Hace unos días el Diario La Ley publicaba un interesante estudio sobre las Multas impuestas por la Agencia Española de Protección de Datos (AEPD) en 2019, en aplicación del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, vigente desde el 25 de mayo de 2018, con el detalle de los motivos (las infracciones) y las cuantías (de las multas).
El número total de expedientes sancionadores que han acabado en una propuesta de multa es, hasta ahora, de 19. Y el importe total de las sanciones asciende a casi un millón de euros (972.600 €), destacando por encima de todas, las propuestas de multas a la Liga Nacional de Fútbol Profesional (250.000 €) y a una empresa de energía (100.000 €).
El estudio hace una clasificación del resto de las multas por sectores o grupos de actividades, destacando el de servicios de internet y telecomunicaciones (10 multas que suman un importe total de 399.000 €), reclamaciones de deudas y ficheros de morosos (4 multas por un importe total de 185.000 €) y videovigilancia (3 multas que suman 38.600 €).
¿Y las Administraciones Públicas?
Lo que se echa de menos -por el profano- en este estudio es que en el primer año de aplicación del RGPD no se haya impuesto ninguna multa a ningún organismo o administración pública. ¿Tan bien realizan los tratamientos de datos personales las administraciones públicas, que ninguna de ellas ha cometido ni un solo error en el cumplimiento de una normativa que no es, precisamente, sencilla?
Si utilizamos el buscador de resoluciones de la página web de la AEPD, podemos comprobar que, desde el 25 de mayo de 2018 y en aplicación del RGPD, hay tres procedimientos sancionadores contra Administraciones Públicas que han acabado con una propuesta de sanción: al Ayuntamiento de Parla, a la Secretaría General de Instituciones Penitenciarias y al Concejo de Garisoain.
¿A cuánto ascienden las multas que ha impuesto la AEPD a dichos organismos? A la vertiginosa suma de cero euros. Las sanciones han consistido sólo en un mero apercibimiento. Por unas infracciones que, si las hubieran cometido unas empresas privadas, hubieran supuesto, sin dudas, unas multas económicas muy cuantiosas. Y no nos referimos a las grandes empresas, sino incluso a las PYMEs.
¿Por qué no se multa a las Administraciones Públicas?
El RGPD (art. 83.7) establece que: "Sin perjuicio de los poderes correctivos de las autoridades de control… cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro". Es decir, el RGPD da libertad a los Estados para poder multar a las administraciones públicas.
Sin embargo, la nueva Ley Orgánica de Protección de Datos, de 2018, establece (art. 77) que el “Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento” (órganos constitucionales, administraciones públicas y grupos parlamentarios) sólo incluye: apercibimiento, actuaciones disciplinarias, amonestación y publicación en la web. Ni rastro de las multas económicas.
Esta postura no es nueva, porque en la anterior LOPD (de 1999) tampoco se podía multar económicamente a las administraciones públicas: el órgano sancionador sólo podía dictar una resolución estableciendo las medidas que procedía adoptar para que cesaran o se corrigieran los efectos de la infracción (art. 46.1). Postura que, a su vez, ya estaba en la vieja LORTAD de 1992 (art. 45). ¡Hace 27 años!
Ejemplaridad pública
Los defensores de esta postura, que, como hemos visto, es la tradicional e histórica en materia de protección de datos (en otras materias sí es posible), afirman que no tiene sentido multar a las administraciones públicas porque la multa la pagaríamos los contribuyentes. Pero esto no es así, porque no nos cobrarían más impuestos para pagarlas, sino que tendrían que hacerlo con los presupuestos que tuvieran.
Lo que ocurriría es que, al pagar las mismas multas que las empresas privadas, por las mismas infracciones, no podrían hacer las cosas que tenían previstas con sus presupuestos y deberían responder por ello ante los ciudadanos como malos gestores. Pero el dinero no se perdería, porque las multas de la AEPD se ingresan en el Tesoro y servirían, entre otras cosas, para enjugar el déficit público.
Y, sobre todo, es una cuestión de ejemplaridad pública. No se puede exigir a las empresas lo que no hace la propia administración. Y no es menos grave, sino más, que un mal tratamiento de datos lo haga una administración pública. De hecho, es un tipo agravado en los delitos contra la intimidad. Y, por el tipo de datos sensibles que tratan las administraciones públicas, el perjuicio al ciudadano puede ser mayor.
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios