Hoy, 28 de enero, se celebra el Día Europeo de la Protección de Datos o Día internacional de la Privacidad de la Información, que tiene su origen en la firma del Convenio del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, que fue el primer instrumento internacional vinculante en esta materia.
En España ya había una previsión en nuestra Constitución de 1978 (art. 18.4): “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Pero no se concretó hasta la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal, de 1992 (LORTAD).
Este año se celebran, pues, tres décadas de Protección de Datos en España y es un buen momento para echar la vista atrás, ver el camino recorrido y los logros alcanzados, analizar el complicado momento actual y afrontar los apasionantes retos que tenemos por delante: tanto las empresas como las administraciones y, sobre todo, los ciudadanos, que son los titulares de este derecho fundamental.
La Agencia Española de Protección de Datos (1992-2022)
En la Exposición de motivos de la LORTAD (apartado 5) ya se explicaba que: “Para asegurar la máxima eficacia de sus disposiciones, la Ley encomienda el control de su aplicación a un órgano independiente, al que atribuye el estatuto de Ente público (…). A tal efecto la Ley configura un órgano especializado, denominado Agencia de Protección de Datos, a cuyo frente sitúa un Director”.
Y seguía diciendo: “La Agencia se caracteriza por la absoluta independencia de su Director en el ejercicio de sus funciones; independencia que trae causa, en primer lugar, de un expreso imperativo legal, pero que se garantiza, en todo caso, mediante el establecimiento de un mandato fijo que sólo puede ser acortado por un númerus clausus de causas de cese”.
Por su parte, el artículo 35, relativo al Director, establecía que “será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años”, sin hacer mayores precisiones sobre los requisitos de idoneidad para el cargo (en especial, conocimientos y experiencia en materia de protección de datos) ni sobre el procedimiento de su nombramiento.
Es en el Real Decreto de 26 de marzo de 1993, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, donde se prevé: “El Director de la Agencia de Protección de Datos será nombrado por el Gobierno, mediante Real Decreto, a propuesta del Ministro de Justicia, de entre los miembros del Consejo Consultivo”, directamente, sin ningún examen de idoneidad (artículo 14.1).
Eso no ha sido obstáculo para que los sucesivos Directores y Directora que ha tenido la AEPD: Juan José Martín-Casallo (1993-1998), Juan Manuel Fernández (1998-2002), José Luis Piñar (2002-2007), Artemi Rallo (2007-2011), José Luis Rodríguez (2011- 2015) y Mar España (2015-2022) hayan ejercido sus funciones con absoluta independencia y sus logros sean reconocidos internacionalmente.
La nueva estructura de la AEPD
El Reglamento General de Protección de Datos de 2016, prevé (artículo 52.4): para garantizar su independencia, que: “Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes”.
Y el artículo 53.1: “Los Estados miembros dispondrán que cada miembro de sus autoridades de control sea nombrado mediante un procedimiento transparente por: (1) su Parlamento, (2) su Gobierno, (3) su Jefe de Estado, o (4) un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros”.
Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, de 2018, establece: “La Presidencia de la Agencia Española de Protección de Datos y su Adjunto serán nombrados por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos”. (artículo 48.3).
Y sigue: “Previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos, el Gobierno remitirá al Congreso de los Diputados una propuesta de Presidencia y Adjunto acompañada de un informe justificativo que, tras la celebración de la preceptiva audiencia de los candidatos, deberá ser ratificada por la Comisión de Justicia en votación pública por mayoría de tres quintos”…
Es decir, el legislador optó por un procedimiento de nombramiento mediante un acuerdo conjunto entre Gobierno y Parlamento, por mayoría cualificada en primera votación, que asegurase la estabilidad de la institución (frente al sistema anterior en que el Gobierno de turno nombraba discrecionalmente a los cargos) y tras una evaluación de idoneidad (que no se producía en el anterior sistema).
El Supervisor Europeo de Protección de Datos
Este sistema no es nuevo; está inspirado en el procedimiento de nombramiento del Supervisor Europeo de Protección de Datos, que también se produce por un acuerdo conjunto del Consejo y el Parlamento europeos, como consta en el Reglamento relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión (2018).
Dice su artículo 53.1: “El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La lista de candidatos será pública y constará como mínimo de tres candidatos”.
El nuevo Estatuto de la Agencia Española de Protección de Datos (junio de 2021) y la Orden Ministerial (noviembre de 2021) de convocatoria del proceso selectivo, copian el sistema: presentación pública de solicitudes, evaluación de idoneidad por un Comité de Selección, elaboración de una ‘lista corta’ de tres candidatos y acuerdo conjunto del Gobierno y el Parlamento, sobre la base de esa lista.
Hay opiniones a las que el procedimiento anterior de nombramiento de Director de la Agencia Española de Protección de Datos -directamente por el Gobierno de turno y sin necesidad de ningún requisito ni evaluación de su idoneidad- les parecía bien y el actual, que requiere el acuerdo de tres quintos del Parlamento y la evaluación previa de la idoneidad de los candidatos, no les parece tan bien.
Y quisieran legítimamente que dichos nombramientos no fueran por un acuerdo conjunto de Gobierno y Parlamento (por una mayoría cualificada que sirve para nombramientos de otros órganos constitucionales), sino por un organismo independiente (posibilidad que prevé el art. 53.1 del RGPD). Sólo tienen que promover la reforma de la LOPD (de 2018) y del Estatuto de la AEPD (de 2021).
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios