I. INTRODUCCIÓN.
La moderna tradición constitucional española que, no sin dificultades, había asumido y estudiado desde los años ochenta del siglo XX, la figura de las Administraciones independientes, encontró en la incorporación del derecho europeo un facilitador de la explicación conforme a la cual, si muchas de estas instituciones rompían en más o menos el tradicional carácter vicarial y subordinado de la administración al poder ejecutivo, su utilidad y necesidad eran innegables en la medida en que se trataba de recomponer la neutralidad o dar tutela a intereses y valores constitucionalmente relevantes que, precisamente por ello, implicaban un modo de ejecución de la ley ajeno a las directrices jerárquicas del Poder Ejecutivo [1].
Una de las relevantes administraciones independientes, la Agencia Española de Protección de Datos, cuya caracterización se llevó con reiteración normativa a su propia denominación (art. 44-1 párrafo segundo LO 3/2018), viene hoy exigida por el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD). El Cdo. 117 de este acto insiste: “El establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal”.
Si esta afirmación se considerara de menor importancia, bueno es destacar que, en el contexto de la Carta de los Derechos Fundamentales de la Unión Europea (como se sabe, acto vinculante para el Reino de España cuando se aplica derecho de la Unión), la independencia de la autoridad de control es un elemento del contenido del propio derecho a la protección de datos de carácter personal. Basta ver el art. 8 de la misma que enumera, en un párrafo separado, este elemento del derecho a la protección de los datos de carácter personal: “El respeto de estas normas quedará sujeto al control de una Autoridad Independiente”. No respetando la independencia en el procedimiento de designación de los órganos directivos de la Autoridad de Control, el Reino de España viola el derecho europeo, y vulnera su propia Constitución (arts. 10, 93, y 18-3).
En este mismo Diario del Derecho del 13 de enero es posible encontrar referencias a que el Congreso retoma el debate sobre la propuesta para mejorar la independencia de los órganos reguladores, uno de cuyos puntos es la mejora de la elección de los responsables de tales autoridades independientes. Curiosamente ese debate se produce en el momento en que, tal como se advierte, el propio mecanismo de nombramiento respecto de la AEPD está en duda: “El método de elección para los responsables de los siete organismos citados es similar al que ya rige para la Agencia Española de Protección de Datos, cuya renovación está precisamente siendo objeto de polémica estos días. El Ejecutivo incluyó la renovación de la AEPD en el pacto que cerró con el PP a finales de octubre para designar nuevos miembros del Tribunal Constitucional, el Tribunal de Cuentas y el Defensor del Pueblo. En concreto, ambas partes acordaron nombrar presidenta a (), a propuesta del PSOE, y adjunto a () por sugerencia del PP Y un mes después, el 18 de noviembre, se convocó el concurso público para elegir a los mejores candidatos para el puesto” [2].
II. INDEPENDENCIA POR EL PROCEDIMIENTO: UNA EXIGENCIA SUSTANTIVA DEL DERECHO EUROPEO.
El RGPD admite diferentes mecanismo de designación de los órganos o autoridades de control (art. 53) y diferentes mecanismos de nombramiento de cada miembro, ya sea por el respectivo Parlamento, el Gobierno, el Jefe de Estado, o un organismo independiente, siempre que exista un procedimiento transparente y se garantice que cada miembro posea la titulación, la experiencia y las aptitudes, en el ámbito de la protección de datos personales, requeridas para el cumplimiento de sus funciones y el ejercicio de sus poderes.
La anterior Ley Orgánica 15/99 pedía que el director de la Agencia fuera nombrado mediante Real Decreto de entre quienes componen el Consejo Consultivo, organismo asesor compuesto por miembros propuestos por el Congreso, el Senado, la Administración General del Estado, la Federación Española de Municipios y Provincias, las Asociaciones de Consumidores y Usuarios y de un experto propuesto por el Consejo Superior de Universidades. Hoy, tal Consejo Consultivo de la Agencia se mantiene, con otra formación y competencias, pero el procedimiento de nombramiento del presidente de la Agencia ha sido sustancialmente modificado. El RGPD (art. 52) sigue exigiendo que el miembro o los miembros de cada autoridad de control sean ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes, a toda influencia o instrucción externa, ya sea directa o indirecta.
Dando por supuesto (no hay razones para dudar de ello) la experiencia y la aptitud que deben ser objetos materiales de enjuiciamiento por los responsables del nombramiento, importa destacar el carácter decisivo que el derecho europeo otorga al procedimiento y su trasparencia. Sin tales elementos no hay independencia a estos efectos. Y sin independencia no se respeta el contenido esencial del derecho a la protección de datos.
