En un momento en el que la protección de datos es fundamental para garantizar los derechos y libertades de los ciudadanos, la Agencia Española de Protección de Datos (AEPD) se encuentra limitada a la hora de imponer sanciones monetarias a las administraciones públicas.
Este hecho supone un riesgo evidente para la correcta aplicación de las normas, ya que muchas administraciones pueden caer en la inacción, sabiendo que no se enfrentarán a sanciones económicas incluso si vulneran las obligaciones establecidas en el Reglamento General de Protección de Datos (RGPD).
Según el RGPD, la protección de los datos personales en Europa es un derecho fundamental, y las autoridades de control, como la AEPD, deben tener la capacidad de sancionar cualquier infracción. Sin embargo, en España, el artículo 77 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece que las administraciones públicas no pueden ser multadas económicamente por infracciones en esta materia. En su lugar, se les puede ordenar corregir su conducta y adoptar medidas para cumplir con la normativa. Si bien es cierto que las medidas correctivas son necesarias, la falta de sanciones económicas resta poder disuasorio a la ley.
Comparativa con otros países de la Unión Europea
Este vacío sancionador en España contrasta con la situación en otros países de la Unión Europea, donde las autoridades de protección de datos sí pueden imponer sanciones monetarias a las administraciones públicas. En países como Alemania, las agencias de protección de datos pueden imponer sanciones económicas, y no existe una exención automática para las administraciones públicas. Francia también permite que su autoridad de control, la CNIL, imponga sanciones financieras a entidades públicas, en casos de infracciones graves. Esta capacidad sancionadora en otros países ha demostrado ser más efectiva para garantizar que las administraciones cumplan con sus obligaciones en la protección de datos personales.
El Reglamento General de Protección de Datos (RGPD), en su artículo 83, establece que las infracciones pueden ser sancionadas con multas administrativas, sin hacer una distinción explícita entre entidades privadas y públicas. El reglamento deja cierta flexibilidad a los estados miembros para decidir si las autoridades públicas deben ser sancionadas con multas, pero no exime a los gobiernos de cumplir con las normas de protección de datos. Esto crea una disparidad de criterios dentro de la UE, donde en algunos países las administraciones son plenamente responsables de sus infracciones, mientras que en otros, como España, se les permite una mayor indulgencia.
Riesgo de inacción de las administraciones públicas
Esta falta de sanciones económicas en España aumenta el riesgo de que las administraciones públicas no tomen las medidas necesarias para garantizar una correcta gestión de los datos personales. Sin la presión de sanciones monetarias, las instituciones pueden verse menos motivadas a cumplir con sus obligaciones, lo que compromete la seguridad de los datos de millones de ciudadanos. La protección de datos debe estar garantizada tanto en el ámbito privado como en el público, ya que las administraciones manejan información personal muy sensible.
Necesidad de una reforma
Es urgente revisar la legislación española para equiparar su régimen sancionador al de otros países europeos, permitiendo que la AEPD pueda imponer sanciones monetarias a las administraciones públicas cuando incumplan la normativa. La falta de este tipo de sanciones debilita el sistema de protección de datos y deja a los ciudadanos en una posición vulnerable ante posibles abusos o negligencias por parte de las autoridades.
En definitiva, mientras que en otros países de la Unión Europea las administraciones pueden ser sancionadas económicamente, España sigue siendo más laxa en este aspecto, lo que aumenta el riesgo de inacción y una falta de cumplimiento efectivo en materia de protección de datos. La AEPD debe ser dotada de todos los recursos y competencias necesarios para actuar de manera eficaz, incluyendo la capacidad de imponer sanciones monetarias a las administraciones, con el fin de garantizar una protección de datos real y efectiva para todos los ciudadanos.
José Jesús Chacartegui, asesor en protección de datos de Jolls Legal, con la colaboración de ChatGPT.