Malos principios no suelen conducir a buenos finales. El proceso de nombramiento de los cargos de presidencia y adjuntía de la Agencia Española de Protección de Datos no comenzó con buen pie, pero su evolución se ha ido complicando sucesivamente, situando a un órgano tan importante para nuestro país ante un panorama de incertidumbre muy poco deseable.
El comienzo de este proceso no fue el mejor porque lo que debía ser el resultado de una evaluación del “mérito, capacidad, competencia e idoneidad” de unas personas “de reconocida competencia profesional, en particular en materia de protección de datos”, se convirtió, en virtud del acuerdo de los partidos políticos mayoritarios, en una “designación personal no motivada o arbitraria” (que es la elegante forma en que el diccionario de la Academia define las elecciones comúnmente conocidas como “a dedo”).
De esta manera, lo que debía ser la primera renovación de los órganos rectores de la Agencia Española bajo los mandatos del Reglamento General de Protección de Datos (LA LEY 6637/2016), de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LA LEY 19303/2018) y del Estatuto de la Agencia aprobado por Real Decreto 389/2021, de 1 de junio, que dan primacía a la independencia de los órganos de control nacionales, se convirtió, en octubre de 2021, en un acuerdo político que, según muchas voces del sector, sin cuestionar la valía profesional de los designados "in pectore", podía llevar a poner en duda esa independencia.
Y es que los partidos políticos parecían no haber tenido en cuenta los claros términos, no solo de la normativa mencionada, sino también de la jurisprudencia del Tribunal de Justicia de la Unión Europea. Esta, ya en 2014, estableció que “las autoridades de control competentes para vigilar el tratamiento de datos personales han de disfrutar de la independencia que les permita ejercer sus funciones sin influencia externa” (sentencia de 8 de abril de 2014, asunto C-288/12 (LA LEY 36311/2014)). Esa independencia, continúa la sentencia excluye “la mera posibilidad de que las autoridades de tutela del Estado puedan ejercer influencia política sobre las decisiones de las autoridades de control”.
Por todo ello no pudo sorprender que pocos días después de anunciarse el acuerdo entre PSOE y PP, la Asociación Profesional Española de Privacidad, mayoritaria en el sector, se dirigiera al Ministerio de Justicia instándole a que publicara la convocatoria pública de dichas plazas y a que se siguiese de forma transparente el cauce establecido tanto por el la LOPDGG como por el Estatuto de la Agencia.
Menos ruidosa pero más contundente fue la iniciativa de la eurodiputada española Maite Pagazaurtundúa, quien el 10 de noviembre no solo denunció ante el Supervisor Europeo la falta de transparencia e imparcialidad en el proceso de renovación de cargos de la Agencia, sino que también se dirigió directamente a la Comisión para preguntarla si consideraba conveniente intervenir en el asunto. Pese a que esta opción parece descartada por ahora, a la vista de la respuesta que la Comisión remitió a esta diputada, el Supervisor europeo de protección de datos Wojciej Wiewiorowski expresó, en una visita realizada a Madrid a comienzos de diciembre, su confianza en que el proceso a seguir garantizaría la independencia de la Agencia.
Por entonces, además del Diario La Ley, algunos otros medios generalistas comenzaban a dar cuenta de la inquietud que en el sector había provocado esa designación. Una inquietud que se puso aun más de relieve con el anuncio, a finales de noviembre, de la decisión del hasta entonces director del Supervisor Europeo de Protección de Datos, Leonardo Cervera Navas, de presentarse como candidato a la presidencia de la Agencia. Una decisión que pocos días después justificó en estas mismas páginas explicando que “es fundamental contar con unas autoridades de protección de datos plenamente independientes”.
De la “ratificación” por el Congreso a la “elección” por la Cámara
El siguiente paso del Gobierno no pareció ser más afortunado. El 18 de noviembre se publicaba la Orden JUS/1260/2021, de 17 de noviembre, por la que se convoca proceso selectivo para la designación de la Presidencia y de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos.
Si bien esta norma reiteraba que “Las personas titulares de la Presidencia de la Agencia Española de Protección de Datos y de su Adjuntía serán nombradas por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos” (Base 1.ª, 2), su Base 5.ª, apartado 8, introdujo una sorprendente novedad.
