martes, 20 de marzo de 2018

La figura del delegado de protección de datos en las organizaciones públicas (I)

Otro post de interés. Blog de Víctor Almonacid: Real Decreto 128/2018, de 16 de marzo, por el que se regula el régimen jurídico de los funcionarios de Administración Local con habilitación de carácter nacional: ejercicio electrónico de las funciones

“Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)
“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)  (Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)
Por Rafael Jiménez Asensio.- Blog La Mirada Institucional.- Introducción.- Faltan poco más de dos meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

 Mientras tanto, en paralelo, la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea, sigue su curso. Aunque todo apunta que no podrá estar aprobada esta Ley antes del 25 de mayo del presente año, pues cuando esto se escribe no han sido aceptadas las enmiendas a la totalidad en el debate al efecto que se ha realizado en el Congreso de los Diputados y aún se está en el trámite de presentación de enmiendas (con ampliación reiterada del plazo para presentar las mismas)[2], quedando pendiente su tramitación y aprobación en esta Cámara y la subsiguiente intervención del Senado (y, en su caso, el retorno otra vez a la Cámara baja). Poco tiempo para que vea la luz antes de la fecha indicada. Por tanto, el presente trabajo se centrará en la regulación del RGPD y hará alguna mención circunstancial al PLOPD, con la advertencia que la redacción final de la Ley que aprueben las Cortes Generales puede variar notablemente algunas partes de su contenido.

La importancia del RGPD no puede ser puesta en cuestión. Aunque posteriormente pondré de relieve cuáles son algunos de sus precedentes, cabe subrayar ahora que la revolución tecnológica, en la que ya se encuentra inmerso el mundo actual, se caracteriza por la trascendencia que tienen los datos, también –aunque no solo- en la propia economía. Se ha dicho, por ejemplo, que los datos son el petróleo de la economía digital, pero eso no es completamente cierto, pues –tal como afirma Franklin Foer, “los datos son infinitamente renovables, no son finitos como el petróleo”[3]. La amenaza a la intimidad por el (mal) uso de los datos es obvia, por tanto. Para entender esa amenaza se pueden traer a colación muchas reflexiones, cada día más abundantes dentro del género de ensayo, pero sin entrar en una larga lista de citas sí que puede ser oportuno en estos momentos recordar lo que dijo en su día uno de los principales asesores de una de las grandes empresas que ejercen el monopolio o cuasi monopolio de Internet. Eric Schmidt, reconocía con toda su crudeza lo siguiente: “Sabemos dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás pensando”. El riesgo, por tanto, para la intimidad de las personas que representa esa acumulación de datos y ese cruce casi infinito de los mismos está meridianamente claro. Timothy Garton Ash, en un interesante libro, también nos lo ha recordado recientemente: “Ahora todos somos palomas como transmisor”. Y también nos recuerda unas palabras del experto en seguridad, Bruce Schneider, que se jactaba de que “la vigilancia es el modelo de negocio de Internet”, y concluía del siguiente modo: “”Nosotros construimos sistemas que espían a las personas a cambio de servicios”[4]. Por tanto, queda meridianamente claro que el desafío real y tangible a la privacidad es ya un hecho, que se irá acrecentado con el paso del tiempo. Y las respuestas ante esta amenaza son complejas, pero cualquier solución al problema –como ha recordado recientemente el filósofo Luc Ferry en su última y recomendable obra[5]– pasa inevitablemente por la regulación. No hay otra vía. Por eso es de gran trascendencia el alcance que tiene la aprobación del RGPD, que representa un cambio cualitativo en el modo y manera de regular este ámbito de la protección de datos de carácter personal por las instituciones de la Unión Europea, como se verá de inmediato.

Nuevo modelo
No cabe duda, como se ha reiterado hasta la saciedad, que el RGPD supone un auténtico cambio de paradigma en la configuración normativa del problema. Las causas de esta regulación se analizan después, pero están indisolublemente unidas, tal como decía, al desarrollo de la revolución tecnológica, pero también a esa revolución social que ha implicado el desarrollo de Internet y en especial de las redes sociales, aparte de la omnipresencia del buscador de Google, como se ha denominado. Todo ello ha conducido a que “las personas hayan cambiado radicalmente sus hábitos pasando de ser muy celosas de sus datos en los 90 hasta el escenario actual en el que se facilitan abiertamente”. Pero el cambio real de paradigma se advierte, tal como se dirá, en una suerte de “responsabilidad proactiva”, que representa –como se ha dicho- “nuestra mayoría de edad en lo relativo a la protección de datos personales”, puesto que “el nuevo Reglamento deja en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento[6]. El giro en el modelo es, ciertamente, radical; pues se asienta, tal como se verá, en una serie de herramientas de control interno que se ven reforzadas y de las que la figura del Delegado de Protección de Datos es una de las piezas clave, pues por parte de los responsables y encargos del tratamiento hay una obligación de adaptar una política de privacy by design y de privacy by default cada vez que se vayan a tratar datos personales.  Una figura que encontraba alguna referencia incidental en el considerando 49 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, así como en alguna otra práctica tanto de las instituciones europas como de algunos de los Estados miembros, pero aún así su encaje en el modelo final resultante puede considerarse como una de las más importantes novedades de la regulación actual.

Delegado de protección de datos
En efecto, en relación con ese nuevo marco normativo hay una opinión común a la hora de resaltar que una de las novedades más relevantes que se incorporaron a ese RGPD fue sin duda la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo; o también denominado por sus siglas en inglés, DPO: Date Protector Officer). En efecto, ese cambio de paradigma que se intenta impulsar con el RGPD, y al que también haré referencia en páginas posteriores, no puede realizarse plenamente sin un papel activo y determinante de esta nueva figura que es el DPD, que debe velar por el cumplimiento de la normativa en materia de protección de datos entre otras muchas funciones. La política de compliance pide paso también en lo que a protección de datos respecta.

En este trabajo interesa particularmente poner el foco de atención en aquellas cuestiones que afectan al perfil de la figura y a su correcto encuadre en las organizaciones públicas, en especial –dado el foro en el que este trabajo se presenta- a los problemas que se pueden plantear en lo que afecta a su aplicación en las entidades locales. La figura, en cualquier caso, trasciende con mucho los contornos del sector público, para adentrarse con fuerza en el ámbito privado, particularmente empresarial, pero este enfoque no puede ser objeto de análisis en estos momentos. Nos ocupa, por tanto, el impacto de la figura en el sector público. A tal efecto, centraré la atención de modo prioritario en los siguientes puntos:

-1).- El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”).

2.-) Las funciones del DPD, tal como aparecen recogidas en el binomio RGPD-PLOPD.

3).- La proyección orgánica que debe tener ese DPD en la estructura administrativa y qué problemas se plantean al respecto.

4).- El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD en las Administraciones Públicas.
Y, por último,

5).- Algunas referencias incidentales, que se recogen a lo largo del texto a las líneas básicas del régimen sancionador aplicable a los responsables y encargados de las Administraciones Públicas y de los organismos y entidades de Derecho Público vinculadas o dependientes de aquellas o en su caso adscritas (Consorcios), así como las que sean aplicable, con carácter general, a los responsables o encargados de las sociedades mercantiles de capital público.

En cualquier caso, lo que sigue no pasa de ser un primer estudio de un problema no exento de notable complejidad y plagado aún (dada su novedad y la impronta singular de la normativa en la que se encuadra) de innumerables incógnitas o dudas aplicativas. A algunas de estas dudas se les intentará dar una respuesta razonable en estas páginas, otras permanecerán abiertas y, en fin, ciertas interpretaciones que aquí de defienden deberán ser contrastadas por su aplicación futura. También veremos hasta qué punto la futura LOPD viene en nuestra ayuda y solventa o no ciertas cuestiones hoy en día abiertas. Por tanto, quedan aún muchas preguntas por responder. Y no pretendo, obviamente, dar solución a todas, sino abrir un camino de reflexión y debate sobre tan importante tema.

No obstante, con carácter previo, conviene llevar a cabo algunas reflexiones de naturaleza introductoria que nos enmarquen con carácter general el problema y, asimismo, nos sitúen en cuáles son las claves generales de por qué se ha aprobado por la Unión Europea esta normativa específica a través de una fuente del Derecho tan reforzada como es la de un Reglamento General de la Unión Europea (al ser obligatorio en todos sus elementos, tener aplicabilidad general y uniforme en todos los países y para todos los ciudadanos y entidades de la UE).

[1] El presente texto es la Ponencia que, sobre el mismo tema, ha sido remitida al Seminario de Actualización de Función Pública organizado por la Federació de Municipis de Catalunya, y que ha tenido lugar el día 20 de marzo en el IDEC-UPF, en Barcelona. Agradezco al Secretario General de la FMC, Juan Ignacio Soto, así como a la Coordinadora del Seminario, Carme Noguer, la amabilidad que han tenido al permitir la difusión de esta Ponencia a través de otros medios.
[2] Véase: Diario de Sesiones. Congreso de los Diputados, núm. 104, 15-02-2018, pp. 28 y ss.
[3] F. Foer, Un mundo sin ideas. Las amenazas de las grandes empresas a nuestra identidad, Paidós, 2017.
[4] Y Schneider, como nos recuerda Timothy Garton Ash, “nos compara con arrendatarios agrícolas en las grandes fincas de Google o Facebook. La renta que pagamos –concluye- son nuestros datos personales” (Libertad de palabra. Diez principios para un mundo interconectado, Tusquets, 2017, pp. 387-388).
[5] L. Ferry, La revolución transhumanista. Cómo la tecnomedicina y la Uberización del mundo van a transformar nuestras vidas, Alianza Editorial, 2017.
[6] J. L. Rivas López y V. Salgado Seguín, “Hacia la seguridad de los datos después del Reglamento Europeo”. Se puede consultar en abierto en Internet

Leer o consultar completo: ARTICULO DPD

No hay comentarios:

Publicar un comentario