PROTECCION DE DATOS

ESTATUTO DEL DENUNCIANTE: CANALES INTERNOS DE DENUNCIA E INTEGRIDAD INSTITUCIONAL

Introducción

La publicación de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre (DOUE de 26-XI-2019) abre un período de adaptación normativa y ejecutiva con la finalidad de incorporar sus previsiones que, por lo que afecta al sector público, se deben cumplir como máximo el 17 de diciembre de 2021. Queda mucho trabajo por hacer y, aunque no lo parezca, tampoco demasiado tiempo. Ningún nivel de gobierno ni entidad del sector público puede dormirse en los laureles, menos aún las obligadas en términos de la normativa europea.

En cualquier caso, al margen de lo que haga el legislador estatal o autonómico, o de lo que puedan llevar a cabo las entidades locales, uno de los elementos sustantivos del sistema institucional diseñado para la protección del informador o denunciante, es el establecimiento de canales internos que sean efectivos para la tramitación adecuada de tales denuncias y, asimismo, al objeto de garantizar la confidencialidad del denunciante, poniéndolo a resguardo de cualquier represalia por el desarrollo de esa importante función. Se trata de evitar que el desamparo del denunciante o el funcionamiento deficiente de sus canales internos, conlleve un efecto de desaliento en la aplicación del sistema. Lo que está en juego es mucho: preservar el interés público y evitar, en la medida de lo posible, cualquier perjuicio a las instituciones. La dimensión preventiva del modelo es obvia. La lucha contra la corrupción y las malas práctica es un combate interminable.

Como bien expuso en su día Elisa de La Nuez, la Directiva 2019/1937 es “un suelo” del que hay que partir. Esa idea se expresa de modo diáfano en su considerando 104: “La presente Directiva establece normas mínimas y debe ser posible para los Estados miembros introducir o mantener disposiciones que sean más favorables”. Por tanto, respetando su espíritu y contenido, se pueden levantar edificios muy distintos. Unos formales o pegados a la letra de la Directiva, otros más creativos y operativos, y también los habrá que se construyan con material de derribo o que sean poco consistentes. Las soluciones institucionales serán, sin duda, diferentes en su trazado. Y ello comportará inevitables consecuencias.

Lo que aquí sigue es un breve repaso a las líneas-fuerza de la Directiva en lo que a los canales internos de denuncia respecta, y también unas sucintas propuestas sobre cómo articular un sistema de gestión interno de informaciones/denuncias, que vaya más allá de las limitaciones que, a mi juicio, ofrece la Directiva en este punto, y se inserte en un Sistema de Integridad Institucional o en un Programa de Compliance, en aquellas entidades del sector público que lo tengan implantado.

Los canales internos de denuncia en la Directiva 2019/1937

La Directiva contiene una serie principios y reglas aplicables a los canales internos de denuncia que se pueden sintetizar del siguiente modo, y extraer de ellos algunos apuntes:

La obligación de disponer de un canal interno de denuncias es aplicable a todas las entidades del sector público. Pero el margen de configuración de cada Estado miembro es amplio, puesto que cabe eximir a los municipios de menos de 10.000 habitantes o con menos de 50 empleados, así como a aquellas entidades públicas que no alcancen esa cifra de trabajadores. En estos casos, los riesgos son evidentes, pues si se quieren combatir determinadas prácticas irregulares (por ejemplo, en la contratación pública), dejar fuera de esa obligación a las empresas o entidades públicas en esos casos (o incluso a un altísimo número de ayuntamientos) no parece lo más adecuado. El legislador o el correspondiente nivel de gobierno tendrá la última palabra.
En general, la Directiva apuesta por priorizar el canal interno de denuncias frente a aquellos otros de naturaleza externa (autoridades, organismos o entidades), salvo en los casos citados antes (excepciones) donde el modelo pivotaría exclusivamente por el “control externo”. El argumento es un tanto singular, pues se considera que “los denunciantes se sienten más cómodos denunciando por canales internos”; pero añade: “a menos que tengan motivos para denunciar por canales externos”. No cierra, por tanto, la vía a los “canales externos” (en algunos casos será la única transitable, como se ha visto), pero los caracteriza con una naturaleza subsidiaria o
La preferencia de la Directiva por los canales internos es clara, siempre que existan garantías de que la denuncia se tratará de manera efectiva. Así, se anima “a los denunciantes a utilizar en primer lugar los canales de denuncia interna e informar a su empleador, si dichos canales están a su disposición y (si) puede esperarse razonablemente que funcionen”. La prioridad de los canales internos se supedita, por consiguiente, a que ofrezcan garantías. En caso contrario, los “canales externos” se convierten en la red que salvará el modelo y protegerá de verdad a los denunciantes.
Por tanto, la premisa de disponer de un sistema que garantice la efectividad de tales denuncias es clara y contundente: “Las entidades jurídicas de los sectores privado y público deben establecer procedimientos internos adecuados para la recepción y el seguimiento de denuncias”. El énfasis de la Directiva por un modelo procedimental y no institucional, parece aquí obvio. Quizás se ha descuidado el diseño institucional, algo que deberá atender el legislador o la entidad correspondiente. Si se cree de verdad en este modelo. Las trampas en el solitario pueden ser numerosas.
Pero lo más importante es que tales canales internos de denuncia deberían tener como función principal aportar valor institucional y generar infraestructuras éticas o cultura de integridad en la respectiva entidad pública. Desde el punto de vista preventivo, no puede funcionar un sistema de denuncias (buzón, registro, seguimiento, etc.) si previamente no se inserta en un sistema de integridad y se articula junto a unos valores y normas de conducta (códigos), aplicados por órganos de garantía dotados de autonomía funcional o, incluso, independencia orgánica (y este será el gran reto). Articular un “buzón ético de denuncias”, cuando no hay previamente definidos unos valores y normas de conducta, es una apuesta incompleta y centrada en la sanción. Se debe contribuir “a fomentar una cultura de buena comunicación y responsabilidad social empresarial en las organizaciones, en virtud de la cual se considere que los denunciantes contribuyen de manera significativa a la autocorrección y la excelencia dentro de la organización”. El papel positivo de la figura del denunciante debe enmarcarse, por tanto, en el reforzamiento de esa cultura de integridad, como una pieza más de la política de compliance o de integridad de la institución. Y, si no existe, hay que crearla. Este es el reto.
Un ámbito típico del sector público (que no es ni mucho menos el único) donde se debe proyectar un sistema de canales internos de denuncia es en la contratación pública, a efectos, tal como reconoce la Directiva, de que se respeten las normas de contratación pública y se eviten afectaciones a la integridad, transparencia, igualdad de trato o prácticas colusorias en materia de libre competencia. Pero esto requiere un tratamiento monográfico, que en otro momento se hará.
Los procedimientos de denuncia interna, deben incluir una serie de exigencias (artículo 9), entre ellas destacan a aquellas que “sean establecidos y gestionados de una forma segura”, garantizando la confidencialidad de la identidad del denunciante, y que se impida el acceso a esa información o a esos datos por parte de “personal no autorizado”. Se requiere, además, la designación de un departamento o persona imparcial y competente para el ejercicio de tales funciones, lo que nos conduce derechamente a un estatuto singular de tal órgano o de tales personas (a imagen y semejanza de la figura del delegado de protección de datos; esperemos que con mejores resultados en cuanto a su autonomía funcional).
Es, asimismo, muy importante la referencia que la Directiva lleva a cabo sobre la posibilidad de que los canales de denuncias sean gestionados, tras la autorización correspondiente, “por terceros”, una expresión que engloba muchas y diferentes realidades. Y puede representar algunos problemas añadidos. Tales “terceros” deben cumplir las exigencias establecidas para los órganos o personas que gestionen canales internos, pero a su vez se exige que “ofrezcan garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto”.
Los canales internos de denuncia deben asimismo articularse sobre una serie de ejes:
- Llevar a cabo un seguimiento de las denuncias que genere “confianza en la eficacia del sistema de protección del denunciante”.
- Informar al denunciante en un plazo razonable, que no será superior a tres meses
- Proveer de información clara y fácilmente accesible sobre los procedimientos de denuncia externa.
- Se deben ofertar cursos y seminarios de formación sobre ética e integridad (algo infrecuente aún en buena parte de las entidades públicas).

A modo de conclusión

En consecuencia, la Directiva supone un paso adelante. Su enfoque central es, obviamente, de protección del denunciante, pero para que el sistema sea efectivo requiere no solo procedimientos y garantías, sino también establecer un modelo institucional de canal interno de denuncias que salvaguarde la independencia del órgano que asuma tales funciones, garantice la confidencialidad, la protección de datos y el secreto en sus actuaciones. La protección efectiva del denunciante requerirá que tales canales internos de denuncia se inserten adecuadamente y de modo efectivo en Sistemas de Integridad Institucional (o Programas de Compliance) de la respectiva entidad, así como que se articulen como sistemas de gestión dotados de independencia funcional y garanticen la acusada profesionalidad de quienes ejerzan tales tareas, con patrones morales y éticos estrictos.

En caso contrario, si falla la primera línea de defensa (canales internos), se abandonará (por inútil o no garantista) esa vía y proliferará el recurso a los canales externos ejercidos por las autoridades competentes (autoridades judiciales, organismos de regulación y supervisión, así como, en su caso, agencias de lucha contra la corrupción). Y, en ese caso, al menos cuando la cuestión está en manos de los tribunales o de los organismos de control, la batalla de la prevención se habrá perdido por completo, haciendo, así, girar el modelo hacia un sistema de sanción (administrativa o penal), en cuyo caso las consecuencias finales serán obvias: una vez adoptada la resolución correspondiente, la confianza de la ciudadanía en la institución ya se habrá roto. Por tanto, si el sector público quiere avanzar decididamente en la lucha por la integridad institucional no tiene otra salida que construir un sistema de denuncias internas dotado de esos principios y rasgos expuestos anteriormente. No hay otro camino. Lo demás es engañarse.

EL JUEGO DEL (CIBER)PODER: DATOS PERSONALES EN LA ERA DE LA REVOLUCIÓN TECNOLÓGICA

Esta entrada, pese al enunciado que la abre, tiene una intención modesta. De hecho pretende ser principalmente una breve reseña de dos sugerentes libros, cuya lectura vino alimentada por la preparación de una breve ponencia sobre el tema ¿De quién son los datos?, enmarcada en un Curso de Verano de la Universidad de Málaga sobre “Protección de Datos y Transparencia: conflictos y equilibrio” (cuyo director fue el profesor Martin Razquin). Algunas de las ideas que aquí se vierten fueron expresadas públicamente en esa presentación.

Se trata de dos libros con una temática común, pero de muy distinto trazado. Ambos muy difundidos en distintos medios de comunicación, mediante entrevistas a los autores e incluso con algunas reseñas. Por tanto, presumo que se trata de obras muy conocidas. Pero nunca está de más animar a su lectura. Si no los ha leído aún, al lector mínimamente interesado por estos temas no le defraudarán.

Alessandro Baricco: The Game, Anagrama, 2019

“Hay algo espléndidamente exacto en nuestra sospecha de que aquí no está cambiando algo, sino todo” (p. 35)

Ciertamente, el título de esta obra está bien seleccionado. No empezó todo (aunque también) como un juego, pero derivó en él. Y prácticamente todos los humanos nos hemos dotado de esas prótesis que acompañan nuestros pasos allá donde vayamos. Siempre cabizbajos. Sin su presencia, algo existencial nos falta. Baricco ha escrito un libro –según nos cuenta- para explicarse a sí mismo qué había pasado o qué estaba pasando, con esa “humanidad aumentada” que las máquinas y la virtualidad estaban gestando desde hacía algunas décadas, aunque el proceso de aceleración tecnológica tiene efectos multiplicadores. Todo va muy rápido. Demasiado. Y, tal vez, es bueno pararse a pensar. O explicar cómo se llegó hasta aquí, quién quedó en el camino y por qué algunos se hicieron finalmente con el pastel.

El libro de Alessandro Baricco es imprescindible para entender ordenadamente ese proceso. Hay que conocer los orígenes de esa revolución tecnológica, aparentemente silente, pero que está removiendo los cimientos de nuestra forme de ser y de estar en este mundo, así como muchas otras cosas más. Más aún de los millennials. El algoritmo se está haciendo dueño y señor de nuestras vidas, además con nuestro consentimiento e, incluso, con nuestro aplauso. Cada día que pasa se pierde algo de humanidad y “se gana” comodidad o respuestas rápidas, homogéneas y virtuales. La superficialidad consentida domina todo. También el narcisismo y la propia egolatría. Y la pregunta es clara: ¿A dónde vamos? O, mejor dicho: ¿A dónde nos conducen las máquinas?, ¿Son estas o son las personas detrás de ellas quienes nos guían?

La revolución digital ya ha abierto las puertas de par en par a la revolución tecnológica. La tesis fuerte del autor es que se está produciendo un auténtica revolución mental. Pero lo sugerente de su planteamiento es que primero fue la revolución mental y luego vino la tecnológica. Hay alguien o algunos que empujaron todo esto. Y en los orígenes (podrían ser más remotos) está la clave. Sin apenas darnos cuenta algo cambió profundamente en nuestro entorno, la persona en su contexto tradicional se convirtió en “Hombre-teclas-pantalla”. Hubo mucho de contestación o de rebelión en el planteamiento inicial o arranque del tema (algo bien estudiado, entre otros muchos, por Frederick Foer, Un mundo sin ideas, 2017), pero el camino, extraordinariamente trazado por Baricco, con mapas incluidos, fue largo y los accidentes muchos. Desde el videojuego a los planteamientos del mítico Steward Brand, como uno de los auténticos ideólogos de la rebelión inicial, pasando por la creación de la Web o el desarrollo y caída de las “punto.com”, así como la aparición en escena de innumerables aplicaciones que fueron encontrando hueco en los comportamientos de unos humanos que se veían a sí mismos como aumentados. El tránsito estuvo plagado de accidentes, pero también de éxitos. Y estos vinieron para quedarse, al menos de momento. Porque todo va muy rápido. Demasiado.

El punto de inflexión según el autor se produce en 2007, cuando Steve Jobs presenta el iPhone. Lo complejo se hacía sencillo. La superficie mostraba lo que interesaba. Esencia y apariencia coincidían. Y todos a jugar, quien no lo hacía sería tachado de hereje, borrado de la faz de la tierra. Desde 2008 en adelante, a pesar de la crisis, las apps se multiplicaron. Ya nadie podía vivir ajeno a lo que se movía por las redes sociales. La colmena de individuos pegados a la red se hizo enjambre. Si alguien renegaba de la modernidad tecnológica era tachado de raro. Analógicos subsisten, pero están condenados irremediablemente a morir. Por mucha resistencia que adopten. Todo pasa y pasará por el molino de las redes y de las aplicaciones. Sin su prótesis usted va cojo, amén de desorientado. Su cuerpo no vale nada. Solo su IP y sus datos.

El mercado tecnológico se ha ido encogiendo. El oligopolio toma cariz de monopolio. Y han crecido a costa nuestra: caímos en la trampa de creer que la digitalización era gratis. El precio pagado y el que pagaremos es altísimo: se ha hecho a costa de nuestros datos. Al fin y a la postre de nuestra intimidad, de nuestra dignidad y de nuestros derechos fundamentales. Pero eso es un intangible, que a nadie importa. Se trata de violaciones silentes y de efectos retardados. Solo te darás cuenta cuando ya nada tenga remedio. De paso nos hemos cargado la propiedad intelectual, pues –como dice el autor- “quien gana no es quien crea, sino quien distribuye”. Y, en fin, también nos han narcotizado: “el Game mantiene domesticados sobre todo a los más débiles, atontándolos lo justo para impedirles que constaten su condición esencialmente servil”.

En fin, el libro de Alessandro Baricco es una delicia, de lectura imprescindible para entender el problema expuesto. Una mirada de un analógico que descubre las inmensidades de lo tecnológico, partiendo de un escepticismo crítico. Su opinión es, en determinados momentos, optimista. Aunque nunca ingenua. Las disfunciones del Juego son puestas crudamente de relieve. El juego es difícil: quien desconecta muere. No para ninguna de las 24 horas del día. El poder se concentra cada vez más. Y convive, mal convive, con instituciones tradicionales. Es muy significativa la divertida descripción que hace el autor de la comparecencia de Mark Zuckerberg ante el Senado de Estados Unidos: dos mundos que hablan diferentes lenguajes y viven realidades paralelas. Las soluciones que propone Baricco no están exentas de cierto realismo: “nadie que haya nacido antes de Google va a resolver estos problemas”. Habrá que entrecruzar lecciones del pasado con instrumentos del presente. El Juego nos conduce a una vida antinatural, lo que obligará a reivindicar la necesidad de salvar una identidad de la especie: en las próximas décadas, “no habrá bien más valioso que todo lo que haga sentirse seres humanos a las personas”. Un brote de esperanza. Al que inevitablemente nos deberemos agarrar.

José María Lassalle, Ciberleviatán. El colapso de la democracia liberal frente a la revolución digital, Arpa, 2019.

“Los algoritmos han transformado a la humanidad en una especie de proletariado cognitivo al que se aliena de múltiples maneras que buscan todas ellas su bienestar” (p. 97)

Con un enfoque radicalmente distinto, y madera de autor o ensayista menos pulida (también por la menor edad) que la de Baricco, José María Lassalle ha escrito un buen ensayo, del que se puede compartir muchas cosas y matizar otras. Como reconoce el prologuista (Enrique Krauze), el autor “ha escrito un libro profético”, sobre unos mimbres ya detectados por otros ensayistas y filósofos: la revolución tecnológica puede suponer la muerte de la democracia liberal tal como la hemos conocido hasta ahora y, asimismo, la emergencia de un totalitarismo tecnológico o digital que dejaría al modelo dibujado por Orwell en un puro juego de niños. De hecho, los “proles” de 1984 serán los más vigilados y controlados por el Panóptico digital del poder totalitario, pues han regalado todos sus datos sin consciencia ni prevención de ningún tipo. Los poderosos, cada vez menos, ya se servirán de sofisticadas técnicas de borrado u olvido digital o, en su caso, de amortizar sus efectos. El dinero, sea este la forma que adopte, siempre ha marcado fronteras.

Me unen al autor afinidades selectivas en la bibliografía que ha servido de base al presente ensayo. Algunas de ellas comentadas en este Blog, otras no. Siempre me han parecido certeros los temores de Buyng-Chul Han y de Enric Sadin, ambos filósofos, sobre las implicaciones que para la libertad y los derechos fundamentales tendría esta revolución tecnológica. Más preocupantes son las tesis de Luc Ferry sobre la revolución transhumanista. Pero en este tema, como es harto sabido, todo se mueve entre “optimistas” y “pesimistas”. Y no es fácil salir de ese círculo diabólico. En materia de efectos sobre el empleo que la revolución tecnológica comportará (algo también analizado por Lassalle) esa dicotomía es una evidencia.

Pero la aportación fundamental del autor al problema citado es que su enfoque lo sitúa en el Estado, en la propia democracia liberal y más tangencialmente en la afectación a los derechos y libertades de la persona. El modelo de Estado Liberal, construido a partir de los cimientos de la Ilustración, se puede venir abajo. Los riesgos son evidentes. Y de ellos nos advierte con particular lucidez José María Lassalle.

La aparición en escena de ese temible Ciberleviatán se ancla en los datos: “El poder real es tecnológico y se basa en la soberanía de los datos”. El capitalismo cognitivo se apodera de ellos. Los humanos ya sufrimos “el síndrome de infoxicación”, que afecta a nuestras propias capacidades cognitivas, también como sujeto político. Nuestra capacidad de decidir se neutraliza. Y también la subjetividad que migra del cuerpo a los dispositivos inteligentes. Ya no dialogamos con personas, lo hacemos con máquinas, que siempre median y registran lo mediado. De ahí que lo corpóreo desaparezca difuminado por lo virtual. Hay una obra trascendental de la historiadora Linn Hunt, La invención de los derechos humanos (Tusquets, 2009), donde relata magistralmente que en el origen de los derechos humanos, que cuajarían gradualmente tras la Ilustración y las revoluciones liberales, se encontraban dos fenómenos: la autonomía personal (o la individualización del cuerpo) y la empatía. Ambos fueron arraigando, con precedentes en momentos anteriores, a partir del siglo XVIII. Pues bien la revolución tecnológica arrumba radicalmente ambos presupuestos. Y, por tanto, los riesgos a los derechos no son virtuales sino efectivos. No es broma.

La pérdida de lo corpóreo es tratada por Lassalle en un capítulo de su obra. Y ello puede conducir a que los ciudadanos se transformen en un zoon elektonikón. Pero uno de los capítulos más sugerentes del libro es que se dedica a la “libertad asistida”. El colapso del relato liberal está ciertamente alimentado por la revolución tecnológica. El mundo digital, representación de un espacio aparentemente abierto, nos conduce derechamente hacia una sociedad cerrada, con rasgos totalitarios que pueden ir creciendo imperceptiblemente con el paso del tiempo. Lo grave es que la ciudadanía, el demos (o los “proles” tecnológicos) lo admiten de forma acrítica: “Nos estamos acostumbrando a ello y, por eso, vamos tolerando incrementalmente que nuestra libertad viva bajo control y asistida”. Se está robotizando paso a paso nuestra existencia.

El imperio del algoritmo se impone: “se ha convertido en la práctica en el sustituto de la Ley”. Se trata de un “tecnopoder” en el que se asienta la revolución digital: “sin control democrático ni interferencias legales”. Algo se ha intentado seriamente en Europa, tras la aprobación del Reglamento (UE) 2016/679, y su “plena” aplicación (la obra no trata, tal vez por su naturaleza prosaica, de esta cuestión). Pero Europa, aunque pretenda regular también la trasferencia internacional de datos, como así ha sido, no deja de ser una parte del globo. La protección de datos es un fenómeno global y las soluciones estatales o “regionales” puede ayudar, pero no será fácil poner puertas al mar. Aunque Lassalle abogue por esa solución.

La revolución tecnológica ha dado paso al ciberpopulismo, hoy en día tan en boga. Al eterno cuestionamiento de la verdad, siempre manipulada. Muy crítico se muestra el autor, y puede no faltarle razones, con la renta básica universal, una suerte medicina paliativa para que el tecnopoder siga mandando.

¿Cómo hacer frente, en consecuencia, a esa distopía digital?, ¿cómo combatir esas expresiones ya incubadas de totalitarismo tecnológico en China (“una dictadura digital perfecta”) y Rusia, que se prodigan por otros países y que contaminan procesos electorales o convocatorias de referéndums? Desde Silicon Valley se está promoviendo, según el autor, una suerte de totalitarismo soft. Y frente a todo ello, ¿qué hacer? Lassalle propone una “sublevación liberal”, que en cierta medida concluye de la misma manera que Alessandro Baricco: “Necesitamos un humanismo del siglo XXI que fortalezca el sentido ético de lo humano y que actúe como pilar educativo sobre el que se formen las capacidades cognitivas de los hombres”. Nada que objetar, sino todo lo contrario: en la educación está uno de los pilares que hará posible de forma efectiva una fusión razonable entre hombre y máquina, sin que ésta destruya a aquel. El problema es que fiarlo todo a instrumentos hoy en día insuficientes, como el Estado o la Ley (aunque sea imprescindible «regular»), no puede ser la respuesta definitiva. Sin embargo, el autor pone todo el acento en ello, así como en el siempre complejo y resbaladizo tema de la construcción de “una teoría de la propiedad de los datos”. Sin duda, están en juego muchas cosas, como por ejemplo la trazabilidad de la gestión de los datos en una sociedad de Big Data, o cómo afrontar el problema en la fase del Internet de las cosas. Sinceramente, carezco de repuestas frente a un fenómeno de tanta complejidad.

Los datos son de la persona. Pero resultan un intangible, al menos hasta que se hacen operativos y se entrecruzan. Siempre dejan huella, no son el petróleo de la economía pues este es finito mientras que los datos son infinitos. El problema real es cómo todo esto terminará afectando a la dignidad de las personas y a su patrimonio de derechos y libertades fundamentales, pues los datos, mal usados o manejados, tienen una capacidad alta capacidad destructiva al irradiar todos y cada uno de los derechos fundamentales de la persona y transformarlos en papel mojado. Como subrayó Dominique Rousseau (citado por S. Rodotá, El derecho a tener derechos, Trotta, 2014), con los derechos fundamentales pasa como sucedió con el robo de la Gioconda en 2011 en el Museo del Louvre. No hay una percepción clara de su importancia. Sin embargo, cuando los visitantes contemplaron el espacio vacío se dieron cuenta realmente de su ausencia: fue, en efecto, “la ausencia, la pérdida, lo que ahora les inquietaba”. Lo mismo pasa con los derechos, más aún si la afectación a estos es virtual y diferida: (¿por qué no me conceden un crédito hipotecario, un puesto de trabajo o una subvención o ayuda?: pregúnteselo al algoritmo. Los cimientos del Estado Liberal se están viendo seriamente afectados. Y solo es el principio. ¿Estamos realmente a tiempo aún de evitar que se derrumben? Mejor no imaginar las consecuencias, si ello se produjera. Frente a estas y otras cuestiones abiertas nos advierte Lassalle. Y ese es el mayor valor de su obra.

BUENA GOBERNANZA LOCAL [RETOS DEL GOBIERNO MUNICIPAL: 2019-2023 (II)]

LOCAL GOVERNMENT

“Los países [pongan aquí los ayuntamientos] que puedan dotarse de ‘buena gobernanza’ tendrán muchas más posibilidades de proporcionar a sus ciudadanos niveles de vida decentes. Aquellos que no puedan hacerlo, estarán condenados a la decadencia y la disfunción”.

(Micklethwait y Wooldridge La cuarta revolución industrial. La carrera global para reinventar el Estado, Galaxia Gutenberg, 2015).

La Gobernanza Local no ha entrado aún en la agenda política. Y no sería nada malo que lo hiciera definitivamente para el mandato 2019-2023, pues los desafíos en ese ámbito son innegables. Nadie duda de la necesidad de reforzar la confianza de la ciudadanía en sus instituciones, especialmente por lo que ahora corresponde en los gobiernos locales. La confianza pública en las instituciones está muy dañada, todo lo que se haga por superar este descrédito debe ser bienvenido. Y para lograr ese objetivo puede ser importante, a mi juicio incluso necesario, hacer una apuesta política sincera por la Gobernanza Municipal como eje del próximo mandato.

Pero habrá quien se pregunte: ¿Qué es realmente la Gobernanza?, ¿qué la diferencia de la noción de gobierno? La Gobernanza es un concepto que todavía está muy anclado en los discursos académicos o técnicos y poco en los mensajes políticos, menos aún en la ciudadanía. Hay que hacer algo de pedagogía, aunque la noción de Gobernanza lleva décadas aplicándose en otros contextos comparados (piénsese, por ejemplo, en el Libro Blanco de la Gobernanza Europea de 2001).

Y, en verdad, lo más claro que se puede decir sobre el alcance de la noción de Gobernanza, simplificando mucho las cosas, es lo que manifestó en su día Renate Mayntz: la Gobernanza representa una nueva forma de gobernar. Y la diferencia estriba, como bien expuso Daniel Innerarity, en que en la Gobernanza el poder pierde verticalidad y gana horizontalidad, la conexión con la ciudadanía es más estrecha y se busca que esta sea hasta cierto punto cómplice o que participe de las decisiones políticas, por medio de diferentes mecanismos e instrumentos. La gobernanza, como también señaló Innerarity, aquien interera realmente es a la política, para legitimarse (Política para perplejos). Quien gobierna en un entorno de Gobernanza debe estar atento a los humores y propuestas de la ciudadanía, hasta cierto punto busca retroalimentarse de las distintas sensibilidades que se despliegan por el tejido social y ciudadano. Su parentesco con la noción de Gobierno Abierto es indudable, pero va más lejos. En un escenario de gobernanza, el espacio público se comparte entre distintos niveles de gobierno (estructuras de gobierno multinivel) y se trabaja en red, tanto desde el punto de vista institucional como social o ciudadano.

Es por todo ello que el nivel local de gobierno (y mucho más el municipal) resulta particularmente idóneo como espacio para desarrollar políticas de Buena Gobernanza. Ciertamente, algunos gobiernos locales vienen practicando, casi sin saberlo, políticas de Buena Gobernanza. Se trataría solo que las articulen, en un programa coherente. En algunos casos (más bien pocos, bien es cierto) se han desarrollado interesantes experiencias de Gobernanza Ética, en muchos más se han impulsado políticas de Transparencia en clave avanzada, en otros las herramientas de participación ciudadana puestas en marcha han sido pioneras (tanto desde el punto de vista operativo como normativo), hay ejemplos vanguardia también de apertura de datos, como existen, aunque con menor presencia, algunas experiencias de interés sobre rendición de cuentas, y muchas más relacionadas con buenas prácticas en materia de Administración digital, simplificación de trámites y reducción de cargas administrativas o, en fin, de modelos de gestión de protección de datos adaptados al RGPD y a la LOPDGDD. Las prácticas de innovación están teniendo un campo de pruebas interesante en el ámbito local. No obstante, el panorama es muy desigual, como la realidad local misma; pero tampoco estas prácticas están condicionadas necesariamente por el tamaño del municipio o la población o riqueza que este tenga: hay municipios de población reducida o de tamaño medio, donde se produce la convergencia entre políticos y directivos con visión estratégica y buen alineamiento, que están llevando a cabo experiencias de notable interés en el campo de la Gobernanza Pública; mientras que otros de tamaño grande siguen anclados en fórmulas de gestión política y administrativa pretéritas o periclitadas, sin espacio alguno a la creatividad y la innovación, con un pesado legado burocrático tradicional que nadie sabe quietarse de encima. Donde la práctica totalidad (con muy pocas excepciones) de los Ayuntamientos españoles fracasan, es, sin embargo, en la puesta en marcha de aquellas medidas de Gobernanza intra-organizativa relacionadas con el correcto alineamiento política gestión (la articulación, por ejemplo, de un espacio directivo profesional intermedio que sirva de puente o de instancia de mediación) o en las políticas de personal y en el funcionamiento interno de la máquina administrativa, preñada aún de innumerables prácticas de burocratismo formal e ineficiente. Aquí hay mucho trabajo por hacer. Quien no invierta en organización, carece de futuro. También en el resto de facetas antes citadas, pues la presencia de éstas en los gobiernos municipales es muy heterogénea (raro es el gobierno municipal que trabaja coherentemente en todos los focos citados).

Por tanto, sería interesante que el Plan de Mandato o de Gobierno que ilumine el camino político a recorrer por los futuros gobiernos locales que se constituyan tras las elecciones del 26 de mayo de 2019, se viera impregnado de una política de Buena Gobernanza. Y para ello solo hay que tener claras dos cosas: 1) Ese impulso requiere un liderazgo ejecutivo indudable, que debe ser ejercido por quien desempeñe las funciones de Alcaldía o de la presidencia de la institución e interiorizado por el equipo de gobierno y el personal directivo y técnico de la entidad local; 2) Se debe disponer de una hoja de ruta que marque el camino a seguir en cada uno de los ejes que conforman esa política de Buena Gobernanza; lo que requiere un correcto alineamiento entre Política (actor que prioriza e impulsa) y Gestión (actor que retroalimenta la actividad política y hace efectiva la ejecución). Si la máquina ejecutiva no se alinea con el objetivo político, la Buena Gobernanza fracasará. Se transformará fácilmente en mera coreografía.

Y para todo ello, hay que tener mínimamente claro, al menos, cuál es el mapa de proyecciones o dimensiones de una Política de Buena Gobernanza. Esas proyecciones o dimensiones se sintetizan en el cuadro que se adjunta:

MAPA DE DIMENSIONES DE LA GOBERNANZA LOCAL

Gobernanza Ética-Integridad: construcción de Sistemas de Integridad Institucional de carácter holístico
Transparencia efectiva: que impregne la organización y facilite el control del poder por la ciudadanía
Datos Abiertos: Big Data (impactos sobre la economía y Sistema de Gestión de Protección de Datos (RGPD), que salvaguarde los derechos de la ciudadanía.
Participación Ciudadana: Deliberación/Transparencia colaborativa/Consultas
Estrategia de mandato/Planes estratégicos o Ejes de actuación
Gobernanza Intra-organizativa

- Alineamiento correcto entre Política y Gestión
- Máquinas administrativas eficientes. Invertir en organización. Captar y retener el talento.
- Administración Digital
- Reducción autorizaciones (licencias)/control “ex post”. Cambio de modelo de intervención administrativa.
- Simplificación de procedimientos/trámites y reducción de cargas: hacer la vida más fácil a la ciudadanía y al tejido empresarial (captar inversión)
- Mejor regulación: eliminar normas obsoletas y lenguaje caduco.

Rendición de Cuentas
Gobiernos multinivel y trabajo en red

En suma, si se apuesta por una política integral de Gobernanza Municipal o Local, se deberían intentar dar respuesta articulada y coherentemente a todas esas dimensiones antes citadas. No les oculto que todas ellas son importantes y complementarias, pero algunas mucho más difíciles de hacer efectivas que otras. También hay cierta jerarquía entre ellas, que el gobernante inteligente debe saber apreciar. Las hay que son una suerte de prius para que el modelo funcione de verdad y no solo como mensaje de marketing político o cosmético. Así, sin una fuerte inversión en la dimensión intra-organizativa (especialmente en la puesta a punto de la máquina institucional y administrativa, con cambios de calado y mirada a largo plazo) lo que se consiga será pírrico o, como mucho, pasajero. Lo dijo claramente Hamilton hace ya más de doscientos treinta años: “La verdadera prueba de un buen gobierno es su aptitud y tendencia a producir una buena administración” (El Federalista, LXVIII). Ya lo saben los futuros gobernantes locales: manos a la obra. Disponen de cuatro años por delante. Un tiempo político nada despreciable. No lo echen a perder. Por el bien de todos.

NOTA:

VER TEXTO COMPLETO DE LAS DOS RECIENTES ENTRADAS SOBRE «RETOS DEL GOBIERNO MUNICIPAL: 2019-2023», EN LA PESTAÑA DE «DOCUMENTOS» DE ESTA MISMA PÁGINA WEB (https://rafaeljimenezasensio.com/documentos/) O EN EL PDF ADJUNTO: RETOS DEL GOBIERNO MUNICIPAL-TEXTO COMPLETO-PAGINA WEB

«ZANAHORIA SIN PALO» (*) (Régimen de sanciones en la nueva Ley de Protección de Datos: su aplicación al Sector Público)

Ante los evidentes riesgos que se abren en materia de protección de datos en la era de la revolución tecnológica, uno de los pilares de esta nueva regulación formada por el binomio normativo RGPD/LOPDGDD era dotar a las autoridades de control de “poderes coercitivos más contundentes” con el fin de proteger los derechos y libertades de las personas físicas como consecuencia de los tratamientos de datos personales.

Detrás de todo ello está, sin duda, el avance imparable de la revolución tecnológica y el poder cuasi absoluto de las empresas de ese mismo ámbito que despliegan su actividad con el manejo y cruce de toda la información recuperada a través de los motores de búsqueda, de las redes sociales o de los correos electrónicos. Es algo muy conocido, más todo lo que esté por llegar en un escenario plagado de fuertes incertidumbres.

Con esa finalidad de fortalecer la aplicabilidad del nuevo marco normativo en esta materia, no quedaba otra opción que hacer el necesario hincapié en el poder sancionador. Y eso es algo que se recoge en los Considerandos 149 y siguientes del RGPD.

En todo caso, la pretensión de estas líneas es solo dar una idea general de esta problemática, entre otras cosas porque su aplicabilidad a las entidades del sector público se ve mediatizada por la regulación blanda que se prevé en la LOPDGDD, dónde –a pesar del cambio cualitativo que implica el RGPD- en el ámbito sancionador se sigue el viejo patrón de la LOPD de 1999, con algunos matices que luego se detallarán.

Regulación del régimen sancionador aplicado al Sector Público en el RGPD

El Capítulo VIII del RGPD se enuncia del siguiente modo: “Recursos, responsabilidad y sanciones”. De esa amplia y detallada regulación (con un significado endurecimiento del régimen sancionador, aplicable en términos generales, pero que el propio RGPD abre la posibilidad de que cada Estado miembro, en función de las peculiaridades de su sistema jurídico, lo adecue en su extensión al sector público), solo nos interesa particularmente lo que tiene que ver con la previsión puntual del régimen sancionador para las autoridades y organismos públicos prevista en el artículo 87.3 RGPD.

Allí se expone lo siguiente: “7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

El RGPD centra la atención, por tanto, en multas administrativas (y no en otro tipo de sanciones), pero la limita en el plano subjetivo a autoridades y organismos públicos, lo que no debería impedir en el caso de exceptuar su aplicabilidad a tales entidades volcar el régimen sancionador sobre las personas que cubren esas responsabilidades públicas (autoridades públicas o funcionarios, en su caso) si fruto de su acción u omisión se ha podido incurrir en las infracciones que prevé el ordenamiento jurídico.

Regulación del régimen sancionador aplicado al Sector Público en la LOPDGDD

El Título IX del LOPDGDD trata del Régimen sancionador. Y muy brevemente nos interesa hacer mención a la previsión recogida en el artículo 77 LOPDGDD, puesto que tal regulación, tal como decía anteriormente, representa un régimen sancionador absolutamente blando en comparación con el que se prevé para el sector privado, lo que da a entender una suerte de blindaje de la clase política (no en vano esta ocupa, como altos cargos o asimilados, la condición de responsables del tratamiento en las Administraciones Públicas y en las entidades de su sector público) frente al más que evidente endurecimiento del régimen sancionador que, con carácter general, impuso el RGPD.

Lo que la LOPDGDD enuncia elípticamente como el “régimen aplicable a determinadas categorías de responsables o encargados del tratamiento”, locución que esconde denominar a las cosas por su nombre (esto es, exceptuar o singularizar mediante una “rebaja” la aplicación del régimen sancionador para los responsables y encargados de la Administración Pública y de sus entidades del sector público (salvo empresas públicas), se recoge en el importante artículo 77 LOPDGDD (Ver Cuadro adjunto en el Anexo).

Por lo que ahora importa, las novedades más destacables de esa regulación (que en buena medida sigue los pasos, con algunas variaciones, de la recogida en el derogado artículo 46 de la LOPD 15/1999) son importantes, pero más en sus aspectos formales que materiales. En efecto, se ha implantado de nuevo un régimen light en materia de régimen sancionador aplicable al sector público (aunque el contexto normativo es radicalmente distinto, muy exigente para el resto y blando para el sector público). Como ya se indicaba más arriba, nada hubiese impedido, sin embargo, aplicar un régimen de sanciones singular o específico a los responsables o encargados del tratamiento (en cuanto personas físicas que desempeñan un cargo o responsabilidad de carácter público), así como al personal al servicio de las Administraciones Públicas, tipificando las sanciones que se pueden imponer en ese caso, que bien podrían ser individualizadas (al menos para los responsables y encargados), tal como se ha hecho en la normativa de transparencia que han aprobado diferentes Comunidades Autónomas. No deja de ser paradójico que, cuando está en juego un derecho fundamental como es la protección de datos personales, se persiga con menos intensidad que cuando se trata de un derecho de configuración legal (al menos de momento) como es el de derecho de acceso a la información pública o de la propia transparencia.

Este régimen blando en materia sancionadora se caracteriza por los siguientes elementos:

- El ámbito de aplicación de ese régimen excepcional o singular se extiende a todas las Administraciones Públicas, organismos públicos, fundaciones y consorcios, así como (blindaje político puro) a los grupos parlamentarios y a los grupos políticos locales. Pero no, adviértase, a las sociedades mercantiles vinculadas a la Administración matriz, a las que se les aplicaría el régimen general de sanciones del RGPD y de la LOPDGDD.
- Si el responsable o encargado cometieran alguna infracción sería sancionado con apercibimiento y adopción, en su caso, de las medidas pertinentes. La notificación se trasladará también a los interesados.
- La autoridad de control “propondrá” (atentos a la fórmula verbal) también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello, que se tramitarán según la normativa sancionadora aplicable.
- En cualquier caso, si la infracción es imputable a una autoridad o directivo, y se acredita que se apartaron de los informes técnicos o recomendaciones sobre el tratamiento (la figura del DPD, emerge), “en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará su publicación en el Boletín Oficial del Estado o autonómico que corresponda”. Nada se dice de publicarlo también como exigencia de publicidad activa en el Portal de Transparencia o en la página Web de la entidad pública a la que pertenezca, en su caso, el responsable o encargado del tratamiento.
- Asimismo, se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones (las de carácter disciplinario o sancionador y cualesquiera otras) a que se refieran los apartados anteriores.
- También se deben comunicar al Defensor del Pueblo e instituciones autonómicas análogas las actuaciones realizadas y las resoluciones dictadas al amparo de lo previsto en el artículo 77 LOPDGDD
- Si la autoridad competente para imponer la sanción es la Agencia Española de Protección de Datos, se procederá a publicar la resolución referida en el artículo 77.1 LOPDGDD, “con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Si la competencia es de la autoridad autonómica de protección de datos, se estará en cuanto a publicidad a lo que disponga su normativa específica. Aplazamiento, por tanto, del tema, mientras no se aprueban las leyes autonómicas respectivas (de Cataluña y del País Vasco, así como, en su caso, de Andalucía), lo que a corto plazo no parece muy viable.

En fin, el régimen sancionador que se ha impuesto en la LOPDGDD para las Administraciones Públicas y entidades del sector público (salvo por lo que respecta a las empresas públicas) es sencillamente poco incisivo para garantizar de estas el estricto cumplimiento de las exigencias normativas. Se podría haber sido mucho más creativo.

No se trata de multar a las organizaciones públicas (algo complejo de defender en un sistema de Hacienda Pública), sino de depurar responsabilidades individuales, también de los responsables, cuando no de los encargados del tratamiento (¿por qué estos cuando trabajan para el sector público, piénsese en una contratación pública, tienen ese régimen tan blando?). Da la impresión de que será más fácil incoar expedientes sancionadores a los funcionarios o empleados públicos por incumplimiento de sus obligaciones (acudiendo al procedimiento disciplinario general) que a los propios responsables (por lo común, cuyos titulares son cargos de designación política), pues en estos últimos no hay procedimiento sancionador previsto en lo que afecta a tipificación de infracciones ni tampoco a la determinación de sanciones.

La única medida de disuasión, como decíamos, es la publicidad del responsable que haya cometido la infracción, pero que solo es personalizada de momento en aquellos procedimientos que incoe la Agencia Española de Protección de Datos. De todos modos, sorprende sobremanera las enormes exigencias que en esta materia tienen que cumplir las organizaciones del sector privado y el relajo con el que el legislador ha regulado los incumplimientos, por muy graves que sean (que lo pueden ser), de tales exigencias en el sector público (apercibimiento). Una situación completamente desigual que no es sostenible en el tiempo si se quiere una plena aplicación efectiva del nuevo marco normativo y del cambio de paradigma que implica.

El problema fundamental radica en que si lo que pretende el binomio normativo RGPD/LOPDGDD es proteger en plena era de revolución tecnológica de forma mucho más intensa los derechos fundamentales de los ciudadanos mediante un sistema de gestión (tratamiento) de los datos personales exigente (“la zanahoria”), parece obvio –tal como fue diseñado el RGPD- que ello difícilmente se conseguirá “sin los estímulos” que implica que quien incumpla gravemente las previsiones recogidas en tal normativa “saldrá de rositas” y el “castigo divino” (que fustiga a la empresas, pero se ablanda hasta lo inusitado en el ámbito público) se limitará a un apercibimiento a la institución y a la publicación del órgano que ha incumplido o, todo lo más, a la difusión del nombre de su titular.

Paños calientes que, más tarde o más temprano, nos advertirán que no se puede dejar la aplicación de una normativa tan importante a la buena voluntad de quien la debe poner en marcha, pues en el ámbito público (salvo excepciones muy singulares) hay todavía muy poca percepción de que “la zanahoria” (los derechos reforzados de la ciudadanía en materia de tratamientos de datos personales) deben ser especialmente protegidos con un nuevo modelo de gestión de protección de datos. Con un régimen sancionador inspirado en el plumero más que en el palo, toda esa protección se deja a la buena voluntad de los responsables y encargados que operan en el ámbito público. Hasta que algo grave ocurra. Que un día u otro sucederá. Entonces nos daremos cuenta de que no se puede establecer un régimen asimétrico de responsabilidades privadas y públicas en materia de protección de datos personales. Pues los datos no conocen del origen de quien los trata. Son neutros en ese aspecto, son de las personas. O, al menos, así deberían ser.

(*) Esta entrada recoge algunos fragmentos del libro que en las próximas semanas publicará el Instituto Vasco de Administración Pública titulado Introducción al nuevo marco normativo de la protección de datos personales: su aplicación al sector público (Oñati, 2018). Su edición swerá solo en papel o en formato PDF para libro electrónico.

ANEXO: ARTÍCULO 77 LOPDGDD

Teniendo en cuenta la importancia que tiene ese artículo 77 LOPDGDD para las Administraciones Públicas y entidades de su sector público, consideramos oportuno por su innegable importancia en su aplicación al sector público reproducirlo en estas páginas:

“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.”

EL DELEGADO DE PROTECCIÓN DE DATOS (SECTOR PÚBLICO) EN LA LEY ORGÁNICA 3/2018

La figura del DPD está delineada en sus rasgos centrales por el RGPD, no teniendo la Ley Orgánica excesivo margen de configuración o de innovación sobre cuál es su perfil o su sentido, pero aún así la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) ha establecido una serie de reglas de carácter complementario que terminan por dibujar más cerradamente la naturaleza de esa figura y le dotan de un carácter singular, sobre todo (aunque no solo) por el papel que cumple el DPD como “filtro de resolución amistosa” en materia de reclamaciones ante la autoridad de control respectiva en materia de protección de datos de carácter personal y, particularmente, por lo que afecta a las diferentes (y enriquecidas) dimensiones de derechos encuadrados dentro de ese “derecho racimo” a la protección de datos personales y recogidos en el binomio RGPD/LOPDGDD.

El Preámbulo de la LOPDGDD incorpora una serie de motivaciones a raíz de las cuales se justifican algunas de las novedades que se incorporan en el citado texto normativo en relación con la regulación ya establecida en el RGPD. Para tener una idea cabal del alcance de esa regulación recogida en la LOPDGDD, puede ser oportuno reflejar el contenido de algunos fragmentos de ese preámbulo. Veamos:

“La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.”

Por tanto, la regulación de la figura del DPD en la LOPDGDD reitera algunas de las características recogidas en el RGPD (artículos 37 a 39), pero con algunas exigencias adicionales. Veamos cuáles son sus rasgos más relevantes según la regulación que lleva a cabo la citada Ley Orgánica 3/2018:

La obligación de designar un DPD por parte de las Administraciones Públicas y en las entidades de su sector público se deriva del propio RGPD. La referencia del RGPD a «autoridades y organismos públicos» reenvía en su concreción al Derecho de los Estados miembros, pero la LOPDGDD no es muy precisa en ese acotamiento (con la salvedad del artículo 77), al menos en lo que a la obligación de disponer de un DPD comporta. No se establece, por tanto, ninguna especificidad al respecto, ni tampoco la Ley Orgánica nos ayuda a identificar en qué entidades del sector público es preceptivo el nombramiento del DPD (si es en todas o solo en parte). El problema se plantea exclusivamente con las sociedades mercantiles dependientes de una Administración Pública (excluidas del régimen excepcional en materia sancionadora por el artículo 77 y no incluidas expresamente, salvo que se encuadren en un sector, en el artículo 34 LOPDGDD). Una interpretación sistemática del artículo 77 con lo establecido en la disposición adicional primera (que sí aplica a las sociedades mercantiles «las medidas de seguridad en el sector público», conduciría a considerar que es recomendable dotarse de un DPD también en las sociedades mercantiles vinculadas o dependientes de las Administraciones Públicas.
Una vez designado, se establece la obligación de comunicación a la autoridad de control en el plazo de diez días el nombramiento y, en su caso, del cese del DPD (artículo 34.3)
Se prevé, al igual que el RGPD, la dedicación a tiempo completo o parcial del DPD, en función del tipo de datos que se traten por cada organización (artículo 34.5)
El DPD tiene acceso a los datos personales y procesos de tratamiento, no pudiendo el responsable o encargado oponerse a este acceso invocando confidencialidad o secreto
La “obtención de titulación universitaria” (la imprecisión de la norma es notable, pero parece referirse a postgrados o, en su caso, masteres y no propiamente a grados universitarios) se tendrá especialmente en cuenta para demostrar a través de mecanismos de certificación el cumplimiento de los requisitos del artículo 37.5 RGPD
Se prevé, también en línea con el RGPD, la garantía, siempre que se trate de persona física, de no remoción (salvo supuestos de dolo o negligencia grave) y de independencia, evitando cualquier conflicto de intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos en función del tipo de tareas que se desarrollen (dedicación parcial). Dicho de otra manera, la exigencia de que no haya conflictos de intereses (que aparecía reflejada en las Directrices sobre los delegados de protección de datos del Grupo del Artículo 29) se trasladan a la LOPDGDD como garantía de independencia y objetividad en el funcionamiento de tal figura, lo que desaconseja que se atribuya esa condición a puestos de trabajo que puedan tener tareas de informe jurídico o técnico relacionadas directa o indirectamente con la protección de datos personales, sobre todo en aquellos casos en los que la dedicación a tales funciones es parcial. Lo dicho anteriormente, tal vez desaconseje que en el ámbito local de gobierno tales funciones de DPD se sitúen en el ámbito de la Secretaría o de la Secretaría-Intervención, por los hipotéticos conflictos de intereses que se pudieran producir. Según hemos visto, la figura del DPD tampoco puede coincidir con la de responsable de seguridad.
El DPD tiene la facultad de inspeccionar los procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
El DPD tiene, asimismo, la facultad de documentar y comunicar a los órganos competentes la existencia de una vulneración relevante en materia de protección de datos.
Y debe destacarse, como gran novedad de la LOPDGDD en lo que a perfil funcional de la figura respecta, el régimen de intervención del DPD en los supuestos de reclamaciones ante las autoridades de control (artículo 37), donde se admite que el afectado pueda presentar una reclamación ante el DPD con carácter previo a la presentación de la reclamación ante la autoridad de control, incorporando una suerte de recurso potestativo de carácter administrativo que deberá resolver el órgano competente, pues difícilmente esa resolución la podrá emitir en DPD, menos aún si es una figura externalizada, pues se trataría del ejercicio de funciones de autoridad, aunque estos aspectos tampoco se tratan en la LOPDGDD (pues la normativa es de aplicación general tanto para el sector público como para el privado).
Se refuerza así el papel del DPD como “punto de contacto” entre la ciudadanía (afectados) y la Administración Pública (responsable o encargado) que ha llevado a cabo el correspondiente tratamiento. También se prevé que la propia autoridad de control, una vez recibida una reclamación, dé traslado al DPD a efectos de que por parte de este se responda en el plazo de un mes a la citada reclamación. Si no hubiera DPD, la autoridad de control podrá dirigirse al responsable o encargado del tratamiento (artículo 65.3 LOPDGDD).

Aparte de esas referencias normativas recogidas en el Capítulo III del Título V de la LOPDGDD, que determina el régimen complementario a la regulación del RGPD por lo que afecta al DPD (así como lo establecido en el artículo 65.3 LOPDGDD ya citado), deben tenerse en cuenta otra serie de exigencias adicionales que en torno a esta figura se establecen en otros pasajes de ese nuevo marco normativo establecido en la LOPDGDD y que impactan sobre aspectos puntuales del tratamiento de datos personales y, en particular, sobre la figura del DPD. A saber:

El artículo 31.1, párrafo tercero, prevé expresamente lo siguiente: “Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro (se refiere al Registro de Actividades de Tratamiento).
El artículo 70.2 prevé lo siguiente: No será de aplicación al delegado de protección de datos el régimen sancionador establecido en el Título IX de la LOPDGDD.
Por su parte, en materia de régimen sancionador, se establecen las siguientes infracciones y una previsión en materia de graduación de sanciones que no resulta, en principio, de aplicación al sector público (salvo que a las empresas públicas no se entienda que es exigible el nombramiento de DPD):
- Tendrá la consideración de infracción grave, según el artículo 73 v): “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”.
- Asimismo, también tendrá la consideración de infracción grave, según el artículo 73 w) LOPDGDD: “No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones”.
- Tendrá la consideración de infracción leve, según se prevé en el artículo 74 p) LOPDGDD: “No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.”
- Y, en fin, el artículo 76.2, en lo que afecta a la graduación de sanciones, establece que se tendrá en cuenta disponer, cuando no fuera obligatorio, de la figura del delegado de protección de datos.
- En todos estos supuestos, como es ya conocido, se debe resaltar que el régimen sancionador aplicable a las Administraciones Públicas y a la mayor parte de las entidades del sector público (salvo las empresas públicas) es un sistema blando o mucho más benevolente que el que se aplica a los responsables y encargados del tratamiento del sector privado, tal como prevé el artículo 77 LOPDGDD (sanciones de apercibimiento y, en determinadas circunstancias, publicidad de las sanciones).
La disposición adicional decimosexta (“prácticas agresivas en materia de protección de datos”) recoge que, a efectos de la Ley 3/1991, de competencia desleal, se considerará práctica agresiva en materia de protección de datos, el ejercicio de las funciones de delegado de protección de datos sin designación expresa del responsable o encargado del tratamiento o comunicarse en tal condición con las autoridades de control (sin haber nombramiento efectivo).
Y, en fin, la disposición adicional decimoséptima, relativa a los tratamientos de salud, establece dos previsiones en relación con la figura del DPD. A saber:
- Por un lado, la letra g) prevé que el uso de datos personales seudonimizados con fines de investigación en salud pública (y, en particular, biomédica), deberá ser sometido a informe previo del comité de ética de la investigación que se prevea en la normativa sectorial. Si no existiera Comité de Ética, la entidad responsable de la investigación requerirá informe previo del delegado de protección de datos o, en su defecto, de un experto con conocimientos en los ámbitos establecidos en el artículo 37.5 RGPD.
- Por otro, una vez constituidos los Comités de Ética de la investigación, y siempre que se ocupen de actividades de investigación que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados, deberán integrar en su seno a un delegado de protección de datos o, en su defecto, a un experto con conocimientos en los ámbitos establecidos en el artículo 37.5 RGPD.

Una vez expuestas esas novedades, conviene llamar la atención sobre la necesidad objetiva (aparte de la obligación inexcusable, cuyo incumplimiento es motivo de infracción) que tienen las Administraciones Públicas de dotarse de esa figura de Delegado de Protección de Datos como apoyo imprescindible al responsable o encargado del tratamiento para la necesaria adaptación de su sistema de gestión de protección de datos personales a las innumerables innovaciones que el RGPD insertó en su día en esta materia y que la LOPDGDD ha desarrollado puntualmente en algunos casos. La correcta aplicación del RGPD y la garantía de los derechos de los ciudadanos dependen en gran medida de la configuración correcta de esta figura. En todo caso, es preciso tener en cuenta el carácter vicarial de la LOPDGDD en relación con el RGPD, que también se refleja en este supuesto, pues la regulación sustantiva de esa figura se encuentra en los artículos 37 a 39 (así como en otras muchas referencias indirectas en el resto del articulado) del RGPD, normas que deben leerse de conformidad con lo establecido en el Considerando 97 del reiterado Reglamento europeo.

DERECHO A LA PROTECCIÓN DE DATOS PERSONALES Y DERECHOS DIGITALES

La reciente Ley Orgánica 3/2018, de 5 de diciembre, no solo desarrolla el RGPD en lo que afecta al derecho a la protección de datos personales, sino que además incluye un amplio catálogo (que adorna con la noción de “garantías”) de los denominados “derechos digitales”.

La primera sensación del lector es de relativo desconcierto, pues tampoco se explica cabalmente en el preámbulo cuál ha sido el fundamento para regular conjuntamente todos esos derechos (salvo el entorno Internet), aunque el punto de conexión es, probablemente, el dato y lo digital, como cauce este último a través del cual aquel se mercantiliza o trata. Tampoco cabe descartar que el fundamento último esté asimismo en la protección de la intimidad, si bien el Tribunal Constitucional en su conocida STC 292/2000 ya diferenció claramente entre la intimidad y el derecho a la protección de datos como “derecho autónomo”, cuya finalidad principal es “garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado” (fundamento jurídico 6).

Mucho ha llovido desde entonces y mucho más en el mundo digital. En efecto, tras la aprobación del RGPD ha quedado claro que la protección de datos personales no solo tiene ese alcance, sino que en una sociedad digitalizada y en pleno proceso de revolución tecnológica, el tratamiento que se haga de los datos personales no solo afecta a ese derecho autónomo a la protección de datos personales, a la propia intimidad o a la dignidad de las personas, sino que irradia sobre el conjunto de derechos fundamentales y libertades públicas, hasta el punto de que, tal como se ha visto recientemente (y lo que queda por ver) el tratamiento de los datos personales en determinadas circunstancias puede constituir un riesgo evidente para el propio funcionamiento del Estado democrático y de los derechos de la ciudadanía. Por tanto, todo lo que se insista en este punto será poco.