Esta disposición establecía en primer lugar que, concluida la valoración de los candidatos presentados por el Comité de Selección, este propondría para su elevación al Consejo de Ministros “una candidatura a la Presidencia de la Agencia Española de Protección de Datos, y una candidatura a su Adjuntía, seleccionados de entre aquellos aspirantes que cumplan los requisitos y atendidos los méritos y criterios de valoración” establecidos en la convocatoria, junto con un informe justificativo para cada una de ellas. Hasta aquí nada sorprendente. Pero, a continuación, el segundo párrafo de esta base 5.8 añadía: “En virtud del principio de celeridad en la tramitación de los procedimientos, y a fin de evitar en la medida de lo posible, devoluciones de la propuesta por parte del Consejo de Ministros, cada propuesta podrá incluir hasta tres personas candidatas que el comité de selección haya considerado más idóneas, ordenadas por orden alfabético”.
Es decir, para evitar el posible escándalo de que la Comisión, integrada en su mayoría por altos cargos del Ministerio de Justicia o por personas designadas por este (es decir, dependientes del Gobierno), propusiera directamente a los candidatos “oficiales”, el Comité no debería proponer un único candidato por puesto, como expresamente prevé el Estatuto de la Agencia (“el comité de selección propondrá una candidatura”, art. 22.2), sino tres, para que fuera el Gobierno quien tuviera que elegir.
Posiblemente este segundo párrafo se añadió con prisas, después de redactado el borrador de la Orden, porque el restante contenido de la misma no guarda coherencia alguna con las demás disposiciones de la norma, cuya Base Sexta estableció que:
“1. La persona titular del Ministerio de Justicia elevará la propuesta del Comité de Selección, junto con su informe justificativo, al Consejo de Ministros.
2. El Consejo de Ministros debatirá la propuesta del comité de selección a la luz del informe y decidirá, mediante acuerdo, la propuesta de Presidencia y Adjuntía, que se remitirá al Congreso de los Diputados acompañada del informe justificativo.
En caso de que el Consejo de Ministros considere que ninguna de las personas candidatas incluidas en la propuesta del comité de selección resulta idónea, lo devolverá al comité de selección mediante acuerdo motivado, otorgándole un nuevo plazo para que formule nueva propuesta al Consejo de Ministros.
3. El acuerdo adoptado en el Consejo de Ministros con la propuesta de Presidencia y Adjuntía será publicado en el «Boletín Oficial del Estado» mediante orden de la persona titular del Ministerio de Justicia.
4. De conformidad con el artículo 48.3 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), la Comisión de Justicia del Congreso de los Diputados, tras la celebración de la preceptiva audiencia de las personas candidatas, ratificará la propuesta de Presidencia y Adjuntía en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse esta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes.
5. Una vez ratificada la propuesta por el Congreso de los Diputados, la Presidencia y el Adjunto de la Agencia Española de Protección de Datos serán nombrados por el Consejo de Ministros mediante real decreto.”
Es decir, todo el procedimiento previsto por la Orden parecía estar organizado de forma que el Gobierno recibiese la propuesta del Comité evaluador, la estimase (o no, pues se reservaba un derecho de veto) y la remitiese a la Comisión de Justicia del Congreso para su ratificación por esta. Dado que “ratificar” significa “aceptar o confirmar”, si el Gobierno hubiese hecho lo que el Estatuto prevé y hubiese propuesto un nombre para cada cargo a la Comisión del Congreso, esta podría haber realizado su tarea de confirmación con relativa normalidad. Pero al serle remitida una terna de nombres, su tarea de ratificación se convirtió en una misión de “elección” de entre los tres candidatos propuestos para cada puesto, para escoger a aquel que considerase más idóneo, obligándola a elegir (recordemos que “elegir” significa “escoger o preferir”).
Algo que, según entendió la fundación Hay Derecho no parecía plenamente acorde con el espíritu de la LOPDGDD (LA LEY 19303/2018) ni del Estatuto de la Agencia. Por ello, el 16 de diciembre interpuso recurso de reposición contra la Orden JUS/1260/2021, solicitando su anulación y suspensión provisional, por ser contraria a derecho.
Primeros recursos contra Justicia
En opinión de esta fundación, las diversas razones jurídicas de esta impugnación (el poco tiempo de experiencia en el ejercicio profesional en el ámbito de la protección de datos personales, requerido para concurrir a la convocatoria; la valoración de méritos ajenos al ámbito de la protección de datos, en particular los relacionados con la transparencia; la inexistencia de un baremo objetivo para valorar los méritos de los candidatos y el incumplimiento por la mencionada base 5.ª de la convocatoria de lo dispuesto en el artículo 22, apartados 2 y 3 del Estatuto de la AEPD), “apuntan en la dirección de que las bases realmente sólo tienen por finalidad permitir la selección de los candidatos ya previamente seleccionados por los partidos políticos”.
Este recurso se encuentra por el momento pendiente de resolución, si bien el pasado 31 de enero el Ministerio de Justicia denegó la suspensión provisional solicitada, bajo el argumento de que no concurren las circunstancias previstas en la legislación para la suspensión de los actos administrativos y por no considerar acreditado el perjuicio irreparable que se podría producir de continuar con el proceso de selección.
Lo que siguió a continuación no fue especialmente sorprendente: los dos candidatos oficiales se presentaron a la convocatoria y ambos fueron incluidos en la terna elevada por el Comité de Evaluación al Consejo de Ministros y comunicada por este al Congreso el 27 de febrero (Orden JUS/133/2022, de 26 de febrero, por la que se publica el Acuerdo del Consejo de Ministros de 22 de febrero de 2022, por el que se comunica al Congreso de los Diputados la propuesta de candidatos a ocupar la Presidencia y la Adjuntía de la Agencia Española de Protección de Datos).
Pero dos nuevos datos vinieron a arrojar nuevas sombras sobre este proceso. En primero lugar, el acuerdo de 22 de febrero a que se refiere esta Orden, no fue incluido en la reseña de ese Consejo de Ministros publicada por la página web de la Presidencia del Gobierno, como puede comprobarse en http://www.lamoncloa.gob.es/consejodeministros/referencias/Paginas/2022/refc20220222_corregidav02.aspx
Además, ni en dicha Orden se contenía el informe justificativo a que se refiere la Orden de convocatoria ni, según hemos podido saber por diversos candidatos, ninguno de ellos fue informado ni del resultado de la decisión ni los criterios en que se fundamentaba la misma, ni de la evaluación efectuada.
Fue el diario digital Público el que se hizo con el informe del Comité, recogiendo parte de su contenido en un artículo de Pablo Romero el pasado 1 de marzo. Según se recoge en dicha noticia, en la evaluación realizada “se ha tenido muy presente, en particular, la importancia de contar con una previa experiencia en el desempeño de funciones directivas en organismos supervisores de protección de datos o con un conocimiento profundo de la materia acreditado la importancia de contar con una previa experiencia en organismos o instituciones del sector público donde se haya evidenciado, además, la capacidad de gestionar recursos técnicos y humanos".
Con motivo de la publicación de esta Orden JUS/133/2022, la fundación Hay Derecho hizo público un comunicado denunciando que “el acuerdo del Gobierno incumple el artículo 48.3 de la LO de Protección de Datos, ya que la Comisión de Justicia del Congreso no está facultada para elegir entre los tres candidatos propuestos”. Es más, continúa, “trasladar la responsabilidad de estos nombramientos del Gobierno a las Cortes no ya sólo es contrario a la ley, sino que busca en última instancia sustraerse al control jurisdiccional” y es que, “Mientras que los actos del Consejo de Ministros pueden ser objeto de recurso contencioso-administrativo, no ocurre lo mismo con un acuerdo del Congreso”. Además, entienden que, “de paso, se aprovecha el viaje para blindar la decisión “democráticamente” puesto que si elige el Congreso de los Diputados puede elegir a quien le parezca”.
Incomodidad del Congreso
Por otra parte, la recepción por el Congreso de la comunicación del Consejo de Ministros produjo a su vez una reacción contraria de diversos grupos parlamentarios, en especial de Ciudadanos.
Según informó Roberto Pérez en un artículo publicado en el diario ABC el pasado día 2 de marzo, la remisión del Gobierno había despertado la incomodidad de varios diputados de diferentes grupos parlamentarios. Debe tenerse presente que, la Comisión de Justicia de Congreso, presidida por el diputado socialista Felipe Sicilia, cuenta con 13 diputados del PSOE y otros 8 del PP, suficientes, en su caso, para aprobar a los candidatos oficiales.
Pues bien, tras la Orden de 27 de febrero, el grupo Ciudadanos solicitó que los letrados del Congreso se pronuncien sobre el acuerdo alcanzado entre el Gobierno y el PP, para elegir a dedo a los máximos responsables de la AEPD.
A esta petición se ha unido otra, registrada el pasado viernes día 4, por la que el mismo grupo parlamentario solicita a la propia Mesa del Congreso de los Diputados que a la vista de las irregularidades que aprecia en el proceso seguido hasta la fecha (y que en buena medida son las mismas que se denunciaron en el recurso interpuesto por Hay Derecho), “someta a reconsideración la tramitación del Acuerdo del Consejo de Ministros de 22 de febrero de 2022, por el que se comunica al Congreso de los Diputados la propuesta de candidatos a ocupar la Presidencia y la Adjuntía de la Agencia Española de Protección de Datos”.
Una petición que puede ir seguida, según han explicado a Diario La Ley algunos de los interesados, de la presentación de un recurso jurisdiccional contra esa decisión del Consejo de Ministros e incluso, según otras fuentes consultados, podría ser también correlativa a una querella por prevaricación contra la Ministra de Justicia.
Las opciones posibles
A la vista de este panorama ¿cuáles podrían ser las próximas fases del proceso? Según diversas fuentes consultadas por Diario La Ley, caben tres opciones. Por un lado, que el Congreso continúe la tramitación y resuelva la “ratificación” solicitada. Si esta confirma a los candidatos oficiales, es más que probable la interposición de diversos recursos por parte de algunos de los otros candidatos. De designarse otros, no es descartable que algunos de los restantes también recurran a su vez, si bien no tenemos confirmación de esa posibilidad.
Cabe también que el Congreso estime la petición de Ciudadanos y “reconsiderando” la tramitación del Acuerdo del Consejo de Ministros, la devuelva al Gobierno, lo que abriría un proceso de imprevisibles consecuencias por el momento.
En tercer lugar, las fuentes consultadas consideran que la Comisión de Justicia podría “congelar” dicha tramitación, a la espera de encontrar una posible solución de consenso.
¿Puede continuar la AEPD en funciones indefinidamente?
Cualquiera de las opciones anteriores, excluido un aquietamiento de los candidatos que no resulten elegidos a la decisión que adoptase la Comisión, cualquiera que esta fuese, condena a la Agencia Española a una situación de interinidad que se prolonga ya desde 2019.
Y esta situación no es baladí. El pasado 24 de febrero, José Antonio Gómez informaba en el digital Diario 16 que “la Asociación de Peritos de las TIC (ASPERTIC) y el abogado Josep Jover han presentado una denuncia ante diferentes Fiscalías, entre las que se encuentra la Europea” contra Mar España Martín, directora de la AEPD por la comisión de un delito continuado de prevaricación administrativa porque “cada una de las resoluciones dictadas por la Directora de la AEPD con posterioridad a la fecha de entrada en vigor del RGPD (es decir, posteriores a la fecha de 25 de mayo de 2016) constituyen decisiones adoptadas al margen de la ley, arbitrarias e injustas”.
Con independencia del éxito de esta querella, de incierto recorrido, lo cierto es que la prolongación de la situación de interinidad afecta no solo a la propia actividad de la Agencia, sino también a la de muchas empresas que tratan datos personales en el desarrollo de su actividad. Hasta la fecha, cuando alguna de estas empresas planificaba el lanzamiento de un nuevo proyecto que implicase un tratamiento de datos a gran escala, era frecuente que contactase previamente con la Agencia, a fin de conocer su opinión al respecto y adaptar en lo necesario su actividad a las indicaciones recibidas. Con una Agencia en situación de interinidad la seguridad derivada de estas indicaciones es cada vez menor, situando a las empresas en una situación de incertidumbre que puede paralizar el lanzamiento de nuevos proyectos, con la consiguiente impacto en su desarrollo y crecimiento.
Y lo mismo puede suceder con la emisión de nuevas guías o recomendaciones, frecuentemente seguidas por muchas organizaciones, deseosas de adaptar su actuación a las orientaciones emanadas de ese organismo.
Por otra parte, esa misma situación de interinidad puede afectar a la eficacia de las posibles sanciones impuestas por la Agencia, pues podría dar lugar a la interposición de recursos basados en la incompetencia de la misma para imponerlas. Argumento que, de ser admitido en vía jurisdiccional, podría cuestionar toda la actividad sancionadora ejercida por la Agencia a lo largo de los últimos años.
La situación, pues, es de notable confusión. Y sus consecuencias no afectan simplemente a los candidatos a desempeñar un puesto de alto nivel dentro de la Administración. Afectan, con seria profundidad, a un órgano vital para el desarrollo económico de nuestro país y la garantía de los derechos de sus ciudadanos.
No es por ello extraño que la propia Agencia acabe de hacer público un comunicado sobre las "funciones de la la directora de la Agencia" en el que, además de recordar que "la directora de la Agencia está obligada a seguir en su puesto ejerciendo las funciones y potestades atribuidas por Ley mientras no se proceda a su cese, potestad que corresponde al Gobierno previa ratificación del Congreso de los Diputados", destaca que "considera necesario y conveniente que se proceda a la renovación establecida en la ley en el menor tiempo posible". Y, añadimos nosotros, una renovación ajustada a Derecho.