La agencia de protección de datos

• Autor: Ana Isabel Herrán Ortiz

En el ámbito europeo la primera de las normas que hace referencia a la existencia de una autoridad de control fue el Convenio 108 del Consejo de Europa, si bien en todo caso no entra a definir los criterios ni las pautas que debían inspirar la actuación y las funciones del citado órgano en el ámbito nacional. En efecto, en dicho Convenio el artículo 13.2 impone a los Estados partes la designación de una o varias autoridades de control, cuya ubicación y denominación debían comunicarse al Secretario General del Consejo de Europa⁸⁵. Sin embargo las disposiciones del Convenio no van más allá de esa obligación de designar a la autoridad de control, sin que de la misma puede deducirse cuál debe ser la naturaleza y cuáles las funciones o pautas de actuación de la citada autoridad de control.

A esta situación pronto se puso solución a partir de la Directiva 95/46/CE que no sólo prevé la necesidad de establecer autoridades de control en los Estados miembros, sino que al mismo tiempo establece los criterios o los principios que deben regir la regulación y la configuración jurídica de estas instituciones en los países miembros. Y así, en los considerandos del texto comunitario se contempla la creación de una autoridad de control “que ejerza sus funciones con plena independencia en cada uno de los Estados miembros” como elemento fundamental del sistema de protección de las personas en lo que respecta al tratamiento de sus datos personales (cfr. considerando 62). Abundando en lo expresado en el considerando 63 se indica que “dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; que tal autoridad ha de contribuir a la transparencia de los tratamientos de datos efectuados en el Estado miembro del que dependa”.

Así, a continuación se analizarán las novedades introducidas en la configuración jurídica de la Agencia de Protección de Datos a partir de la LOPD, a la luz de las disposiciones comunitarias, para poder determinar si su actual regulación como consecuencia de la transposición se ha acomodado o no a las prescripciones comunitarias expuestas en la Directiva 95/46/CE, y que fueron objeto de estudio en el Capítulo II. Sirva a modo de anticipo, que pocos han sido los cambios y modificaciones que se han introducido en la estructuración de la Agencia respecto de su regulación en la LORTAD.

4.1. Naturaleza y régimen jurídico de la Agencia de Protección de Datos. La independencia como asignatura pendiente

La importancia de la Agencia de Protección de Datos en el sistema de garantías constitucional no pasó desapercibida para algún Grupo Parlamentario –en concreto para el Grupo Vasco–, que a este respecto, destacó la naturaleza constitucional de la Agencia, ya que “parece que dentro del organigrama constitucional se considera de mayor relevancia la figura del Defensor del Pueblo, o incluso la existencia del Tribunal de Cuentas, cuando si la Agencia de Protección de Datos no tiene previsión en el propio texto constitucional es porque no podía tenerla, puesto que en el año 1978 no estabamos obligados a la creación de un órgano de este estilo. Sin embargo con la justificación que contiene la enmienda número 84 del Grupo Vasco respecto a la que la Agencia de Protección de Datos nace de la previsión del artículo 18.4º de la Constitución, previsión que debe cumplir el artículo 10.2 en cuanto que estamos sometiéndonos a obligaciones internacionales asumidas, fruto de nuestra pertenencia a la Unión Europea, se puede perfectamente concluir del juego de estos dos preceptos que estamos contemplando que el Director de la Agencia tiene relevancia constitucional”⁸⁶. En efecto, no puede ni debe menospreciarse la significación que está llamada a desempeñar en el orden constitucional, sobre todo en el ámbito de la garantía de los derechos fundamentales la Agencia de Protección de Datos, como órgano de tutela de los derechos de las personas frente al tratamiento de sus datos personales.

Así, la Agencia de Protección de Datos debe ser considerada como un órgano constitucional, y además, a tenor de lo dispuesto en el artículo 35 de la LOPD:

La Agencia de protección de datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.

Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio ⁸⁷ , que será aprobado por el Gobierno.

De lo expuesto en la Ley, se desprende la naturaleza de Administración independiente de la Agencia de Protección de Datos. Lo que viene a significar que en su actuación y funcionamiento se debe adecuar a los principios de independencia y de neutralidad. Se trata de independencia respecto del Gobierno, y neutralidad en su actuación, respecto de cualesquiera directrices políticas.

