“No existen métodos infalibles que nos preparen plenamente para el mundo de
los datos masivos; tendremos que establecer principios nuevos para nuestro
autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad
de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por
su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de
una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de
datos masivos” (p. 236) (Mayer-Schönberger, K. Cukier,
Big Data. La revolución de los datos masivos. Turner, 2013)
Por Rafael Jiménez Asensio.- Blog La Mirada Institucional.- Introducción.- Faltan poco más de dos meses (el 25 de mayo de 2018) para la plena
aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos.
Mientras tanto, en paralelo, la tramitación
en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de
datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de
noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso
pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco
normativo establecido en la Unión Europea, sigue su curso. Aunque todo apunta
que no podrá estar aprobada esta Ley antes del 25 de mayo del presente año,
pues cuando esto se escribe no han sido aceptadas las enmiendas a la totalidad
en el debate al efecto que se ha realizado en el Congreso de los Diputados y
aún se está en el trámite de presentación de enmiendas (con ampliación
reiterada del plazo para presentar las mismas)[2], quedando pendiente su tramitación y
aprobación en esta Cámara y la subsiguiente intervención del Senado (y, en su
caso, el retorno otra vez a la Cámara baja). Poco tiempo para que vea la luz
antes de la fecha indicada. Por tanto, el presente trabajo se centrará en la
regulación del RGPD y hará alguna mención circunstancial al PLOPD, con la
advertencia que la redacción final de la Ley que aprueben las Cortes Generales
puede variar notablemente algunas partes de su contenido.
La importancia del RGPD no puede ser puesta en cuestión. Aunque
posteriormente pondré de relieve cuáles son algunos de sus precedentes, cabe
subrayar ahora que la revolución tecnológica, en la que ya se encuentra inmerso
el mundo actual, se caracteriza por la trascendencia que tienen los datos,
también –aunque no solo- en la propia economía. Se ha dicho, por ejemplo, que
los datos son el petróleo de la economía digital, pero eso no es completamente
cierto, pues –tal como afirma Franklin Foer, “los datos son infinitamente
renovables, no son finitos como el petróleo”[3]. La amenaza a la intimidad por el (mal)
uso de los datos es obvia, por tanto. Para entender esa amenaza se pueden traer
a colación muchas reflexiones, cada día más abundantes dentro del género de
ensayo, pero sin entrar en una larga lista de citas sí que puede ser oportuno
en estos momentos recordar lo que dijo en su día uno de los principales asesores
de una de las grandes empresas que ejercen el monopolio o cuasi monopolio de
Internet. Eric Schmidt, reconocía con toda su crudeza lo siguiente: “Sabemos
dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás
pensando”. El riesgo, por tanto, para la intimidad de las personas que
representa esa acumulación de datos y ese cruce casi infinito de los mismos
está meridianamente claro. Timothy Garton Ash, en un interesante libro, también
nos lo ha recordado recientemente: “Ahora todos somos palomas como transmisor”.
Y también nos recuerda unas palabras del experto en seguridad, Bruce Schneider,
que se jactaba de que “la vigilancia es el modelo de negocio de Internet”, y
concluía del siguiente modo: “”Nosotros construimos sistemas que espían a las
personas a cambio de servicios”[4]. Por tanto, queda meridianamente claro
que el desafío real y tangible a la privacidad es ya un hecho, que se irá
acrecentado con el paso del tiempo. Y las respuestas ante esta amenaza son
complejas, pero cualquier solución al problema –como ha recordado recientemente
el filósofo Luc Ferry en su última y recomendable obra[5]– pasa inevitablemente por la regulación.
No hay otra vía. Por eso es de gran trascendencia el alcance que tiene la
aprobación del RGPD, que representa un cambio cualitativo en el modo y manera
de regular este ámbito de la protección de datos de carácter personal por las
instituciones de la Unión Europea, como se verá de inmediato.
Nuevo modelo
Nuevo modelo
No cabe duda, como se ha reiterado hasta la saciedad, que el RGPD supone un
auténtico cambio de paradigma en la configuración normativa del problema. Las
causas de esta regulación se analizan después, pero están indisolublemente
unidas, tal como decía, al desarrollo de la revolución tecnológica, pero
también a esa revolución social que ha implicado el desarrollo de Internet y en
especial de las redes sociales, aparte de la omnipresencia del buscador de
Google, como se ha denominado. Todo ello ha conducido a que “las personas hayan
cambiado radicalmente sus hábitos pasando de ser muy celosas de sus datos en
los 90 hasta el escenario actual en el que se facilitan abiertamente”. Pero el
cambio real de paradigma se advierte, tal como se dirá, en una suerte de
“responsabilidad proactiva”, que representa –como se ha dicho- “nuestra mayoría
de edad en lo relativo a la protección de datos personales”, puesto que “el
nuevo Reglamento deja en nuestras manos el decidir qué medidas implantamos,
pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar
documentalmente su cumplimiento”[6]. El giro en el modelo es, ciertamente,
radical; pues se asienta, tal como se verá, en una serie de herramientas de
control interno que se ven reforzadas y de las que la figura del Delegado de
Protección de Datos es una de las piezas clave, pues por parte de los
responsables y encargos del tratamiento hay una obligación de adaptar una
política de privacy by design y de privacy by default cada vez
que se vayan a tratar datos personales. Una figura que encontraba alguna
referencia incidental en el considerando 49 de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, así como en alguna
otra práctica tanto de las instituciones europas como de algunos de los Estados
miembros, pero aún así su encaje en el modelo final resultante puede
considerarse como una de las más importantes novedades de la regulación actual.