El objeto de esta entrada es mucho más modesto. Por un lado, se trata de reflejar (Anexo I) cómo ese derecho racimo a la protección de datos personales (expresión que utilizara en su día Ignacio Díez-Picazo al estudiar el derecho a la tutela judicial efectiva) que se proyecta en ese “poder de control”, se proyecta, a su vez, en numerosos derechos (o dimensiones del derecho matriz) que vienen desplegados en el citado cuadro adjunto. La novedad es que los derechos antes recogidos en el acrónimo ARCO, como es sabido, se han multiplicado y ya es mejor no intentar siquiera buscar otra alternativa para sintetizar en una sola expresión o acrónimo tal conjunto abigarrado de derechos que del derecho matriz a la protección de datos personales nacen. Y la otra novedad, más relevante aún, es que el desarrollo directo y concreción del contenido esencial del derecho a la protección de datos personales ya no lo hace la Ley Orgánica, sino una disposición normativa del Derecho de la Unión Europea (RGPD). La base jurídica y el derecho fundamental ya no se apoyan en el artículo 18.4 CE (aunque también), sino que abren a lo dispuesto en el Tratado de Funcionamiento de la Unión Europea (artículo 16.2) y en la Carta de Derechos Fundamentales de la Unión Europea (artículo 8). El RGPD se convierte, así, en la norma cabecera en lo que afecta al derecho fundamental a la protección de datos personales. Y de esa combinación normativa ha salido un derecho fundamental enormemente enriquecido en sus facetas y de importancia trascendental en el devenir futuro del resto de los derechos de la ciudadanía.

Por otro lado, en esta entrada se trata asimismo de recoger un segundo cuadro donde se refleja el conjunto de derechos (unos fundamentales por conexión y otros de mera configuración legal) que se recoge en el Título X de la LOPDGDD. Este cuadro no tiene otro objeto que ser meramente descritivo o sintetizador del conjunto de derechos digitales (algunos más directivas que derechos) que el legislador orgánico ha recogido. No se le busque otra finalidad. Cuál haya sido el motivo por el cual se han incluido todos esos derechos digitales en esta Ley Orgánica no es fácil de determinar, salvo que se ha aprovechado el momento de la tramitación de una Ley necesaria para la adaptación de la normativa interna al RGPD (que tenía que ser aprobada de todos modos) para incorporarlos oportunamente. El proyecto de LOPD fue utilizado, así, como “caballo de Troya” para incorporar estos derechos digitales, cuya conexión con el artículo 18.4 CE es más remota y que enlazan (al menos buena parte de ellos) con el artículo 18.1 (intimidad), si bien en estos momentos de digitalización intensiva y extensiva desbrozar ambos planos se me antoja una diferenciación escasamente útil u operativa.

Una vez incorporados al ordenamiento jurídico, aunque muchos de ellos penden de medidas normativas, presupuestarias o convencionales de carácter complementario para salvaguardar su efectividad, iremos viendo qué juego dan en el complejo mundo de las relaciones jurídicas de todo orden (pues su carácter transversal es a todas luces obvio).

En fin, la única pretensión por tanto de ese comentario es simplemente facilitar al operador jurídico, especialmente del sector público (aunque no solo), una mirada de síntesis de este fenómeno sin duda complejo de proliferación o abundancia de derechos fundamentales y no fundamentales que derivan curiosamente de unos enunciados constitucionales aparentemente tan escuetos, como son los recogidos en el artículo 18.1 y 4 CE. Sin duda, tras ese proceso de parto múltiple de una cadena de derechos anudados al derecho “racimo” a la protección de datos personales por obra y gracia del RGPD, el legislador orgánico no ha querido ser menos y ha dado a luz diecinueve derechos digitales (algunos ya reconocidos por la jurisprudencia, pero otros muchos no) que vienen a enriquecer el patrimonio jurídico de la ciudadanía de este país, aunque con alcance e intensidad muy variable en función de qué derechos se trate. Ahora a ejercerlos, siempre que se creen las condiciones efectivas para ello y la ciudadanía sea plenamente consciente de su existencia, incorporándolos a su acervo personal. La batalla de la sensibilización ha comenzado.

ANEXO 1: DERECHOS QUE SE ALOJAN EN EL “DERECHO RACIMO” A LA PROTECCIÓN DE DATOS PERSONALES SEGÚN EL RGPD Y LA LOPDGDD (Y QUE LAS ADMINISTRACIONES PÚBLICAS DEBEN RESPETAR EN SUS TRATAMIENTOS DE DATOS Y EN SUS ACTIVIDADES QUE TENGAN CONEXIÓN CON LOS DATOS PERSONALES)

Derechos	RGPD	LOPDGDD
Transparencia Información/Información y acceso datos personales	Artículos 12-14	Artículo 11
A solicitar acceso a los datos	Artículo 15	Artículo 13
De rectificación	Artículo 16	Artículo 14
De supresión (“el derecho al olvido”)	Artículo 17	Artículo 15 (Ver asimismo artículos 93 y 94)
A la limitación del tratamiento	Artículo 18	Artículo 16
Obligación responsable del tratamiento de notificación de la rectificación o supresión de datos personales o limitación del tratamiento	Artículo 19
A solicitar a un proveedor de servicios que transmita sus datos personales a otro o se los provea (A la portabilidad de los datos)	Artículo 20	Artículo 17 (Ver asimismo artículo 95)
De oposición y decisiones individuales automatizadas	Artículo 21	Artículo 18
Al consentimiento expreso	Artículos 4.11, 6 y 7	Artículo 6 y 7
A ser informado sin dilación indebida, si sus datos se pierden o son robados: obligación responsable del tratamiento (excepciones)	Artículos 33-34
A la protección en línea para los menores	Artículo 8	Ver, asimismo, artículos 84 y 92, así como la disposición adicional 18ª

ANEXO 2: DERECHOS DIGITALES. CUADRO-RESUMEN ORIENTATIVO DE LOS DERECHOS DIGITALES EN LA LOPDGDD

(Ver, en relación con el carácter de estos derechos digitales, epígrafe IV preámbulo y artículo 79: “Los derechos en la Era digital)

Artículo/Derecho	Reserva Ley Orgánica o Ley ordinaria	Observaciones
Artículo 80: Derecho a la neutralidad de Internet	Ley ordinaria	Declarativo
Artículo 81: Derecho de acceso universal a Internet	Ley ordinaria	Programático. Requiere medidas complementarias (y presupuestarias) para aplicarse
Artículo 82: Derecho a la seguridad digital	Ley ordinaria	Declarativo, no anuda consecuencias al incumplimiento
Artículo 83: Derecho a la educación digital	Ley Orgánica	Muy importante y necesario. Test aplicativo. Competencias digitales del profesorado. ¿Inclusión en temarios? Problema: ¿cómo se acreditan las competencias). Ver, artículo 92. Ver asimismo DA 21ª (Educación digital); DF 8ª “Modificación LOU”; DF 10ª (“Modificación LOE”): inserción del alumnado en la sociedad digital
Artículo 84: Protección de los menores en Internet”	Ley Orgánica	Muy importante. Programático en su primer apartado y preventivo/sancionador en el segundo (Ministerio Fiscal) Ver, asimismo, DA 18ª: “Derechos de los menores ante Internet”, elaboración en el plazo de 1 año de un proyecto de ley en la materia
Artículo 85: Derecho de rectificación en Internet	Ley Orgánica	Importante: Regula el derecho de rectificación en Internet, complementa la normativa vigente y cubre un hueco
Artículo 86: Derecho a la actualización de informaciones en medios digitales	Ley Orgánica	Importante: Una suerte de derecho de rectificación y actualización de la información, para evitar perjuicios al afectado
Artículo 87: Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral	Ley Orgánica	Conexión con la intimidad y la propia imagen. Establecimiento de criterios. Participación de los representantes de los trabajadores. Usos para fines privados. Ver DF 13ª, incorporación nuevo artículo 20 bis ET Ver: DF 14ª, Modificación artículo 14 TREBP
Artículo 88: Derecho a la desconexión digital en el ámbito laboral	Ley ordinaria	Mucho impacto mediático: modalidades de ejercicio se sujetan a negociación colectiva o, en su defecto, a acuerdo en la empresa. Empleador debe elaborar una política interna. Evitar riesgo de fatiga electrónica. Ver DF 13ª, incorporación nuevo artículo 20 bis ET Ver: DF 14ª, Modificación artículo 14 TREBP
Artículo 89: Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo	Ley Orgánica	Protección intimidad Funciones del artículo 20.3 ET. Ver DF 13ª, incorporación nuevo artículo 20 bis ET: “Derechos de los trabajadores a la intimidad en relación con el entorno digital y la desconexión” Ver: DF 14ª, Modificación artículo 14 TREBP
Artículo 90: Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral	Ley Orgánica	Protección de datos: Información del empleador de tales dispositivos Ver DF 13ª, incorporación nuevo artículo 20 bis ET Ver: DF 14ª, Modificación artículo 14 TREBP
Artículo 91: Derechos digitales en la negociación colectiva	Ley Orgánica	Convenios colectivos: garantías adicionales
Artículo 92: Protección de datos de los menores en Internet	Ley Orgánica	Obligación centros educativos. Difusión a través de redes sociales o servicios equivalentes: consentimiento menor o de sus representantes legales. Ver, asimismo, artículo 84 y disposiciones allí citadas
Artículo 93: Derecho al olvido en búsquedas de Internet	Ley Orgánica	Complemento de lo dispuesto en el Capítulo II del Título III
Artículo 94: Derecho al olvido en servicios de redes sociales y servicios equivalentes	Ley Orgánica	Derecho a supresión de datos facilitados para su publicación por servicios de redes sociales y servicios de la sociedad de la información
Artículo 95: Derecho de portabilidad en servicios de redes sociales y servicios equivalentes	Ley ordinaria	Reglas para el acceso a los contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas.
Artículo 96: Derecho al testamento digital	Ley ordinaria	Complementa los previsto en el artículo 17
Artículo 97: Políticas de impulso de los derechos digitales	Ley ordinaria	Programático
Disposición Final 13 ª: Modificación del ET. Nuevo artículo 20 bis	Ley ordinaria	Derecho a la intimidad en uso de dispositivos digitales, videovigilancia y geolocalización y desconexión.
Disposición Final 14ª: Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público	Ley ordinaria	Derecho a la intimidad en uso de dispositivos digitales , videovigilancia y geolocalización y desconexión. (reitera artículo 20 bis ET y se aplica a los mismos supuestos

(ALGUNAS) IDEAS-FUERZA DE LA NUEVA LEY DE PROTECCIÓN DE DATOS EN SU APLICACIÓN AL SECTOR PÚBLICO

dataprotection

“Los datos son la materia prima (en el sentido que le da Marx al término) que debe ser extraída, y las actividades de los usuarios, la fuente natural de esa materia prima”

(Nick Srnicek, Capitalismo de plataformas, Caja Negra, Buenos Aires, 2018, pp. 42 y 122)

El BOE del pasado jueves 6 de diciembre publicó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), cuya entrada en vigor se produjo el día 7 de diciembre. Esta regulación deroga la anterior LOPD de 1999 (LO 15/1999) y el reciente Real Decreto Ley 5/2018. Se da cumplimiento, así, a la necesaria adaptación normativa del Derecho interno a las previsiones del Reglamento (UE) 2016/679 (RGPD, en lo sucesivo).

Tiempo habrá de analizar detenidamente esta LOPDGDD. Mi única pretensión en estos momentos es resaltar telegráficamente algunos de aquellos aspectos que, por lo que afecta a la Administración Pública y a su sector público institucional (sin adentrarme en el sector salud), incorporan novedades importantes en relación con lo tratado en el propio RGPD o, en su caso, regulan otras previsiones que conviene tener presentes para una cabal interpretación de este nuevo marco normativo dual (RGPD/LOPDGDD) de la protección de datos personales con el que necesariamente deberá obrar el aplicador del Derecho a partir de ahora en el ámbito público. Antes una importante precisión: el RGPD, salvo en aquellas materias en las que permita excepcionalmente una regulación que restrinja sus previsiones por una norma de Derecho interno (supuestos tasados), es la disposición normativa que –dad su naturaleza- dispone de primacía aplicativa en caso de antinomia, desplazando en ese caso a cualquier norma de Derecho interno, Ley Orgánica incluida. Por tanto, que nadie piense (si es que hay alguien que a estas alturas lo pretende) que “estudiando” solo la LOPDGDD podrá resolver los problemas que se susciten en materia de protección de datos. Eso ya es el pasado. Cualquier operador público deberá actuar a partir de ahora con dos pantallas normativas (RGPD/LOPDGDD), con las precisiones antes expuestas.

En este sentido, debe ponerse de relieve que –como reconociera en su día José Luís Rodríguez Álvarez- el RGPD (una disposición normativa del Derecho de la Unión Europea) es en verdad la norma que desarrolla y regula directamente el derecho fundamental a la protección de datos recogido en la CE (algo insólito en materia de regulación primaria de los derechos fundamentales), adoptando la LOPDGDD un papel meramente complementario o auxiliar. El propio preámbulo de la Ley lo deja bien claro al afirmar que “más que de incorporación cabría hablar de ‘desarrollo’ o complemento del Derecho de la Unión Europea”. Por consiguiente, la propia LOPDGDD admite en el citado preámbulo su carácter vicarial, puesto que advierte que su aprobación se explica por razones de salvaguardar el principio de seguridad jurídica “tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento” del RGPD.

Este nuevo marco normativo ha venido además adornado por la inclusión (estirando hasta el infinito el artículo 18.4 CE) de los denominados derechos digitales cuyo parentesco con el objeto de la Ley se visualiza exclusivamente en el dato personal como medio a través del cual se pueden ejercer o, en otros muchos casos, entorpecer o dificultar, el ejercicio de determinados derechos fundamentales de la persona física que se ven plenamente afectados por el mundo de Internet y por las redes sociales, cuando no por la propia revolución tecnológica. No trataré en esta entrada de esta cuestión, puesto que ya la abordé en un Post anterior (https://bit.ly/2QH4z4x ) y sobre este mismo tema han reflexionado recientemente diferentes Blogs (por ejemplo: Rojo Torrecilla https://bit.ly/2Acyd93; o Campos Acuña (https://bit.ly/2Uw3YlE , entre otras muchas referencias). Está por ver, en cualquier caso, que mediante regulaciones nacionales (en este caso por Ley, anticipándose a su anunciado reflejo constitucional) se puedan garantizar plenamente el ejercicio y los efectos de derechos con proyección global. Al menos se intenta.

A modo de apretada síntesis, algunos puntos de interés de esta nueva normativa interpretada a la luz del RGPD serían los siguientes:

El ámbito de aplicación de la Ley (artículo 2) se ha debido adaptar, un tanto tortuosamente, a la inserción en el último tramo de los derechos digitales
La regulación de las personas fallecidas (artículo 3) ofrece novedades de interés, a lo que cabe añadir, con dimensión preventiva, el derecho al testamento digital (artículo 96).
Los principios relativos al tratamiento se regulan en el artículo 5 RGPD, salvo el principio de “exactitud de los datos” que se complementa con una detallada regulación recogida en el artículo 4 LOPDGDD.
El tratamiento basado en el consentimiento del afectado se regula en el artículo 6, de conformidad con lo establecido en el RGPD. Sobre este punto conviene advertir que, según la AEPD (Informe 175/2018), el consentimiento del interesado no es una base legítima para el tratamiento de datos por las Administraciones Públicas, pues el tratamiento solo debe basarse en lo dispuesto en normas con rango de ley y en las competencias reconocidas por estas (concretamente en los apartados c) y e) del artículo 6 RGPD), lo cual no deja de plantear serias dudas en el ámbito local de gobierno (actividades, prestaciones o servicios) que no deriven de una competencia propia o delegada o de la cláusula general de atribución de competencias (CEAL), así como en determinadas actuaciones puntuales o actividades materiales de las Administraciones Públicas que, en principio, algunas de ellas cabe presumir que sí requerirían consentimiento del afectado (o de quienes ejerzan la patria potestad, piénsese en menores). El citado Informe es, sin embargo, muy contundente. En este aspecto el artículo 8 regula el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos, exigiendo siempre una norma con rango de ley como cauce habilitante. El artículo 28 LPAC, asimismo, ha eliminado toda referencia al consentimiento y solo habla, por ejemplo, de “oposición expresa” (lo que reconduce al ejercicio del derecho de oposición por el interesado, una evidente carga). Todo lo anterior deja fuera a las ordenanzas locales y plantea la duda, además, de si cabe que las Normas Forales (siempre que se puedan considerar como normas con fuerza de ley) sean base legítima de esos tratamientos. Las garantías formales vuelven a dominar sobre los aspectos materiales. Se intuyen problemas.
Particular importancia tiene la determinación de la edad de 14 años como umbral del consentimiento del menor. Ver asimismo el artículo 12.6 (ejercicio de los derechos de los menores); 84 (protección de los menores en Internet); 92 (Protección de datos de los menores); y disposición adicional decimonovena (derechos de los menores ante Internet).
En lo que afecta a categorías especiales de datos el reenvío al artículo 9.2 RGPD es completo, salvo la exigencia de que los tratamientos establecidos en los apartados g), h) e i) del citado precepto “deberán estar amparado por una norma con rango de ley” (artículo 9 LOPDGDD)
Cabe tener en cuenta la regulación complementaria que en materia de transparencia e información al afectado se contiene en el artículo 11.
En cuanto al ejercicio de los derechos (regulación recogida en los artículos 12 a 18, con algún complemento en los artículos 93, 94 y 95 LOPDGDD) cabe significar que hay un reenvío general al RGPD (artículos 15 a 22), con algunas precisiones (especialmente, aunque no solo, en materia de derecho de acceso)
De las disposiciones aplicables a tratamientos concretos interesa ahora destacar los artículos 22 (fines de videovigilancia, con una detallada e importante regulación), 24 (sistemas de información de denuncias internas, cuyos principios son también aplicables a las Administraciones Públicas que creen tales sistemas), 25 (función estadística) y 26 (fines de archivo en interés público). Sobre estos dos últimos aspectos es imprescindible el trabajo de Ascen Moro publicado en su día. Asimismo cabe destacar el tratamiento de los datos relativos a infracciones y sanciones administrativas (artículo 27).
Particular importancia tienen, por lo que afecta al nuevo modelo de gestión de protección de datos en el sector público (asentado en un enfoque de riesgos) las obligaciones generales del responsable y del encargado del tratamiento recogidas en el artículo 28, especialmente por lo que se refiere a los criterios para determinar los mayores riesgos en la adopción de las medidas organizativas y técnicas (artículos 24 y 25 RGPD)
La figura del encargado del tratamiento se regula específicamente en el artículo 33, con una mención expresa a la proyección estructural de la figura en las Administraciones Públicas (33.4) y, en relación con los contratos del encargado de tratamiento, cabe destacar la importante disposición transitoria quinta, recogida ya en el RDL 5/2018, pero al que se le ha incorporado un párrafo nuevo (vigencia de los contratos hasta 2022, pero cualquiera de las partes podrá exigir la modificación).
El bloqueo de datos tiene una regulación específica en el artículo 32.
La figura del Delegado de Protección de Datos reitera algunas de las características recogidas en el RGPD (artículos 37 a 39), pero con algunas exigencias adicionales:
- La comunicación a la autoridad de control en el plazo de diez días del nombramiento y cese del DPD (artículo 34.3)
- La dedicación a tiempo completo o parcial del DPD, en función del tipo de datos que se traten (artículo 34.5)
- La “obtención de titulación universitaria” (¿se refiere a postgrados?) para demostrar a través de mecanismos de certificación el cumplimiento de los requisitos del artículo 37.5 RGPD
- La garantía, siempre que se trate de persona física, de no remoción y de independencia, evitando cualquier conflicto de intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos en función del tipo de tareas que se desarrollen (dedicación parcial).
- La facultad del DPD de inspeccionar los procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
- La facultad de documentar y comunicar a los órganos competentes la existencia de una vulneración relevante en materia de protección de datos.
- Y el régimen de intervención del DPD en los supuestos de reclamaciones ante las autoridades de control (artículo 37)
Los códigos de conducta e instituciones de certificación, cuya aplicabilidad a las instituciones públicas según el RGPD es limitada, se regulan en los artículos 38 y 38.
En materia de régimen sancionador aplicable al sector público, se ha de tener en cuenta lo establecido en el artículo 77, donde se sigue con alguna novedad importante el viejo esquema de la LOPD de 1999; esto es, la exención del régimen general con algunas modulaciones (régimen light). A saber:
- El ámbito de aplicación de ese régimen se extiende a todas las Administraciones Públicas, organismos públicos, fundaciones y consorcios, así como (blindaje político puro) a los grupos parlamentarios y a los grupos políticos locales. Pero no, adviértase, a las sociedades mercantiles vinculadas a la Administración matriz, a las que se les aplicaría el régimen general de sanciones del RGPD y de la Ley Orgánica.
- Si el responsable o encargado cometieran alguna infracción sería sancionado con apercibimiento y adopción, en su caso, de las medidas pertinentes. La notificación se trasladará también a los interesados.
- La autoridad de control “propondrá” (atentos a la fórmula verbal) también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello, que se tramitarán según la normativa sancionadora aplicable.
- En cualquier caso, si la infracción es imputable a una autoridad o directivo, y se acredita que se apartaron de los informes técnicos o recomendaciones sobre el tratamiento (la figura del DPD, emerge), “en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará su publicación en el Boletín Oficial correspondiente”. Nada se dice del Portal de Transparencia o página Web.
La disposición adicional primera recoge una regulación sobre las medidas de seguridad en el ámbito del sector público, que extiende su aplicabilidad también a las empresas (en este caso sí) y fundaciones del sector público, así como a los servicios prestados en régimen de concesión, encomienda de gestión o contrato.
La disposición adicional tercera regula el cómputo de plazos (LPAC).
Importante es la regulación contenida en la DA 7ª, sobre identificación del interesado en las notificaciones de anuncios y publicaciones de actos administrativos:
- Publicación por medio de un acto administrativo con datos personales: nombre y apellidos y 4 cifras numéricas aleatorias del DNI u otro documento. Si es una pluralidad de afectados, las cifras se alternan.
- Notificación por medio de anuncios: identificación afectado por el número completo del DNI u otro documento.
- Si el afectado carece de DNI u otro documento, se le identificará por nombra y apellidos.

(Ver regulación específica víctimas de violencia de género: DA 7ª, 2.

La DA 12ª regula una serie de disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público (tratamientos con cobertura en el artículo 6.1 c) RGPD).
Dentro de las modificaciones de diferentes leyes que se realizan en las disposiciones finales, conviene poner el foco por lo que ahora interesa en las siguientes:
- La polémica inclusión del artículo 58 bis LOREG, que está dando y dará mucho que hablar, donde se prevé que tiene interés público (“únicamente cuando se ofrezcan garantías adecuadas”) “la recopilación (rectius, ‘tratamiento’) de datos personales relativos a las opiniones políticas” realizado por los partidos políticos en sus actividades electorales, que podrán así “utilizar datos personales obtenidos en páginas Web y otras fuentes de acceso público (estoy tentado de cerrar este Blog) “para la realización de actividades políticas durante el período electoral”. El derecho de oposición se carga sobre el ciudadano por mucho que se facilite su uso. En casa del herrero (LOPD “garantista” y con muchos derechos digitales), “cuchillo de palo” (atropello a una categoría especial de datos: la ideología política). La voracidad y el descaro de los partidos políticos no tiene límites. Tampoco en esta Ley. Una regulación intencionadamente gaseosa que no salvaguarda la protección de datos personales.
- Se modifica la LTAIBG (Ley 19/2013), incorporando un nuevo artículo 6 bis (Publicidad del inventario de actividades de tratamiento), así como se da nueva redacción al artículo 15 (información de categorías especiales de datos y datos relativos a las infracciones penales o administrativas)
- Particular relevancia tiene la modificación del artículo 28 LPAC (Ley 39/2015), en sus párrafos 2 (derecho no aportar documentos en poder de la Administración, quien podrá consultar o recabar si el interesado no se opusiera a ello) y 3 (se elimina en ambos casos la referencia a “se presumirán”). Sobre esta nueva redacción véanse los comentarios de Víctor Almonacid (https://bit.ly/2C0pbws) y el ya citado de Campos Acuña.
- Se incorpora un el nuevo artículo 20 bis del Estatuto de los Trabajadores (una ubicación muy gráfica, como ha reconocido el profesor Eduardo Rojo Torrecilla), donde se recogen una serie de derechos digitales de los trabajadores en línea con lo establecido en la LOPDGDD.
- Se añade una nueva letra j) bis al TREBEP, con el mismo reconocimiento de los derechos digitales antes citados.

En suma, es una mera muestra de algunas de las cuestiones clave (no están ni muchos menos todas) de la regulación de la LOPDGDD que complementa (no lo olviden) lo establecido en el RGPD. Una vez que la citada Ley está publicada en el BOE y plenamente en vigor, aunque sea unos meses después de la plena aplicabilidad del RGPD y tras una larga tramitación parlamentaria en el Congreso de los Diputados (pues en el Senado la tramitación ha sido expeditiva y sin aceptarse ni una sola enmienda), deberá objeto de un estudio más sosegado y completo. Algo que habrá de hacerse con tiempo. Valgan las líneas anteriores como un mero aperitivo para situar al lector sobre este nuevo marco

PROTECCIÓN DE DATOS Y DERECHOS DIGITALES

«Hay que ser cauteloso y no apostar demasiado por la viabilidad de este estado de bienestar paralelo, digital y privatizado»

(Evgeny Morozov, Capitalismo Big Tech, ¿Welfare o neofeudalismo digital?, Enclave, 2018, p. 19)

Tras casi un año de tramitación en el Congreso de los Diputados, el (rebautizado) proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales ha sido aprobado por el Pleno de la Cámara el pasado 18 de octubre. Va tomando cuerpo definitivo lo que será, con toda seguridad, la tercera Ley Orgánica de Protección de Datos, esta vez con el añadido de sumarle los derechos digitales. La aprobación ha sido –algo a celebrar- por consenso de todas las fuerzas políticas presentes en el hemiciclo. Al menos una vez, aunque sea excepción, se ponen de acuerdo. Varios meses después de la plena aplicabilidad del Reglamento General de Protección de Datos, una ley orgánica inicialmente configurada como “vicarial” viene a desarrollar sus mandatos. Falta el trámite del Senado, donde algunos flecos aún abiertos podrían cerrarse, pero poco más (si es que se añade algo) se incorporará al texto que sale del Congreso.

El reciente debate en el Pleno del Congreso puso de acuerdo a tirios y troyanos, con algunas discrepancias, como el sistema de designación de la Dirección y Dirección Adjunta de la Agencia (AEPD), que vuelve a retroalimentar el consabido reparto de sillones, preludio del grosero escenario que vendrá de inmediato con la renovación del próximo CGPJ. Pelillos a la mar. Corría por el Pleno del Congreso un aire de celebración. El portavoz del PSOE echó mano de la épica para recordar a los cuatro vientos que España, una vez más, se ponía a la vanguardia de la protección de datos y de los derechos en Europa, esta vez digitales. Un cierto punto de exageración para justificar la inclusión de esos denominados derechos digitales que han pretendido hacer historia de una LOPD que iba ser la más plana de las hasta ahora aprobadas, pues el RGPD había secado prácticamente el margen de configuración normativa hasta dejarla paradójicamente (casi) en nada: Una devaluada “ley orgánica” transformada más bien en mero reglamento de desarrollo de una disposición normativa europea, renace revestida de derechos digitales. En verdad, como se ha dicho, el derecho a la protección de datos personales ha sido el primer derecho fundamental que se regula en sus trazos esenciales por la legislación europea (José Luís Rodríguez Álvarez). Y algo había que hacer para paliar ese efecto.

Artemi Rallo, Catedrático de Derecho Constitucional, aparte de parlamentario y ex director de la AEPD, sabía de lo que hablaba. Su particular cruzada por los derechos digitales tenía rastro en diferentes trabajos doctrinales, alguno de ellos publicado hace pocos meses. Baste con traer a colación su recomendable artículo “De la libertad informática a la constitucionalización de los derechos digitales (1978-2018)”, publicado en la Revista de Derecho Político núm. 100, pp. 639-669 (UNED, 2018). Allí, en el último epígrafe del trabajo citado, hace una encendida loa al reconocimiento de los nuevos derechos vinculados a la protección de datos personales que lleva a cabo el RGPD, expresa cómo determinados países europeos caminan ya en la dirección de reflejar en sus textos constitucionales o legales los denominados genéricamente como derechos digitales y, en fin, apuesta decididamente por una reforma constitucional que vaya incluso más allá de la portuguesa y reconozca expresamente un catálogo de derechos digitales, que el mismo autor cita expresamente.

No perdió tiempo el citado profesor, sus dotes persuasivas han tenido claro efecto, tanto el Ministerio “promotor” de la iniciativa como en la AEPD o entre los Grupos Parlamentarios, donde la concordia y el acuerdo –dato nada menor- ha sido el caldo de cultivo. Su bandera por reconocer los derechos digitales ha terminado encontrando acomodo en la propia LOPD, ya que esperar un reforma constitucional era como fiarlo todo a un imposible, más cuando el reflejo de tales derechos como fundamentales supondría pasar el calvario procedimental y temporal que se prevé para la reforma constitucional agravada, que prácticamente la transforma (más aún en el contexto político actual) en una suerte de cláusula pétrea “de facto”. Así, el nuevo título X de la futura LOPD se enuncia como “Garantía de los derechos digitales”, al que acompañan un buen número de disposiciones finales algunas de ellas conectadas con su contenido, para hacerlo aún más visible en ciertos sectores del ordenamiento jurídico.

No es este lugar apropiado para sesudos discursos académicos y menos aún para entrar en el diablo de los detalles. Tiempo habrá de hacerlo. Simplemente quiero recordar que donde la LOPD, siguiendo la estela del RGPD, recogía unos derechos vinculados con el derecho matriz a la protección de datos (artículos 15 a 22 RGPD), la LOPD, manteniendo obviamente estos, los ha multiplicado hasta incorporar diecinueve más, esta vez denominados “derechos digitales”, una vieja reivindicación de internautas y otros colectivos movilizados por las redes. Nada que objetar, siempre que sirvan para lo que han sido prometidos: para reforzar los derechos y libertades de la ciudadanía, pues los derechos digitales en sí mismos no son nada en esencia, sino que su fundamento es instrumental o “virtual”, dado que se ejercen en Internet, en las redes o por medio de los dispositivos móviles. Pero pueden causar (como ya lo están haciendo de hecho) destrozos incalculables sobre los derechos y libertades “materiales” de las personas. Nadie duda a estas alturas que los peligros de vulneración de los derechos fundamentales e incluso para el propio funcionamiento del Estado democrático, están también y sobre todo hoy en día en las redes. Neil Fergusson lo ha descrito de forma implacable en su reciente libro La plaza y la torre. Redes y poder (Debate, 2018): «La historia nos ha enseñado que confiar en las redes para dirigir el mundo es una forma segura de acabar en la anarquía». O, como concluye su obra: «Las tecnologías van y vienen, pero nuestro mundo sigue siendo un mundo de plazas (redes) y torres (jerarquías)».

Más discutible es que realmente la LOPD haya incorporado “garantías adicionales” a tales derechos digitales, salvo que por tal se enitenda que a través de su incorporación en una Ley Orgánica sirvan de puente para ser invocados en su fundamentalidad (densificando derechos matriz) ante los tribunales ordinarios o ante la jurisdicción constitucional vía de amparo. Algo que, en cierta medida, ya se venía haciendo, pues el legislador orgánico ha recogido en la LOPD algunos “derechos” (o dimensiones de tales) que ya estaban acogidos por la jurisprudencia del Tribunal Supremo o del Constitucional, en determinados casos. Hay derechos nuevos, unos vinculados estrechamente con la protección de datos (la doble regulación del derecho al olvido o del derecho a la portabilidad), que densificarán la regulación material de estos. Hay, también, otros que están vinculados con la libertad de información y de expresión (derecho de rectificación en Internet, que ha levantado cierta polvareda), también los hay que tienen carga programática innegable y que deberán plasmarse en compromisos presupuestarios (Derecho de acceso universal a Internet o Políticas de impulso de los derechos digitales), y, en fin, se prevén otros derechos que son nucleares pero que habrá que esperar desarrollos posteriores para ver en qué quedan realmente: tales como la protección de los menores en Internet, que se debe leer junto con la disposición adicional decimonovena) o la importante previsión del Derecho a la educación digital, uno de los aspectos claves de un sistema educativo del futuro que tiene ya en las competencias digitales y en el buen uso de las tecnologías de la información uno de los retos más grandes del futuro. También se recoge el derecho al testamente digital, cuya concreción se envía a norma reglamentaria.

Pero los que más ruido han levantado son, sin duda, los derechos digitales relativos a las relaciones entre Internet y trabajo. El derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (artículo 87) o en el uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89), reflejan en grandes términos algo que la jurisprudencia (matices aparte, que siempre son importantes en estos temas) ya estaba reconociendo. En la misma dirección va la protección de la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90). Por su parte cabe resaltar asimismo el difundido derecho a la desconexión en el ámbito laboral, que pone énfasis especial en garantizar que fuera del tiempo de trabajo se respete el tiempo de descanso y se acabe, en cierta medida, con el denominado síndrome de “fatiga informática” o el vivir permanentemente enganchado al móvil corporativo, algo imposible cuando este es también prolongación natural de nuestra vida social. Veremos en qué queda tan pío deseo, pues todo se fía a lo que se acuerde en la negociación colectiva o en la propia empresa. El horario industrial (la manida jornada laboral) ya forma parte de la historia de las relaciones laborales, como inteligentemente trató Judy Wajcman, en su imprescindible obra Esclavos del tiempo (Paidós, 2017), ya comentada en este mismo espacio. El problema en el fondo es otro, como bien estudió en su día el filósofo Byung-Chul Han en su espléndido libro sobre La sociedad del cansancio (Herder, 2012): hoy en día somos nosotros mismos los que nos (auto) explotamos, particularmente a través de una dependencia enfermiza de los dispositivos móviles y de las redes sociales. Y de este bucle no se sale tan fácil. Menos aún por imperativo legal.

Hace algún tiempo oí en una conferencia que Daniel Innerartiy se refería a que una profesora de Filosofía (cuyo nombre ahora no recuerdo) le solía decir que debemos evitar “ponerlo todo manchado de principios”. Un abuso de principios devalúa tan importante categoría y la puede hacer superflua. Está por ver si un desbordado ímpetu normativo por “poner todo manchado de derechos” (esta vez digitales) servirá para algo más que adornar las leyes o abrir la caja de Pandora de una siempre creativa jurisprudencia, cuando no dar pie a invocar vulneraciones de derechos por doquier basándonos en derechos-principio más que en derechos-regla. Veremos en breve tiempo la utilidad de tales derechos. Puestos a regular, hubiese sido oportuno también poner junto a los necesarios derechos algunos deberes digitales. El (mal) uso que se está haciendo de los dispositivos móviles en centros de trabajo, en las aulas o espacios educativos es algo que sorprende que haya pasado inadvertido a tan puntilloso legislador. El necesario autocontrol de los medios digitales es un imperativo al pleno ejercicio de los derechos de esa naturaleza, donde la responsabilidad individual, propia de una ciudadanía avanzada, será una de las claves de un futuro ciertamente sombrío en cuanto al pleno respeto de los derechos y libertades, siempre que este complejo mundo de la digitalización no acertemos a ordenarlo cabalmente.

Pero no carguemos más aún las tintas a una ya sobrecargada LOPD con contenidos “no orgánicos”, aunque también con otros que sí lo son. Ya tiene bastantes. El Título X de esa futura Ley, así como las disposiciones adicionales y finales que lo acompañan, son una novedad evidente. Y habrá que ver el juego que terminan dando.

Solo cabe esperar que esa inclusión tan celebrada de los derechos digitales en la LOPD no sea fruto de la ocurrencia. La regulación de los derechos digitales es un tema muy serio. Cabe preguntarse si se han medido bien y con rigor sus posibles efectos, directos o colaterales. Si era esto realmente lo que se necesitaba u otra cosa. Sabida es nuestra tendencia a la improvisación y nuestro descuido de la reflexión. Recientemente en Francia, al hilo de la reforma constitucional en marcha, se planteó la inclusión en la Constitución de un catálogo de derechos digitales. La propuesta fue también del Grupo Socialista, aunque venía con el aval de algunos Informes de expertos. La mayoría parlamentaria, a principios del mes de julio de 2018, consideró que la propuesta “no estaba lo suficientemente madura”, pues no se habían valorado suficientemente los efectos que tal inserción como derechos fundamentales podría producir sobre el conjunto del sistema jurídico. No se descartaba sin embargo su inserción posterior, pero se abrió un prudente tiempo de espera con el fin de analizar detenidamente las posibles consecuencias de toda índole que ello pudiera acarrear. Nuestro caso es distinto, pero solo aparentemente. La inserción de tal catálogo de derechos en una Ley Orgánica de Protección de Datos (al menos de aquellos derechos reservados a ese tipo de Ley) pretende dotar a tales derechos (lo cual es un fin legítimo) de mayores garantías y abrirles, así, la puerta de una mayor protección jurisdiccional, por conexión con el propio derecho a la protección de datos personales o con otros derechos fundamentales recogidos en la Constitución.

En cualquier caso, sea como fuere, se puede concluir que ya están (casi) con nosotros “los nuevos” derechos digitales. Que sirvan al menos para tomar conciencia del cambio cualitativo que la revolución tecnológica imprimirá en el estatuto convencional de los derechos y libertades de la ciudadanía. Como advirtió Timothy Gaston Ash, parafraseando a un fundador de una red social: «Internet no olvida nunca. Todo lo que compartes en línea es un tatuaje». Por tanto, nada será como antaño. Los derechos digitales ayudarán algo en esos letales efectos. Y este primer paso, vendrá necesariamente acompañado de otros muchos más. Pero, al menos, en un futuro inmediato o mediato pensémoslo bien colectivamente antes de dar los siguientes pasos. Así, el margen de error será menor. Siempre es una medida prudente.

LA REGULACIÓN EUROPEA DE PROTECCIÓN DE DATOS: DE LA DIRECTIVA AL RGPD (*)

Regulacion-Europea-de-Proteccion-de-Datos-Personales-1-750x365

“No es de extrañar que Alphabet (Google) ya no hurgue en nuestros correos electrónicos personales para mostrarnos anuncios personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más información (…) Es decir, en la medida en que el entorno normativo se vuelva más problemático y/o el mercado publicitario se desacelere (…) la compañía tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA), tanto a ciudadanos como a gobiernos”

(Evgeny Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave, 2018 pp. 23-24)

La derogación de la Directiva 95/46/CE y su sustitución por el RGPD Reglamento UE 2016/679) no es una operación normativa menor. El cambio de instrumento regulador obedece a razones de contexto y a la necesidad objetiva de regular esta materia en un Reglamento (UE) que, como es sabido, es una disposición normativa europea que tiene un alcance general, es obligatoria en todos sus elementos y directamente aplicable.

No cabe duda que, frente al fenómeno del acelerado proceso de revolución tecnológica y de digitalización, así como consecuencia de sus enormes impactos sobre los datos personales), la única solución viable es la regulación. El proceso de mercantilización de los datos al cual contribuimos nosotros mismos “sin quererlo” revelando enormes cantidades de información, implica que, tal como se ha dicho, nuestras vidas se están datificando.

Toda esa actividad intrusiva sobre datos convenientemente “cocinados” puede, sin duda, afectar (y de hecho afecta, aunque con consecuencias aún imprevisibles) a los derechos fundamentales de las personas físicas y ya no solo a la intimidad o a la privacidad, sino a la inmensa mayoría de aquellos derechos. Es bien cierto, no obstante, que la Administración Pública y las entidades de su sector público no tienen ni de lejos el comportamiento mercantilista que puedan mostrar determinadas grandes empresas tecnológicas, pero también lo es que pueden tratar (y de hecho tratan) gran cantidad de datos personales (un volumen considerable) que, en determinados contextos, pueden ser causa o provocar situaciones de riesgo evidente.

Asimismo, es también obvio que el sector público trata en no pocas ocasiones “categorías especiales de datos” (datos sensibles), por utilizar la terminología del Reglamento UE. Todo ello requiere por parte de los responsables y encargados del tratamiento en el sector público especial diligencia en tales procesos, pero en particular fomentar una cultura y actividad preventiva tanto en el diseño de los procesos de tratamiento como por defecto (esto es, de manera permanente, deberán analizar en cada caso y circunstancia la necesidad de tales tratamientos), aplicando todas las medidas técnicas y organizativas que estén a su alcance para salvaguardar los derechos fundamentales de las personas físicas (pues no otro es el objetivo central o la finalidad del RGPD).

Por consiguiente, la regulación que se ha llevado a cabo a través del Reglamento (UE) 2016/679 es particularmente importante por lo que afecta al sector público. Pero de inmediato cabe afirmar que, sin perjuicio de que se aplique también a lo que el Reglamento denomina “autoridades y organismos públicos”, no es menos cierto que el foco central de preocupación de esa disposición normativa de la Unión Europea es el riesgo que para la protección de los derechos fundamentales y, en especial, para la protección de datos de las personas físicas, se pueda producir como consecuencia del tratamiento masivo de datos, del cruce entre estos datos que tenga el objetivo de elaborar “perfiles” o de llevar a cabo observaciones masivas derivadas de esos datos. Y esto es algo que, también en principio, potencialmente, lo están llevando a cabo las grandes empresas tecnológicas y todas aquellas empresas que de una u otra forma participan en esos procesos de recogida, tratamiento y comercialización futura de tales datos. El RGPD establece una redefinición de la noción de dato personal y una noción de tratamiento amplia y exhaustiva (artículo 4).

La entrada en vigor del Reglamento (UE) 2016/679, como es sabido, se produjo a los veinte días de su publicación en el DOUE, pero su plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).

En los Considerandos 9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado el cambio de instrumento normativo. Entre los que caben citar los siguientes:

La aplicación de la Directiva 95/46/CE ha sido fragmentaria y desigual, mientras que los riesgos para la protección de datos, tal como se ha visto, son cada vez mayores. Y lo serán conforme el tiempo avance.
Se quiere garantizar un nivel uniforme y elevado de protección de datos personales, y que sea además equivalente en todos los Estados miembros. La aplicación de las normas de protección de datos se pretende que sea coherente y homogénea. La Directiva 95/46/CE no garantizaba eso y esa fue una de las causas por las que se impulsó ese profundo cambio de instrumento normativo.
La protección efectiva de los datos personales exige reforzar las obligaciones de quienes los tratan, reconocer poderes equivalentes para supervisar y garantizar su cumplimiento, así como que las infracciones se castiguen con sanciones equivalentes. El endurecimiento del régimen sancionador es uno de los presupuestos de apoyo de tal normativa, aunque se modula en su aplicación a las “autoridades y organismos públicos” en función de lo que determine la legislación de cada Estado miembro.
Hay base jurídica para esta regulación en el artículo 16. 2 del TFUE. Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
Era, por tanto, necesario regular esta materia por un Reglamento que proporcionara seguridad jurídica y transparencia.

El Consejo de Estado, en su dictamen 757/2017, de 26 de octubre de 2017, sintetizó en una serie de ideas-fuerza el recurso al instrumento normativo del Reglamento, norma obligatoria en todos sus elementos y directamente aplicable en todos los Estados miembros (artículo 288 TFUE), como medio necesario para llevar a cabo esa reducción de las divergencias normativas que se habían producido con la aplicación de la Directiva 95/46/CE.

