Carlos B Fernández. Hoy se celebra el quinto aniversario de la plena aplicabilidad del Reglamento General de Protección de Datos (LA LEY 6637/2016). Una norma que reconoce como elemento esencial de la protección de las personas, el establecimiento en los Estados miembros de unas autoridades de control “capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia” (Considerando 117).
Esas funciones que menciona el Reglamento no son baladís. Como explica su Considerando 123, “las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas de conformidad con el presente Reglamento y contribuir a su aplicación coherente en toda la Unión”.
Por ello, y a fin de garantizar su independencia en el ejercicio de dichas funciones, “Las condiciones generales aplicables al miembro o los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro, a propuesta del Gobierno, de un miembro del Gobierno o del Parlamento o una de sus cámaras, o por un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros” (Considerando 121).
Del mismo modo, añade dicho Considerando, estas autoridades de control deben contar con su propio personal, “seleccionado por esta o por un organismo independiente establecido por el Derecho de los Estados miembros, que esté subordinado exclusivamente al miembro o los miembros de la autoridad de control”.
Pese a ello, la actual dirección de la Agencia Española de Protección de Datos cumple ya cuatro años en funciones, manteniéndose en una situación de interinidad y sin que los responsables de su renovación parezcan mostrar interés o capacidad para cumplir con su deber.
Es más, el procedimiento de renovación de cargos iniciado en noviembre de 2021, lleva paralizado desde el 24 de mayo de 2022, cuando la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo dictó una sentencia por la que declaró la nulidad del Acuerdo del Consejo de Ministros por el que se comunicó al Congreso de los Diputados dos ternas de candidatos para ocupar la Presidencia y la Adjuntía de la AEPD. Una nulidad que se declaró “con las consecuencias que le son inherentes”.
Estas consecuencias fueron precisandas, en septiembre de ese año, cuando la misma Sala resolvió un incidente de ejecución presentado por la Abogacía del Estado, sobre dicha sentencia. En su Auto, la Sala indicó que procede retomar el procedimiento iniciado por la Orden JUS/1260/2021, de 17 de noviembre, por el que convocó proceso selectivo para la designación de la Presidencia y de la Adjuntía a la Presidencia de la AEPD, al momento de hacerse la convocatoria.
Y añadió al respecto dos importantes precisiones. Una: que el plazo al que se refiere la Base Quinta.1 primer párrafo, no puede ser el mismo, sino que deberá acomodarse al momento en que la Administración ejecute este auto y dé publicidad al reinicio del procedimiento selectivo. Y otra: que el Consejo de Ministros no podrá remitir al Congreso de los Diputados dos ternas sino dos propuestas: una de candidato a la Presidencia y otra a la Adjuntía.
Desde entonces, silencio.
La actual dirección de la Agencia ha seguido desempeñando sus tareas con ejemplar dedicación, en cumplimiento de lo que ella misma reconoció como su deber en su Comunicado de 7 de marzo de 2021.
En él se recordaba que ni la normativa anterior ni la vigente Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LA LEY 19303/2018) contemplan un término automático del mandato de su directora. Por ello, esta no puede en modo alguno abandonar el cargo por su propia voluntad si no ha habido Real Decreto de cese del Gobierno. En consecuencia, la directora de la Agencia está obligada a seguir en su puesto ejerciendo las funciones y potestades atribuidas por Ley mientras no se proceda a su cese, potestad que corresponde al Gobierno previa ratificación del Congreso de los Diputados.
Por ello, la Agencia no ha cesado en su actividad ni en el cumplimiento de las misiones que le encomiendan el RGPD y la Ley Orgánica 3/2018 (LA LEY 19303/2018). Sigue emitiendo circulares, guías, instrucciones e informes. Continúa abriendo y resolviendo procedimientos sancionadores. No ha cesado en la concertación de acuerdos y convenios para mejorar la protección de la privacidad de las personas, en particular de las más vulnerables, como los menores en las redes sociales.
No entraremos hoy a valorar el acierto o conveniencia de esas actuaciones. Su bondad o adecuación están sujetos a la vulnerabilidad de todas las decisiones humanas. Baste decir, en lo que ahora importa, que a diferencia de otros y siguiendo el consejo del sabio Cicerón, ha puesto el mayor cuidado en ser coherente consigo misma y no ha claudicado de su deber.
Pero las importantes funciones a las que está llamada la Agencia requieren que quienes la dirijan, lo hagan en plenitud de capacidad, dignidad y competencia. Limitar esas necesarias características por difusos intereses políticos, no solo socava su autoridad. También priva a los ciudadanos y empresas de la confianza que supone contar con un organismo que garantiza y protege nuestros derechos con toda la fuerza de que le dotaría el estar regido conforme a las pautas que hoy estable el RGPD. Y ello sin mencionar la limitación que, para la propia Agencia, esta situación supone en el plano de su actividad internacional, donde ha acumulado méritos suficientes para ostentar un papel de relevancia. Una relevancia difícil de reconocer en esta situación de interinidad.