La doctrina del interés legítimo del denunciante y la desprotección de datos.

La doctrina del interés legítimo del denunciante produce efectos muy particulares en el ámbito de la protección de datos personales ya que impide materialmente fiscalizar la la actuación de la Agencia Española de Protección de Datos cuando en su actuación no tuela los derechos fundamentales de un denunciante. Como es sabido la Agencia puede actuar bien de oficio, bien a instancia de parte mediante denuncia o invocación de la tutela del regulador en los casos de no atención adecuada a un derecho de acceso, rectificación, cancelación y oposición al tratamiento.

La Agencia tiene definida por el artículo 37.1.a) de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la función de «velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos». Por tanto, no parece aventurado calificar a la Agencia como un garante especializado en la tutela de un derecho fundamental muy concreto: el derecho fundamental a la protección de datos. En este sentido, incorporaría sin duda un perfil de ombudsman pero con una peculiaridad diferenciadora respecto del Defensor del Pueblo: su potestad sancionadora que incluso en casos excepcionales podría paralizar a toda una organización si se ejerce la facultad de inmovilizar un fichero.

En el ejercicio de sus poderes la Agencia Española de Protección de Datos debería resultar profundamente influida por elementos cruciales en el Ordenamiento propio de la protección de datos personales. En primer lugar, desde el punto de vista del Ordenamiento interno la jurisprudencia del Tribunal Constitucional, y significativamente la STC 292/2000, permanentemente citada por la AEPD en sus resoluciones e informes, configura el derecho fundamental a la protección de datos como un derecho instrumental de naturaleza prestacional. Es decir, como bien señala el artículo 18.4 CE un tratamiento de datos se proyecta en más de una ocasión sobre el conjunto de nuestra esfera de derechos. Por tanto, al tratar inadecuadamente un dato puede vulnerarse el derecho a la integridad física, -errores médicos-, el derecho a la educación, -preinscripciones-, o el derecho a un adecuado desarrollo de la infancia, valor tutelado por el artículo 20 CE y no siempre protegido por quien debería. Por otra parte, a diferencia de la familia de derechos del artículo 18 CE la tutela de los datos personales no se basa en meros deberes de abstención y exige una actuación prestacional no sólo por responsables y encargados, sino por el propio regulador cuando ejerce sus poderes de investigación, inspección, sanción o tutela.

En segundo lugar, la sentencia Schrems ha confirmado con cierta crudeza lo que cualquier lector avezado podía deducir del Convenio 108/1981 y de la Directiva 95/46/CE. Y es que, si bien las autoridades no tienen por qué estimar todas las denuncias, si vienen obligadas a una acción positiva, y cuando ésta no se ejerce, materialmente se está afectando al derecho fundamental a la protección de datos. El Tribunal de Justicia no lo declara con esta rudeza pero si señala en sus obiter dicta que «las autoridades nacionales de control disponen de una amplia gama de facultades, y éstas, enumeradas de forma no exhaustiva por el artículo 28, apartado 3, de la Directiva 95/46, constituyen otros tantos medios necesarios para el cumplimiento de sus funciones». No se trata por tanto de facultades de uso discrecional, sino necesarias para la garantía de un derecho. Y algunas se destacan expresamente:

«Así pues, esas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, de facultades efectivas de intervención, como la de prohibir provisional o definitivamente un tratamiento de datos, o la capacidad de comparecer en juicio.

(…)

63      Atendiendo a esas consideraciones, cuando una persona (…) presenta a la autoridad nacional de control una solicitud para la protección de sus derechos y libertades frente al tratamiento de esos datos, e impugna con ocasión de esa solicitud, como en el asunto principal, la compatibilidad de dicha decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, incumbe a esa autoridad examinar la referida solicitud con toda la diligencia exigible. »

 Obviamente la afirmación del Tribunal se refiere a la Decisión Safe Harbor pero habida cuenta del sentido de interpretación constitucional de su pronunciamiento cabe considerar que la misma es perfectamente trasladable a cualquier petición, a cualquier denuncia, a cualquier invocación de la tutela del regulador.

¿Pero qué sucede si la solicitud no es atendida? Y no hablamos en sentido figurado. Las cifras del último mandato finalizado de un director, 2011-2015, hablan por si solas. Basta con acudir a las Memorias anuales de la Agencia Española de Protección de Datos:

  A B C D E
Año

 

Reclamación tutela Denuncia No admitidos a trámite Archivo de actuaciones Declaraciones de infracción
2011[1] 2.230 7.648 2.993 4.396 898
2012 2.193 8.594 4.756 6.461 896
2013 1.997 8.607 5.114 6.738 874
2014 2.099 10.074 5.692 7.571 872

En este sentido, los datos apuntan justo en la línea contraria a la imagen que proyecta la Agencia y muestran una acción que de modo sistemático no admite a trámite o archiva la mayoría de las denuncias que se le plantean, y que con una precisión anual milimétrica dicta un volumen equivalente de resoluciones sancionadoras. En este sentido los datos resultan paradójicos. Mientras el incremento sistemático de las denuncias viene acompañado por el de los archivos de actuaciones o las no admisiones, el número de procedimientos que terminan con sanción permanece estático. De hecho, en los años 2012, 2013 y 2014 la suma de las columnas A-B (peticiones de ciudadanos) da un resultado inferior a la de las columnas C-D (desestimaciones de uno u otro tipo). Ello podría deberse al efecto de procedimientos presentados en un ejercicio y resueltos en el siguiente.  Lo que en ningún caso se explica en las respectivas Memorias es por qué no se da esta relación de proporcionalidad en las declaraciones de infracción que sistemáticamente se mantienen en la franja descendente de las 898-872.

¿Y qué sucede cuando el ciudadano entra en el número de aquellos cuyo asunto no se admitió a trámite o se archivó?  Pues que agotada la vía administrativa se recurre ante la Audiencia Nacional y este Tribunal, cuando quien recurre es el denunciante, el Tribunal aplica la doctrina de la STC 52/2007 que considera la ausencia de un interés legítimo del demandante en recurrir con reproducción del siguiente obiter dictum:

  1. (…) el interés legítimo se caracteriza como una relación material unívoca entre el sujeto y el objeto de la pretensión (acto o disposición impugnados), de tal forma que su anulación produzca automáticamente un efecto positivo (beneficio) o negativo (perjuicio) actual o futuro pero cierto, debiendo entenderse tal relación referida a un interés en sentido propio, cualificado y específico, actual y real (no potencial o hipotético). Se trata de la titularidad potencial de una ventaja o de una utilidad jurídica, no necesariamente de contenido patrimonial, por parte de quien ejercita la pretensión, que se materializaría de prosperar ésta. O, lo que es lo mismo, el interés legítimo es cualquier ventaja o utilidad jurídica derivada de la reparación pretendida (SSTC 252/2000, de 30 de octubre, FJ 3; 173/2004, de 18 de octubre, FJ 3; y 73/2006, de 13 de marzo, FJ 4; con relación a un sindicato, STC 28/2005, de 14 de febrero, FJ 3)»

La traducción al lenguaje llano de este criterio es bien sencilla. El denunciante carece de interés en el resultado de su denuncia, ya que no persigue causar un mal a un tercero sino la aplicación del Derecho al caso objeto de denuncia con independencia del resultado punitivo que se obtenga. Y esto sin duda es cierto cuando un ciudadano denuncia un coche mal aparcado, pero es más dudoso en el caso de la acción de la Agencia Española de Protección de Datos. Ello es debido precisamente a la función constitucional de garante de derechos que el Ordenamiento atribuye a esta institución. Dicho de otro modo, si la AEPD por una extraña casualidad se equivoca, o si su director decidiere de modo intencional archivar sistemáticamente los asuntos que se le presentan por razones de mera gestión, no estaría tutelando el derecho fundamental a la protección de datos del denunciante. Y con ello, permitiría la subsistencia en el plano de la realidad de una situación que lesiona derechos fundamentales de un administrado. Y no sólo esto, habida cuenta del valor cuasi-jurisprudencial de sus resoluciones en caso de un ejercicio digamos, aventurado, de sus potestades, estaría consolidando prácticas sociales lesivas de derechos fundamentales.

De hecho, la postura del Tribunal Constitucional es mucho más matizada, aunque no siempre recogida por la Audiencia Nacional, ya que en la propia STC 52/2007 realiza una labor de ponderación de los intereses en presencia considerando que la «Sentencia impugnada vulnera el derecho a la tutela judicial efectiva (art. 24.1 CE) de la Asociación recurrente, al negarle irrazonablemente su derecho a ejercitar la acción pretendida» y que «los argumentos ofrecidos por la Sala para apreciar la falta de legitimación activa de la recurrente en amparo resultan inadmisibles, al suponer una interpretación indebidamente restrictiva de la normativa aplicable al caso».

La aplicación plana, sin profundidad de esta excepción de carencia de interés legítimo opera materialmente como un mecanismo que genera una situación de asimetría que podría reforzar la tendencia del regulador al archivo sistemático de denuncias, ya sea por algo tan comprensible como el error en la interpretación del Derecho, ya sea por motivos de gestión presente o futura en absoluto justificables.

Todo ello combinado con la correspondiente condena en costas simplifica enormemente la tarea del Regulador en su actuación cotidiana y ante la Corte. En el primer caso, porque la aplicación lineal de la doctrina estudiada la hace inmune ante al administrado. En el plano procesal, porque le basta la mera invocación de esta doctrina para ganar el proceso mediante una mera artimaña procesal sin entrar a considerar el fondo del asunto.

Ello obliga sin duda a buscar un nuevo camino procesal. Así, cuando en el caso concreto la conducta omisiva de la Agencia Española de Protección de Datos genere una situación de carencia de tutela del derecho fundamental a la protección de datos, o consolide una situación de violación no cabe sino interponer el recurso de amparo judicial de las libertades y derechos, previsto en el artículo 53.2 de la Constitución Española.

Cuando se persiga como fin “que se sancione al denunciado” no debería acudirse a este proceso. El interés legítimo perseguido si se emplea este recurso debe ceñirse exclusivamente a enjuiciar si la actuación de la Agencia ha ignorado aspectos esenciales relativos a la interpretación, aplicación y garantía del derecho fundamental a la protección de datos en sí mismo o, como señala el art. 18.4 CE, en conexión con el pleno ejercicio de los derechos que la Constitución reconoce.

En el caso Schrems el Tribunal de Justicia ha debido llamar severamente la atención a una autoridad de protección de datos personales y a la propia Comisión, recordando que no basta con una mera apariencia de “campeones de la privacidad”. Su acción debe tener un contenido material, y debe hacer lo imposible por tutelar los derechos fundamentales de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. En nuestro país, las cifras que manejamos, y la doctrina del interés legítimo del denunciante sin duda nos alejan de este objetivo.

[1] En la página 67, bajo el concepto “Según sentido de la resolución” se indican 4396 resoluciones totales.