La vigente ley de protección de datos española (Ley Orgánica 15/1999) tiene su origen en la Directiva 95/46/CEE, elaborada por la Unión Europea con el fin de «eliminar los obstáculos a la circulación de los datos personales» en el seno de la Unión Europea, asegurando «el nivel de protección de los derechos y libertades de las personas».
Si bien el marco jurídico general venía directamente impuesto por la Directiva, la determinación de las sanciones se dejó al arbitrio de los Estados, confiando en que éstos fueran lo suficientemente razonables en su determinación como para no violentar el espíritu abierto, armonizador y conciliador del texto europeo.
Sin embargo, la cesión de esta facultad al legislador nacional, lejos de contribuir a la creación de seguridad jurídica, ha degenerado en España en la construcción de un sistema caótico de sanciones desorbitadas, carentes de toda proporción, que afectan por igual a grandes compañías multinacionales, autónomos y comunidades de propietarios.
España decidió separar las sanciones administrativas de las penales, optando así por una técnica legislativa diferente de la adoptada por Alemania, Italia o Suecia, que prefirieron recoger todas ellas en una misma ley especial. Quizá gracias a esta disociación, las sanciones privativas de libertad no se habían aplicado nunca, hasta este año, en el que un médico de Palma ha sido condenado a tres años y tres meses de cárcel por consultar los datos de un colega de profesión. Esta sanción, equivalente a la franja más elevada del resto de países de la Unión Europea, sin embargo, no llega ni a la mitad de la más alta en España, que puede alcanzar los 7 años de prisión.
En el ámbito administrativo, España tampoco se queda atrás; la vigente ley fija sanciones más elevadas que el doble de la más grave en Alemania y Francia, y más de 5 veces superior a la fijada en Italia. Asimismo, la ley prevé que el Gobierno tenga que actualizar obligatoriamente la cuantía de las sanciones con carácter periódico, cosa que afortunadamente no ha hecho en los 10 años que lleva vigente la ley. En caso contrario, el límite máximo actual de 601.012,1 euros podría haberse visto incrementado con las variaciones que han experimentado los índices de precios desde 1999.
Lejos de tratar de solventar esta situación, en 2008 entró en vigor el Reglamento por el que se desarrolla la Ley Orgánica de Protección de Datos (REAL Decreto 1720/2007, de 21 de diciembre) que viene a endurecer aún más la ley y los requisitos para su correcto cumplimiento.
No cabe duda de que España se encuentra a la cabeza del mundo en lo que a protección de datos de carácter personal se refiere. Asimismo, el organismo encargado de velar por el cumplimiento de esta normativa, la Agencia Española de Protección de Datos, es también uno de los que más recaudan en concepto de sanciones por esta materia, superando de largo el millón y medio de euros al mes.
La consecuencia lógica de esta desmedida severidad es la merma de capacidad del músculo empresarial español, por ser el más afectado y castigado del mundo por sanciones de protección de datos, situando a la empresa española en una posición de desventaja innegable frente a sus competidores europeos y mundiales. Resulta indiscutible la necesidad urgente de una reforma normativa que aproxime el sistema sancionador español al del resto de países de la Unión Europea; pues, si bien no responde esta necesidad a un imperativo legal ni a una obligación europea, sí lo hace a una justa deferencia con el empresario español y a la sensata búsqueda de la seguridad jurídica.
