La institución de la prescripción de infracciones y su forma de interrumpirse en el procedimiento administrativo sancionador está ocasionando situaciones de impunidad en muchos expedientes tramitados ante la Agencia Española de Protección de Datos. Aunque el afectado denuncie al día siguiente de cometerse la infracción, ésta podría prescribir igualmente.

Dada la actual configuración del régimen de la prescripción dentro del procedimiento administrativo sancionador junto a los plazos previstos para la prescripción de las infracciones en materia de protección de datos, se da la circunstancia de que aunque el afectado denuncie al día siguiente de haberse cometido una infracción leve, ésta podría igualmente prescribir si la Agencia Española de Protección de Datos (AEPD) dejara transcurrir los plazos legalmente establecidos.

Esto tiene dos consecuencias muy negativas:

• Primera: indefensión del ciudadano; nos encontramos con diversos casos donde la vulneración de la normativa de protección es más que evidente, pero la AEPD, dejando transcurrir muchos meses, ocasiona la prescripción de la infracción.
• Segunda: esto supone que en la práctica queda al arbitrio de la AEPD perseguir las infracciones leves.

Voy a intentar explicar el problema desde su inicio, pero para ello debo resumir brevemente el desarrollo de un procedimiento sancionador en materia de protección de datos (que viene a ser prácticamente igual al régimen establecido para el procedimiento sancionador general).

El instrumento legal que regula el procedimiento sancionador es el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora ^[1], aunque éste sólo es de aplicación si cada procedimiento sancionador no dispone de su propia regulación; por ejemplo, en materia de protección de datos desde el año 2007 tiene la suya propia prevista en el Real Decreto 1720/2007 ^[2], de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD).

Veamos primero el procedimiento sancionador general, el establecido por el Real Decreto 1398/1993:

• Fase 1ª: Formas de Iniciación: se inicia siempre de oficio por el órgano competente; esta iniciación puede venir por iniciativa propia o por denuncia del afectado. En materia de protección de datos normalmente se inician el procedimiento por la interposición de una denuncia donde se relatan los hechos que podrían haber vulnerado la normativa de protección de datos.
• Fase 2ª: Actuaciones previas: una vez recibida la denuncia, se podrán realizar, ANTES de que se inicie el procedimiento sancionador, unas actuaciones previas, tendentes a determinar si en efecto, los hechos denunciados, podrían ser constitutivos de alguna infracción.
• Fase 3ª: Iniciación: si del punto anterior se llega a la conclusión de que se ha vulnerado la normativa, se inicia formalmente el procedimiento sancionador.

A partir de aquí el procedimiento continúa, pudiendo llegar a imponerse una sanción o archivando el asunto según el caso; pero para lo que ahora interesa, con que entendamos esta primera parte del procedimiento es suficiente.

El procedimiento sancionador regulado en el RDLOPD es sustancialmente idéntico al general, PERO con una pequeña matización: mientras que en el regulado por el Real Decreto 1398/1993 no se dice nada respecto a la duración de las actuaciones previas, en el RDLOPD sí que se impone una plazo máximo de un año. Es decir, que esas actuaciones previas (esto es, ANTES de que se inicie el procedimiento) podrán tener una duración máxima de un año. En otras palabras, la AEPD tiene la opción de quedarse en esa fase del procedimiento (actuaciones previas) durante todo un año.

Bien, ahora veamos el plazo de prescripción de las infracciones en materia de protección de datos:

• Leves: un año
• Graves: dos años
• Muy graves: tres años

¿Dónde está el problema?

El problema está en la institución de la prescripción ^[3] en el Procedimiento Administrativo Sancionador, y en concreto en determinar en qué momento se considerada interrumpida dicha prescripción.

A diferencia de lo que ocurre en el ámbito civil, la prescripción NO se interrumpe por el mero hecho de poner en conocimiento de la Administración competente (en este caso la AEPD) los hechos constitutivos de infracción, sino que se interrumpe cuando se inicia el procedimiento sancionador (recordad, la fase 3º de las antes expuestas), esto es, una vez haya transcurrido ese periodo de “actuaciones previas”.

Así lo establece la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (Ley 30/1992), en su artículo 132.2 que expresa:

En idéntico sentido está redactado el artículo 47.3 de la Ley Orgánica de Protección de Datos.

Es decir, en la práctica, el plazo de prescripción de las infracciones leves (las que no sean continuadas) coincide con el plazo previsto para las actuaciones previas, lo que se traduce en que queda al arbitrio de la AEPD perseguir o no esas infracciones porque siempre podría dejar pasar el plazo de un año realizando esas actuaciones previas para luego resolver indicando que la infracción ya ha prescrito, aunque en el momento de denunciar los hechos todavía quedasen 364 díaspara que la infracción prescribiera.

Y como es lógico, esto se traduce también en recortar, de facto, un año el plazo de prescripción para las infracciones graves y muy graves.

Esto que puede parecer pura teoría se está viendo cada vez más en los procedimientos de la AEPD, aquí van algunos ejemplos para demostrar lo curioso del asunto:

• PS/00611/2008: los hechos ocurren el 9 de octubre de 2006, se trata de una infracción grave (2 años de prescripción), se denuncia el 8 de octubre de 2007 quedando todavía 363 días para que prescriba. El 4 de marzo de 2009 se resuelve declarando prescrita la infracción.
• PS/00065/2008: los hechos ocurren el 6 de marzo de 2007, se trata de una infracción leve (1 año de prescripción), se denuncia el 27 de marzo de 2007, quedando todavía 346 días para que prescriba. El 10 de junio de 2008 se resuelve declarando prescrita la infracción.
• E/00927/2007: los hechos ocurren el 22 de abril de 2007, se trata de una infracción leve (1 año de prescripción), se denuncia el 10 de mayo de 2007, quedando todavía 343 días para que prescriba. El 16 de marzo de 2009 se resuelve declarando prescrita la infracción.
• E/03607/2010: los hechos ocurren el 27 de mayo de 2008, se trata de una infracción grave (2 años de prescripción), se denuncia el 6 de noviembre de 2009, quedando todavía algo más de 6 meses para que prescriba. El 25 de octubre de 2010 se resuelve declarando prescrita la infracción.

Estos no son casos aislados, algunas infracciones sí habrán prescrito adecuadamente, pero en otros muchos casos se aprecia una clara inactividad por parte de la AEPD en intentar que no prescriban, fruto seguramente de la saturación de trabajo que soportan.