Delegado de protección de datos
En efecto, en relación con ese nuevo marco normativo hay una opinión común
a la hora de resaltar que una de las novedades más relevantes que se incorporaron
a ese RGPD fue sin duda la obligación de que las autoridades u organismos
públicos “designen” un delegado de protección de datos (DPD, en lo
sucesivo; o también denominado por sus siglas en inglés, DPO: Date Protector
Officer). En efecto, ese cambio de paradigma que se intenta impulsar con el
RGPD, y al que también haré referencia en páginas posteriores, no puede
realizarse plenamente sin un papel activo y determinante de esta nueva figura
que es el DPD, que debe velar por el cumplimiento de la normativa en materia de
protección de datos entre otras muchas funciones. La política de compliance pide
paso también en lo que a protección de datos respecta.
En este trabajo interesa particularmente poner el foco de atención en
aquellas cuestiones que afectan al perfil de la figura y a su correcto encuadre
en las organizaciones públicas, en especial –dado el foro en el que este
trabajo se presenta- a los problemas que se pueden plantear en lo que afecta a
su aplicación en las entidades locales. La figura, en cualquier caso,
trasciende con mucho los contornos del sector público, para adentrarse con
fuerza en el ámbito privado, particularmente empresarial, pero este enfoque no
puede ser objeto de análisis en estos momentos. Nos ocupa, por tanto, el
impacto de la figura en el sector público. A tal efecto, centraré la atención
de modo prioritario en los siguientes puntos:
-1).- El estatuto de esa figura (lo que el RGPD y el PLOPD califican como
“posición”).
2.-) Las funciones del DPD, tal como aparecen recogidas en el binomio
RGPD-PLOPD.
3).- La proyección orgánica que debe tener ese DPD en la estructura
administrativa y qué problemas se plantean al respecto.
4).- El sistema de provisión y algunos detalles del régimen jurídico
aplicable al DPD en las Administraciones Públicas.
Y, por último,
5).- Algunas referencias incidentales, que se recogen a lo largo del texto a
las líneas básicas del régimen sancionador aplicable a los responsables y
encargados de las Administraciones Públicas y de los organismos y entidades de
Derecho Público vinculadas o dependientes de aquellas o en su caso adscritas
(Consorcios), así como las que sean aplicable, con carácter general, a los
responsables o encargados de las sociedades mercantiles de capital público.
En cualquier caso, lo que sigue no pasa de ser un primer estudio de un
problema no exento de notable complejidad y plagado aún (dada su novedad y la
impronta singular de la normativa en la que se encuadra) de innumerables
incógnitas o dudas aplicativas. A algunas de estas dudas se les intentará dar
una respuesta razonable en estas páginas, otras permanecerán abiertas y, en
fin, ciertas interpretaciones que aquí de defienden deberán ser contrastadas
por su aplicación futura. También veremos hasta qué punto la futura LOPD viene
en nuestra ayuda y solventa o no ciertas cuestiones hoy en día abiertas. Por
tanto, quedan aún muchas preguntas por responder. Y no pretendo, obviamente,
dar solución a todas, sino abrir un camino de reflexión y debate sobre tan
importante tema.
No obstante, con carácter previo, conviene llevar a cabo algunas
reflexiones de naturaleza introductoria que nos enmarquen con carácter general
el problema y, asimismo, nos sitúen en cuáles son las claves generales de por
qué se ha aprobado por la Unión Europea esta normativa específica a través de
una fuente del Derecho tan reforzada como es la de un Reglamento General de la
Unión Europea (al ser obligatorio en todos sus elementos, tener aplicabilidad
general y uniforme en todos los países y para todos los ciudadanos y entidades
de la UE).
[1] El presente texto es
la Ponencia que, sobre el mismo tema, ha sido remitida al Seminario
de Actualización de Función Pública organizado por la Federació de Municipis
de Catalunya, y que ha tenido lugar el día 20 de marzo en el IDEC-UPF,
en Barcelona. Agradezco al Secretario General de la FMC, Juan Ignacio Soto, así
como a la Coordinadora del Seminario, Carme Noguer, la amabilidad que han
tenido al permitir la difusión de esta Ponencia a través de otros medios.
[3] F. Foer, Un mundo
sin ideas. Las amenazas de las grandes empresas a nuestra identidad,
Paidós, 2017.
[4] Y Schneider, como nos
recuerda Timothy Garton Ash, “nos compara con arrendatarios agrícolas en las
grandes fincas de Google o Facebook. La renta que pagamos –concluye- son
nuestros datos personales” (Libertad de palabra. Diez principios para un mundo
interconectado, Tusquets, 2017, pp. 387-388).
[5]
L. Ferry, La revolución transhumanista. Cómo la tecnomedicina y la
Uberización del mundo van a transformar nuestras vidas, Alianza Editorial,
2017.
[6]
J. L. Rivas López y V. Salgado Seguín, “Hacia la seguridad de los datos después
del Reglamento Europeo”. Se puede consultar en abierto en Internet
Leer o consultar completo: ARTICULO DPD
No hay comentarios:
Publicar un comentario