Así, será fácil comprobar si la Agencia de Protección de Datos participa de las notas que todos los autores entienden que definen a las administraciones independentes, a saber:

a) que los miembros de sus órganos colegiados de gobierno y de administración no pueden ser removidos discrecionalmente, ni recibir órdenes ni instrucciones del Gobierno, lo que permite que pueda hablarse de una administración independiente en su actuación y funcionamiento;

b) que se trata de entes de control y actuación en determinados sectores o ámbitos de la realidad social o económica.

Resumiendo, de todo lo anterior se desprende una ausencia de sometimiento jerárquico a la estructura y organización del Estado, de suerte que sólo será posible el control de legalidad por los organos jurisdiccionales, y que únicamente será posible destituir al Director en los restringidos supuestos contemplados en la LOPD⁸⁸. Haciendo propias las reflexiones de BETANCOR RODRÍGUEZ la garantía más importante de independencia de la Agencia de Protección de Datos, es su naturaleza orgánica, ya que se encuentra dirigida por un director nombrado por el Gobierno, que dirige y ostenta la representación de la Agencia con plena independencia y objetividad, no estando sujeto a instrucción alguna, máxime cuando sus actos y resoluciones en el ejercicio de sus funciones públicas ponen fin a la vía administrativa, y sólo son impugnables ante la jurisdicción contencioso-administrativa⁸⁹. A juicio de DE LA SERNA BILBAO, sin embargo, resulta especialmente significativo para valorar la independencia de la Agencia de Protección de Datos analizar los motivos y supuestos de cese anticipado del Director de la Agencia, y su incidencia sobre la libre actuación del mismo.

Por otro lado, la Agencia de Protección de Datos ha de contemplarse desde una perspectiva amplia de las administraciones independientes, de suerte que sólo podrá predicarse la independencia de aquélla cuando se garantice una independencia en las designaciones de sus cargos, no se halle inserta en la organización jerárquica de la administración, el contenido de sus actos normativos o de gestión no se encuentre sujeto a instrucción, disponga de patrimonio y financiación propia y cuando sus actos sean revisables únicamente en vía judicial. Ello no obstante, habida cuenta de la especialidad y singularidad de la actividad de la Agencia y de sus finalidades, la independencia en su funcionamiento vendrá determinada a partir de un conjunto de aspectos que en sí mismos y en relación con esta institución en particular delimitan su condición de independiente respecto de la administración, y que han sido definidos con el propósito de ofrecer una perspectiva más dinámica y real del funcionamiento y la naturaleza de la Agencia de Protección de Datos⁹⁰. Por tanto, la configuración jurídica de la Agencia como administración independiente, se halla vinculada a determinados criterios de autonomía, que no siempre responden a la realidad del funcionamiento de la Agencia, si bien estas ausencias o descuidos no pueden llevar a desconocer su naturaleza de administración independiente, ya que un repaso a la regulación de otras administraciones independienes permitirá comprender que en ningún caso se responde fielmente y de forma estricta al modelo o estructura definida anteriormente, y sin embargo, no por ello dejan de tener la consideración de administraciones independientes. Tal vez el más importante de esos descuidos lo constituye la falta de previsión a propósito de la independencia económica y financiera de la Agencia, que representa la mayor carencia de su funcionamiento, tan es así que siempre, tal y como la LOPD contempla, está previsto que la Agencia elabore y apruebe con carácter anual un proyecto de presupuesto que remitirá al Gobierno para integrarlo en los Presupuestos Generales del Estado, lo que permite alcanzar una clara idea de la falta de una independencia patrimonial.

Pero, aún más, la pretendida independencia que se predica de la Agencia de Protección de Datos, no lo es tanto, ya que se trata de una independencia orgánica y funcional, que en la práctica es más teórica que real, ya que tanto la designación del Director de la Agencia como la de los miembros del Consejo Consultivo se produce con la intervención del Gobierno, lo que representa una quiebra en la actuación independiente del Director, e introduce una nota de debilidad y fragilidad en la autoridad misma de esta figura, que está llamada a erigirse en elemento clave de la protección y tutela de las personas en lo que respecta al tratamiento de sus datos personales en el derecho español⁹¹. No lo entiende así DE LA SERNA BILBAO para quien la independencia de la Agencia de Protección de Datos se confirma y refuerza a través de la regulación del cese anticipado de su Director, y mediante el reconocimiento de una autonomía presupuestaria⁹².

Por su parte, “en el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley...