consecuencias sobre los derechos de la persona y la propia subsistencia del Estado democrático tal como lo hemos concebido tradicionalmente;

b) El acelerado e incierto desarrollo tecnológico que, basado en el dato personal y en los algoritmos, está inaugurando una nueva revolución tecnológica de resultados altamente inciertos, un contexto que exige incidir especialmente en la prevención o en el denominado <<enfoque de riesgos>>”

(4). Se llega a hablar de “efecto Gruyère” por la cantidad de ocasiones en las que el propio RGPD deja “vacíos regulatorios cortésmente cedido al Derecho de los Estados.

(5). Artículos 12, 13 y 14 del RGPD

(6). Este acrónimo hace referencia a los derechos de acceso, rectificación, supresión (derecho al olvido), limitación, obligación de notificación sobre rectificación, supresión o limitación, portabilidad, oposición y el derecho a no tomar decisiones individuales automatizadas, incluida la elaboración de perfiles, reconocidos en el artículo 15 a 22 del RGPD, y con un régimen especial en cuando a su ejercicio y el incumplimiento por parte de los responsables y encargados de tratamiento. Me gustaría recalcar la importancia del derecho a que no se tomen decisiones individualizadas automatizadas, incluida la elaboración de perfiles, ante el auge de la inteligencia artificial pues resulta que muchos de los derechos que los ciudadanos pueden esgrimir frente al uso indebido de esta tecnología nacen del propio RGPD, pese a la reciente normativa aprobada en julio de este año: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).

(7). Artículo 30 del RGPD que señala que será obligatorio para todas aquellas empresas u organizaciones que empleen, al menos, a 250 personas, o cuando el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

(8). Reguladas en el artículo 35 del RGPD.

(9). Artículos 37 y 38, será necesario cuando el responsable o encargado sea una Administración pública.

(10). Artículos 24 y 25 del RGPD. Se trata, en mi opinión, de dos preceptos esenciales para evitar que el RDPD incurra en obsolescencia como consecuencia del avance de las tecnologías.

(11). El 22 de mayo de 2023, Meta Platforms Ireland Limited (Meta IE), recibió la multa más alta impuesta en aplicación del RGPD: 1.200 millones de euros. Esta multa se impuso por las transferencias de datos personales de Meta a los EE. UU. sobre la base de cláusulas contractuales estándar (SCC) desde el 16 de julio de 2020. Además, se ha ordenado a Meta que cumpla con sus transferencias de datos. con el RGPD. Véase la nota de prensa en ENLACE, [consultado el 23 de octubre de 2024]

(12). Algunas sentencias que se refieren a este derecho en el ámbito sancionador del Derecho de la competencia: (sentencias del Tribunal de Justicia de 17 de diciembre de 1998, Baustahlgewebe/Comisión, C 185/95 P, Rec. p. I 8417, apartado 58, y de 8 de julio de 1999, Comisión/Anic Partecipazioni, C 49/92 P, Rec. p. I 4125, apartado 86; sentencia del Tribunal General de 25 de octubre de 2011, Aragonesas Industrias y Energía/Comisión, T 348/08, Rec. p. II 0000, apartado 90)

(13). En este sentido se pronuncia la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección 6ª) en su sentencia de 14 diciembre 2020 (JUR 2021\69866) “por lo que respecta a la llamada prueba indiciaria (), quien sanciona parte de un hecho conocido y cierto del que a través de un razonado proceso de análisis deductivo se concluye la existencia de otro desconocido, hasta ese momento, pero también cierto y veraz, donde se culmina y manifiesta la conducta infractora y la culpabilidad de quien la cometió. Este proceso debe estar trabado con la suficiente fuerza persuasiva que lleve, sin dudas, a la convicción de quien sanciona de que los hechos se han producido tal y como se describen, de manera que sea posible establecer una directa relación entre estos y las consecuencias punitivas que se anudan, descartando cualquier otra explicación alternativa”.

(14). Estos criterios han sido desarrollados por el Comité Europeo de Protección de Datos que ha aprobado las Directrices 04/2022, sobre el cálculo de las multas administrativas contempladas en el RGPD, pero no dejan de ser criterios interpretativos de “soft law”,

(15). La ponencia a la que me refiero se titulaba “La potestad sancionadora de las autoridades de control seis años después de la entrada en vigor del RGPD” en el Seminario “Las competencias de las autoridades de control en materia de protección de datos desde la perspectiva de la regulación europea”, celebrado el día 2 de julio de 2024 en la Facultad de Derecho de la Universidad de Murcia y a la que fui amablemente invitado por el profesor Julián Valero Torrijos.

(16). Artículo 156 de la Ley Orgánica 6/2006, de 19 de julio, de reforma del Estatuto de Autonomía de Cataluña y Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.

(17). Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos

(18). Artículo 82 de la Ley Orgánica 2/2007, de 19 de marzo, de reforma del Estatuto de Autonomía para Andalucía y Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.

(19). Resolución disponible en la página web: ENLACE, [última vez consultada el 31 de octubre de 2024)

(20). En la redacción dada por la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, por el que se modifican, entre otras muchas, la LOPDgdd.

(21). “Cabe mencionar dos circunstancias que, sin duda, favorecen estas carencias que venimos señalando, tanto la falta de efectividad en la protección como la escasa beligerancia en la defensa del propio derecho. De un lado, si antes hemos señalado que la LOPD contiene un elenco de sanciones económicas de considerable cuantía, también hemos indicado que ninguna de éstas puede imponerse cuando el responsable de la infracción es una Administración Pública, pues en tal caso el artículo 46 LOPD (y lo mismo sucedía con el art. 45 de la antigua LORTAD) excluye la sanción económica y limita el alcance de la resolución a que por parte del Director de la Agencia de Protección de Datos se establezcan las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción y, en su caso, se proponga la iniciación de actuaciones disciplinarias contra la autoridad o funcionario responsable. Pues bien, aunque a algunos puede parecer un gesto prudente esta decisión del legislador de excluir las sanciones económicas cuando el infractor es una Administración Pública, debe notarse que este trato privilegiado no deriva de una exigencia constitucional ni es consustancial al juego de las relaciones interadministrativas y, de hecho, no existe esa misma cautela o deferencia en otros ámbitos de la acción administrativa. Todo indica que el legislador ha sido consciente de que el incumplimiento era (y es) masivo en este ámbito, y muy particularmente destacada la falta de cumplimiento por parte de las Administraciones Públicas, y ha preferido seguir respecto de éstas la vía de la persuasión para la paulatina implantación de nuevos modos de actuar en materia de protección de datos.

(22). Todos y cada uno de los elementos o ejes de ese Nuevo Modelo de Gestión de Protección de Datos Personales deben ser puestos en marcha, con distinta intensidad como se decía, por todas y cada una de las Administraciones Públicas y por las entidades de su sector público (con las matizaciones que se harán en su momento). Sin duda, el reto es importante. Y no cabe orillar que el proceso de adaptación de las estructuras organizativas de las Administraciones Locales y de sus entidades del sector público será lento y gradual, más aún cuando los incentivos para ese proceso de adaptación son pocos y las sanciones enormemente blandas, lo que puede generar aplicaciones lentas o, incluso, poco efectivas en el sector público. Especialmente complejo será ese proceso de cambio en los municipios o entidades locales que no dispongan de capacidad de gestión o de recursos al efecto. Hay, como se señala luego una suerte de ficción a la hora de considerar que cualquier <<organismo o autoridad pública>> está en condiciones de llevar a cabo semejante adaptación en los plazos que marca la legislación vigente.

(23). Artículo 39.1 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas: “Los actos de las Administraciones Públicas sujetos al Derecho Administrativo se presumirán válidos y producirán efectos desde la fecha en que se dicten, salvo que en ellos se disponga otra cosa”

(24). Artículo 98.1 de la misma Ley 39/2015: Los actos de las Administraciones Públicas sujetos al Derecho Administrativo serán inmediatamente ejecutivos []

(25). Estos datos, por cierto, tiene un régimen todavía más laxo previsto en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

(26). En una noticia publicada en la página web de “La Sexta”, “El 'Gran Hermano' de China, Rusia y EEUU: así usan la inteligencia artificial para vigilar a sus ciudadanos.” Se pone de manifiesto los sistemas de crédito social que utilizan Estados como China, Rusia o Estados Unidos. Existe el riesgo de que la seguridad pública y un pretendido estado de “preguerra”, pueda trasladar estos sistemas a la Unión Europea, aunque lo cierto es que el RGPD lo prohíbe. [última vez consultado el 2 de noviembre de 2024]

(27). Directrices 04/2022, sobre el cálculo de las multas administrativas contempladas en el RGPD

(28). Una comuna es, según la ley del 2 de marzo de 1982, una colectividad territorial de Francia. Sus órganos son el Consejo municipal la mairie (ayuntamiento) y en el caso de que no puedan ejercer su poder uno o más adjuntos. Es decir, es una entidad territorial. Así, de acuerdo con Carbajal Iranzo, I., (2006), “Organización territorial en Francia”, Monográfico de la Revista Parlamentaria de la Asamblea de Madrid sobre la Organización territorial de los Estados Europeos, p. 174, “La doctrina jurídico-administrativa emplea el término <<colectividades territoriales>> para englobar a comunas y departamentos, con el fin de diferenciarlos de la otra gran categoría de entes con personalidad jurídica pública del Derecho público francés, los establecimientos públicos. El carácter territorial configura la clave para distinguirlos, pues las colectividades territoriales ejercen sus competencias (que gozan de un carácter general) sobre un determinado territorio, mientras que el ejercicio de las competencias específicas de los establecimientos públicos no está determinado por el territorio.

(29). Délibération SAN-2024-009 du 22 juillet 2024

(30). En la página web: ENLACE, se pueden comprobar la actividad sancionadora de las autoridades de control nacionales. Bien es cierto que las sanciones económicas más altas han sido impuestas, hasta ahora, por la autoridad irlandesa, pero lo cierto es que España tiene una actividad muy intensa desde el punto de vista sancionador.

Comentarios