Aunque podía haberse optado por otra fórmula, la LO 3/2018 (art. 48) condiciona el nombramiento a una propuesta del Gobierno, ratificada por la Comisión de Justicia del Congreso. Y, lo que resulta más relevante, ha limitado procedimentalmente, la elaboración de la propia propuesta, por cuanto exige una previa convocatoria pública de candidatos y la “selección” de entre ellos conforme al mérito, capacidad, competencia e idoneidad.
El procedimiento [3] vigente incluye, en efecto, una fase “administrativa” de selección de candidatos, mediante convocatoria pública (Orden JUS/1260/2021, de 17 de noviembre) en la que los interesados “deberán acreditar que poseen la titulación académica de Grado o, en su caso, Doctor, Licenciado, Arquitecto o Ingeniero, y experiencia en el ejercicio profesional de al menos dos años, en el ámbito de la protección de datos personales”. La titulación y la experiencia son, por tanto, requisitos de admisión. Independientemente de ello pueden alegarse como méritos, las actividades, la experiencia y puestos de trabajo desempeñados en el sector, publicaciones y el conocimiento de idiomas: Un puro filtro valorativo que, aplicado por el Comité de Selección, y que concluye con la presentación de una Propuesta al Ministerio de Justicia, acompañada de un informe justificativo, para que éste la eleve al Consejo de Ministros. La propuesta puede incluir tres personas candidatas. Hasta aquí, diríamos, la discrecionalidad técnica dirigida a “apreciar el mérito, la capacidad, la competencia, la idoneidad, la experiencia profesional, y la capacidad de desarrollar el trabajo y los conocimientos técnicos”, tal como señala el Estatuto de la AEPD (art. RD 389/2021 de 1 de junio).
El proceso continua, pues es exigible la publicación de la propuesta, (si es aceptada por el Consejo de Ministros), una posterior audiencia ante la Comisión de Justicia del Congreso y una votación que, por mayoría de tres quintos o mayoría absoluta (procedentes en este caso de al menos dos grupos parlamentarios) otorga la ratificación de la propuesta, que permite el nombramiento.
Esta segunda fase, que podríamos denominar política, en el mejor sentido de la palabra, se presta lógicamente a negociación entre los grupos políticos y nada hay que objetar a que se pacte entre ellos el voto de ratificación de una determinada propuesta.
No puede olvidarse un trámite esencial, puesto que el Consejo de Ministros, motivadamente puede apreciar que ninguna de las personas incluidas en la propuesta resulta idónea y rechazar la propuesta inicial, para, a continuación, solicitar nueva intervención del Comité de Selección.
Calificar, en este contexto normativo, el requisito de la idoneidad de concepto jurídico indeterminado es un expediente para limitar los poderes de propuesta del Consejo de Ministros, y aunque resulte discutible, no puede ignorarse que tal aspecto de los candidatos ya ha sido objeto de apreciación, desde el punto de vista de la formación, capacidad y experiencia profesional, por el Comité de Selección. En consecuencia, la motivación exigida para rechazar la propuesta debe fundarse o bien en mayores exigencias (a juicio del Consejo de Ministros) respecto de este elemento, o bien en otros aspectos políticos que corresponde valorar también a ese órgano: Por ejemplo, el riesgo o la certeza de que el candidato, caso de ser propuesto no alcance la mayoría de ratificación ante el Congreso. También, por tanto, seria admisible en este momento procedimental una negociación política sobre los nombres que el Consejo de Ministros publicará y someterá a la Comisión de Justicia del Congreso.
Con este complejo mecanismo, parecen querer conjugarse las exigencias de capacitación, mérito y experiencia, por una parte, y la necesidad de “respaldo político” mayoritario: Un procedimiento exigente y puede que equilibrado entre la exigencia de profesionalidad y la confianza política no minoritaria. Un procedimiento que hace visible la transparencia (no olvidemos la exigencia de informes y la necesidad de motivación en el acuerdo de no ratificación de la propuesta elevada por el Comité de Selección) e incluso la independencia, en la medida en que el voto de ratificación exige una mayoría cualificada.
Y, finalmente, como se ve, un proceso que no excluye la negociación política a menos que el acuerdo se anticipe (tal como parece haber sucedido) incluso a la “fase administrativa”. Si así se hace no hay garantía alguna de la profesionalidad, experiencia y capacitación de la persona designada (estos aspectos no son objeto de formalización en la negociación política) ni de la idoneidad (no se puede saber cuáles son los requisitos adicionales sobre los apreciado por el Comité de Selección, que el Consejo de Ministros estima que deben concurrir en la propuesta). Tampoco, en segundo lugar, existe transparencia en el proceso si los candidatos han de concurrir con la certeza/sospecha de que determinado candidato ya ha sido considerado con mayores méritos y “más idóneo” para el cargo, en virtud de un acuerdo político que sólo posteriormente a la intervención del Comité de Selección (que debe elabora un informe que motive su elección en base a los aspectos objetivos indicados) debería haber tenido lugar.
Importa destacar que la vulneración del procedimiento y del principio de transparencia tiene consecuencias de fondo. Existe, en un contexto similar, otra noción de “independencia”, que admite, según creo, una aplicación analógica al derecho fundamental a la protección de datos personales. También el derecho a la tutela judicial efectiva incorpora como parte de su contenido esencial la independencia del órgano jurisdiscente, sin perjuicio de que la independencia del poder judicial sea también, desde otra perspectiva, un elemento del “Estado de Derecho” como valor de la Unión Europea y principio constitucional propio.
Aplicando el art. 47 de la Carta, el TJUE ha podido afirmar que a “efectos de garantizar la tutela judicial efectiva, resulta primordial preservar la independencia de tal órgano, como así lo confirma el artículo 47, párrafo segundo, de la Carta, precepto que, entre las exigencias vinculadas al derecho fundamental a la tutela judicial efectiva, menciona el acceso a un juez <<independiente>>” [4].
No vemos obstáculo, en consecuencia, al argumento de que, aplicando el art. 8 de la misma Carta (que también incluye la independencia de la autoridad estatal de control) pueda afirmarse que, si no se respeta tal independencia, se vulnera el derecho a la protección de datos de carácter personal.
La aplicación por analogía, sobre la base de esta identidad de razón, del conjunto de elementos que la jurisprudencia del TJUE ha construido a propósito de la independencia judicial, puede que no deba ser total, pero sí pareciera ser aplicable la afirmación mínima de que tal independencia implican la “existencia de reglas referentes a la composición, nombramiento duración del mandato y causas de inhibición, recusación y cese que permitan excluir toda duda legítima en el ánimo de los justiciables en lo que respecta a la impermeabilidad de dicho órgano frente a elementos externos” [5].. Como ha afirmado el Abogado General TANCHEV a propósito de estas reglas mínimas de independencia “las apariencias tienen una cierta importancia, de modo que no solo debe hacerse justicia, sino que también debe parecer que se hace justicia. Está en juego la confianza que los tribunales deben inspirar en la ciudadanía de una sociedad democrática” [6].
La práctica iniciada para la renovación de los órganos directivos de la AEPD no respeta el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea. Y el asunto no es menor, como pone de manifiesto la actualidad pues, coincidiendo con la polémica sobre la renovación de los puestos directivos de la AEPD, ésta resulta ser llamada a intervenir en un complejo asunto (Google Analytic) en el que se ve involucrado directamente el poder ejecutivo. Los Departamentos Ministeriales son muy activos usuarios de aquella herramienta de control del tráfico web que puede involucrar tráfico no permitido de datos personales. De hecho, el Supervisor de Datos Europeo (EPDS) ya ha advertido al Parlamento Europeo, con fecha 5 de enero de 2020 [7] de que su uso vulnera la sentencia del TJUE Schrems II que había establecido muy estrictas condiciones para el tráfico de datos a Estados Unidos [8]. ¿Incumpliremos el Derecho Europeo por falta de independencia de la Autoridad Independiente?
III. DEL RESULTADO: MAS ALLA DEL DAÑO REPUTACIONAL
La independencia de ciertos poderes constitucionales es contenido asumido de la cláusula de Estado de Derecho. La expresión más tradicional y decisiva, la independencia de Jueces y Magistrados, ha permitido al TJUE considerar contrarias a derecho europeo ciertas normas “internas” de configuración y gobierno del Poder Judicial, por infracción del art. 19-1 párrafo segundo del TUE (independencia en la tutela judicial efectiva). Por desconocimiento, o por considerar admisible un desprecio audaz hacia el derecho, la posible configuración final de la AEPD puede dar lugar a que sus actuaciones posteriores sean censuradas, más que por su adecuación material a derecho, por faltar ese contenido esencial reclamado por el art. 8-3 de la Carta de los Derechos Fundamentales de la Unión Europea.
Al margen de esas posibles consecuencias, no se trata sólo del inmenso daño personal que se ha causado a las personas cuyos nombres han sido publicados (tanto si finalmente terminan siendo ratificados y nombrados para los puestos propuestos como si no) sino también paradel daño reputacional causado a la propia AEPD que, nos consta, tenía muy bien ganado un notable prestigio ante las instituciones europeas. La perversión, el desprecio, por el procedimiento positivamente establecido, podría traducirse en una pérdida de ese caudal que se remonta, como mínimo, a la decisiva intervención de aquella Autoridad en la construcción del hoy llamado derecho al olvido [9].
En nombre de la brevedad, omito la descripción completa del curioso lance taurino que el lector puede encontrar descrito en la Wikipedia, pero debo recordar que su ejecución completa implica que el diestro, sujetando el percal con la mano del pitón por el que ha citado, y soltando (largando) la otra mano, resuelve la embestida por el pitón contrario cambiando su viaje y plegando el capote por arriba o alrededor de la cintura.
Las directivas políticas que han cocinado el acuerdo sobre la dirección de la AEPD y su adjunto, han citado la independencia de la Agencia por el pitón correcto (la necesidad de un acuerdo político para obtener la mayoría suficiente en el voto de ratificación de la propuesta ante la Comisión de Justicia del Congreso), pero han largado la otra mano para cambiar el viaje y resolver la embestida por el pitón contrario, anteponiendo el pacto, a la consideración administrativa de los candidatos.
El vistoso lance, como es bien sabido, no siempre resulta del agrado del respetable, ni siquiera cuando se remata correctamente plegando el capote por arriba.
[1] La bibliografía sobre las Autoridades Administrativas Independientes es ya muy abundante y ha terminado por “normalizar” lo sustancial de su régimen jurídico. El Legislador (Ley 40/2015) parece haber asumido solo un tipo de Administración Independiente, pues no de otra forma pueden interpretarse las menciones del texto citado cuando habla con reiteración, de que “tienen atribuidas funciones de regulación o supervisión de carácter externo sobre un determinado sector o actividad económica, para cuyo desempeño deben estar dotadas de independencia funcional o una especial autonomía respecto de la Administración General del Estado”. Diríase que el concepto se limita a las “Autoridades Nacionales de Regulación” del derecho europeo. Obsérvese, no obstante, que en el caso de la AEPD parece dominar otro elemento de los que llevaron a la recepción de la figura en Europa: La necesidad de tutelar intereses o valores constitucionales de especial relevancia.
[2] Sorprende, por ello, que la prensa pudiera informar, desde el 22 de octubre, un mes antes de convocarse el “concurso”, que las fuerzas políticas mayoritaria habían acordado los nombres del Director de la AEPD y su Adjunto, en un acuerdo global sobre renovación de otros órganos constitucionales sobre los que, conforme a derecho, sus potestades de elección política podrían ser más amplias. En cualquier caso, la transparencia de una negociación política no parece alcanzar el rango exigible en el RGPD, precisamente porque ese ámbito es el propio de la apreciación personal, subjetiva, de la conveniencia o de la oportunidad o del interés partidista.
[3] Vid. DOMINGUEZ ALVAREZ, J.L.: “A vueltas con el procedimiento de designación de la presidencia y la adjuntía de la agencia española de protección de datos: entre la independencia y el juego político”, Actualidad Administrativa, 1/2022
[4] STJUE de 27 de febrero 2017, Associação Sindical dos Juízes Portugueses C 64/16 ECLI:EU:C:2018:117, apartado 41
[5] STJU 19 de septiembre 2006, Wilson, C-506/04 ECLI:EU:C:2006:587, apartados 49 y 50
[6] Conclusiones presentadas el 11 de abril 2019 en otro asunto muy conocido: Comisión Europea vrs. Republica Polonia, C 619/18 ECLI:EU:C:2019:325, apartado 71.
Las guerras de la independencia judicial tienen en las citadas sentencias (y alguna otra que omitimos) su relato principal. Aplicando el art. 47 de la Carta al ámbito del art. 9-1 del TUE ( “Los Estados miembros establecerán las vías de recurso necesarias para garantizar la tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión”) el TJU ha encontrado la vía para afirmar que “para garantizar que los órganos que puedan tener que resolver sobre cuestiones relacionadas con la aplicación y la interpretación del Derecho de la Unión puedan otorgar tal tutela judicial efectiva, resulta primordial preservar su independencia, como así lo confirma el artículo 47, párrafo segundo, de la Carta, precepto que, entre las exigencias vinculadas al derecho fundamental a la tutela judicial efectiva, menciona el acceso a un juez independiente”, de manera que las normas nacionales que amenazan la independencia judicial “pueden ser objeto de control a la luz del artículo 19 TUE, apartado 1, párrafo segundo”. Vid. ahora, la STJUE de 15 julio 2020 Comision vrs. Republica de Polonia, C 791/19, ECLI:EU:C:2021:596, recurso por incumplimiento que declara: “La República de Polonia ha incumplido las obligaciones que le incumben en virtud del artículo 19 TUE, apartado 1, párrafo segundo, al no garantizar la independencia y la imparcialidad de la Sala Disciplinaria, a la que corresponde el control de las resoluciones dictadas en los procedimientos disciplinarios contra los jueces ”
[7] Case EDPS - 2020-1013 en https://acortar.link/g8Y9OW
[8] STJUE de 16 de julio 2020 16, c, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, ECLI:EU:C:2020:559
[9] Vid. STJUE 13 de mayo de 2014 C- 131/12, Google Spain, S.L., Google Inc./Agencia Española de Protección de Datos (AEPD), Mario Costeja González ECLI:EU:C:2014:317