Por qué se ha elegido el instrumento del Reglamento UE frente a la Directiva para regular la protección de datos: Ideas-fuerza del Dictamen 757/2017 del Consejo de Estado:

“Esa aplicabilidad directa de los Reglamentos exige su entrada en vigor y su aplicación sin necesidad de ninguna medida de incorporación al Derecho nacional”.
“Los Estados miembros están obligados (…) a no obstaculizar el efecto directo propio de los Reglamentos, siendo el ‘respeto escrupuloso de este deber’ una condición indispensable ‘para la aplicación simultánea y uniforme’ de las reglas contenidas en los Reglamentos de la Unión en el conjunto de esta.“
“El Reglamento 2016/679 pasa así a ser la norma principal para la regulación de datos en la Unión Europea, directamente aplicable en todos los Estados miembros sin necesidad de normas internas de trasposición.”
“De esta forma, un derecho fundamental protegido por el artículo 18.4 de la Constitución española va a ser directa y principalmente regulado en una norma europea, con un papel únicamente de desarrollo o complemento de las normas nacionales.”
“Ello implica también un traslado parcial del canon constitucional de protección del derecho fundamental que, en cuanto se refiere a actividades regidas por el Derecho de la Unión, deberá regirse por la Carta de Derechos Fundamentales de la Unión Europea y por la interpretación que realice el Tribunal de Justicia de la Unión.”
“La legislación nacional en materia de protección de datos, por tanto, debe necesariamente modificarse para adaptarla a este nuevo contexto normativo europeo antes de la entrada en vigor del Reglamento, que se producirá el 25 de mayo de 2018”.
“Esa adaptación implica, por motivos de seguridad jurídica, la necesaria derogación de las normas nacionales que sean incompatibles con el nuevo Reglamento (y) llevar a cabo una segunda tarea de depuración del ordenamiento nacional, del que deben igualmente eliminarse cuantas disposiciones hayan devenido redundantes como consecuencia del efecto directo de aquél, en la medida en que puedan poner en cuestión esa aplicación directa del Reglamento”.
“En fin, la adaptación de la legislación nacional puede también exigir, en algunos casos puntuales, la adopción de nuevas disposiciones llamadas a completar o aclarar la regulación europea. La aplicabilidad directa del Reglamento no excluye, en efecto, esa labor puntual de complemento de la normativa de los Estados miembros”.
“Así lo hace el Reglamento general de protección de datos. Pese a su intensa vocación armonizadora, el Reglamento contiene el menos 56 remisiones de diverso alcance al Derecho de los Estados miembros, permitiendo a estos adaptar la regulación europea, en distintos casos, al contexto nacional, o fijar exenciones, derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos”.

Por consiguiente, el operador jurídico o técnico debe ser plenamente consciente de que, en este nuevo contexto normativo de protección de datos personales y a diferencia del marco normativo anterior (en el que la LOPD era la referencia determinante), deberá trabajar con dos herramientas normativas “en paralelo”: una de carácter principal, reforzada además por la primacía del Derecho de la Unión Europea frente al Derecho de los Estados miembros, como es el Reglamento (UE) 2016/679, mientras que la otra será la futura LOPD (actualmente en proceso de tramitación parlamentaria) que se limitará a “completar o aclarar” la regulación europea, así como a establecer determinadas excepciones solo cuando esté habilitada específicamente para ello por la normativa europea.

El resultado, como se dirá en su momento, es bien obvio: el Reglamento (UE) 2016/679 se convierte en la norma de cabecera en materia de protección de datos y la (futura) LOPD será una disposición normativa, por mucho que se califique de “orgánica”, de carácter complementario o de desarrollo. Es más, si la Ley Orgánica está llamada a desarrollar los derechos fundamentales y libertades públicas recogidos en la sección primera del capítulo segundo del título primero de la Constitución, en este caso el desarrollo de este derecho fundamental, con la base jurídica que le da el propio TFUE y la CDFUE, se ha llevado a cabo por el propio Reglamento UE y no por la LOPD, cuyo proyecto realiza un mero reenvío, al menos en lo que a las dimensiones del derecho a la protección de datos respecta, a lo establecido en la disposición normativa europea.

Ello no implica que la actualmente vigente LOPD (Ley Orgánica 15/1999, de 30 de diciembre), así como su Reglamento de desarrollo (Real Decreto 1720/2007, de 21 de diciembre), ya no sean normas vigentes, sino que una parte relevante de su contenido ha quedado afectado por la nueva regulación recogida en el RGPD y, por consiguiente, ya no resulta de aplicación, al tener primacía aplicativa la normativa recogida en el Reglamento (UE) 2016/679. Por ello urgía la aprobación de una nueva LOPD, aunque el legislador español ha estado poco atento a esa exigencia y el 25 de mayo de 2018, que ya está literalmente encima, no tendrá adaptada la normativa interna a las previsiones del nuevo marco normativo europeo. Y por ello también es necesaria la adaptación del Reglamento que la desarrolla (Real Decreto 1720/2007), algo que cabe presumir tardará bastante más tiempo.

La pereza una vez más de un legislador falto de reflejos tendrá consecuencias sobre la falta de seguridad jurídica y el incremento de la incertidumbre ante los cambios que se avecinan. La indolencia ha hecho mella en el funcionamiento de nuestras instituciones, que dormitan plácidamente como si nada cambiara en su entorno. Ni siquiera se dan por aludidas con un plazo tan largo como el que les dio el RGPD para la necesaria adecuación del marco normativo de protección de datos. Mientras tanto, para los operadores del sector público, responsables, funcionarios y resto de empleados públicos, se abre un escenario no exento de dificultades aplicativas en algunos casos, que habrá de sortearse como mejor se pueda. En todo caso, parece que en unos pocos meses estará aprobada la nueva LOPD, lo que al menos dotará de una mayor seguridad jurídica a determinadas actuaciones. Pero el trabajo que queda por hacer es mucho, aunque todos nos estemos despertando del plácido sueño como viene siendo habitual en el último minuto.

(*) El presente texto es un fragmento, con algunas modificaciones para facilitar su lectura, del libro La aplicación del Reglamento (UE) de protección de datos a la Administración Pública: especial referencia a los entes locales, editado electrónicamente en abierto por el IVAP/HAEE (Oñati, 2018), en su página Web: http://www.ivap.euskadi.eus/r61-veds20me/es/s20aWar/novedadesJSP/s20ainicio.do?CgaIdioma=es. Puede consultarse, no obstante, el PDF del citado libro en el siguiente enlace: Aplicacioìn Reglamento(UE) DIG(3)

LA PROTECCIÓN DE DATOS EN LA REVOLUCIÓN TECNOLÓGICA

“La era del algoritmo marca el momento en que la memoria técnica ha evolucionado para almacenar no solo nuestros datos, sino también algunos patrones del comportamiento más sofisticado, desde el gusto musical hasta nuestros grafos sociales. En muchos casos, ya nos estamos imaginando sincronizados con nuestras máquinas”.

(Ed Finn, La búsqueda del algoritmo. Imaginación en la era de la informática, Alpha Decay, p. 336)

No parece exagerado bajo ningún punto de vista hablar de que la digitalización acelerada de la sociedad contemporánea nos ha conducido irremediablemente a una suerte de panóptico digital. El filósofo Byung-Chul Han trató en diferentes obras esa noción, concepto que, importado de Bentham, construye precisamente en uno de sus primeros trabajos traducidos al castellano (La sociedad de la transparencia, Herder, 2013). En alguna obra posterior este mismo autor llegó incluso a hablar de la obsolescencia del concepto de protección de datos, algo que vinculaba con la exposición en la red de todo tipo de datos e informaciones sobre nosotros mismos. Y concluía: “Este descontrol representa una crisis de libertad que se ha de tomar en serio” (Psicopolítica, Herder, 2014).

La necesidad objetiva de protección de los derechos fundamentales de las personas físicas en un mundo cada vez más digitalizado y en el que el “algoritmo” se ha convertido en nuestro inseparable compañero, hace imprescindible la regulación que lleva a cabo el RGPD; una normativa hay que entenderla precisamente como medio de salvaguardar una protección suficiente de los datos personales con el objetivo último de que, efectivamente, nuestra libertad no se vea menoscabada, aunque amenazada lo está y mucho.

Otro filósofo, como es Paul Virilio, hace algunos años dio probablemente en la diana: “Las tecnologías no son otra cosa más que prótesis y pensar la libertad con respecto a las prótesis resulta algo absolutamente nuevo” (La Administración del miedo, Pasos Perdidos, 2012). Sin embargo, como ya anticipaba este mismo autor, la velocidad de los hechos ha desbordado al Derecho, más aún en este complejo campo de la digitalización, puesto que “el derecho del más rápido es el origen del derecho del más fuerte”. Y es también en esta clave en la que se debe interpretar el alcance del RGPD y el propio espíritu o sentido que lo anima.

Si bien la normativa europea llega probablemente tarde, al menos intenta hacer frente a todo ese conjunto imprevisible de riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Pero ahora interesa destacar en qué medida todo ello afecta o afectará a la Administración Pública y a los entes de su sector público. A las personas físicas sin duda que lo hará. En efecto, aunque esa mirada deba ser predominante, no es menos cierto que si se prescinde del eje central en el que se basa el RGPD (la protección de los derechos fundamentales y libertades públicas de la ciudadanía), el sector público no cubrirá cabalmente las expectativas que la nueva regulación tiene puestas en su aplicación. Todos esos “riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas” (artículo 24.1 RGPD) irán inevitablemente siendo cada vez mayores conforme la revolución tecnológica avance de forma inexorable.

Comienza a emerger, en los ámbitos profesionales y se traslada sin duda a la Administración Pública, una necesidad imperiosa de controlar los datos. Como en su día resaltaron Mayer-Schönberger y Cukier (Big Data. La revolución de los datos masivos. Turner, 2013), se torna imprescindible que las personas incrementen las medidas de autocontrol sobre sus propios datos, algo no precisamente fácil en una sociedad completamente interconectada.

Pero eso solo es una parte del problema. El desarrollo de la inteligencia artificial en las próximas décadas abre incógnitas enormes. Jerry Kaplan en un sugerente ensayo (La inteligencia artificial. Lo que todo el mundo debe saber, Tell, 2017), plantea un buen número de preguntas sobre diferentes ámbitos hasta cierto punto inquietantes. La tensión entre humanismo y transhumanismo parece palparse. Como ha expuesto Luc Ferry, estamos en pleno proceso de superación del “ideal terapéutico” que tenía como objeto curar o reparar, y vamos así camino del “ideal de aumentar o perfeccionar”. Y en ello, como afirma también este mismo autor (La revolución transhumanista, Alianza Editorial, 2017), juega un papel central el acrónimo NBIC (nanotecnología/ biotecnología/informática-Big Data/Conocimiento aplicado a la Inteligencia Artificial). Todo ello abre, en efecto, un manejo múltiple y cruzado de datos, pero especialmente un horizonte de problemas éticos de primera magnitud, que en estos momentos no pueden ser tratados. Pero los riesgos están presentes, siendo cada vez mayores, y el RGPD los recuerda una y otra vez con su énfasis especial en el sistema preventivo o enfoque de riesgos.

Lo cierto es que se ha inaugurado con fuerza lo que puede calificarse como un largo período de revolución tecnológica en la que la digitalización (y el dato, como núcleo) está (y estará) en el centro de todo este proceso. El modelo se ha ido desarrollando y asentando paulatinamente, tomando como apoyo fuerte (algo que será perecedero) la oferta por las grandes compañias tecnológicas de “servicios gratuitos”, a cuenta, tal como se ha dicho, de entregarles o hacer jirones nuestra privacidad. A partir de esos presupuestos, la práctica totalidad de la humanidad digitalizada ha “ofrecido” sus datos (y, por tanto, sus preferencias, su vida e, incluso, sus expectativas) a tales compañías, que comercializan sin rubor ni límite alguno (al menos hasta ahora) con tales datos. La “mediación algorítmica”, como ya advirtió tempranamente Evgeny Morozov, tiene sus peligros (La locura del solucionismo tecnológico, Katz, 2013).

Pero tales peligros, como también resalta el propio RGPD tanto en sus Considerandos como en el articulado, aparte de ser inciertos, todo el mundo es plenamente consciente (o al menos así se presume) que irán creciendo cuantitativa y cualitativamente con el paso del tiempo. Y para ello la Administración Pública debe prepararse convenientemente, tanto dotándose de medios “técnicos y organizativos” adecuados para hacer frente a tales escenarios de incertidumbre llenos de potenciales peligros, como especialmente en invertir en la construcción de ese modelo de gestión de protección de datos basado en el enfoque de riesgos. No es una cuestión menor, tampoco incidental o de cumplimiento normativo, es sencillamente existencial.

Y para ello tal vez sea oportuno llevar a cabo unas sucintas reflexiones sobre prospectiva. Si examinamos, por ejemplo, algunos estudios de prospectiva que tienen por objeto el impacto de la revolución tecnológica sobre el empleo tal vez nos aporten aproximaciones que puedan tener interés al objeto de estas líneas. Hay coincidencia en todos estos estudios que la revolución tecnológica hoy en día en marcha tendrá tres grandes oleadas o etapas. A saber.

La primera oleada es la “digitalización” propiamente dicha. Es una etapa en la cual estamos hoy en día inmersos. También las Administraciones Públicas, que deben cumplir, entre otras cosas, las exigencias de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común de las administraciones públicas. La segunda oleda es la de “automatización”, y que se desarrollará en torno a 2025, momento en el que las máquinas llevarán a cabo una parte importante de las tareas y en el que habrá que estar vigilantes para evitar que esos cambios tecnológicos de magnitudes considerables puedan afectar a los derechos y libertades de las personas físicas en el tratamiento de sus datos personales. En esta fase, encontrarán pleno sentido muchas de las previsiones recogidas en el RGPD, especialmente aquellas dirigidas a “la protección desde el diseño y por defecto”, así como, en su caso, la evaluación de impacto y la consulta previa. Para ese momento las Administraciones Públicas deberían tener plenamente implantado y a pleno rendimiento el sistema institucional y de gestión de protección de datos personales que exige el RGPD. Ello garantizaría que las afectaciones pudieran ser menores o, cuando menos, controladas, siempre que ello sea posible.

Y la tercera oleada, sin duda la más crítica, en la que las incertidumbres se multiplicarán, es la de la aplicación de la Inteligencia Artificial al ámbito de las Administraciones Públicas y en lo que respecta también a la protección de datos personales. Se estima que, temporalmente, esta etapa se puede producir en torno a los años 2030-2035 (al menos así lo confirman los diferentes estudios de prospectiva: ver, por ejemplo: PwC, Will robots really steal our jobs? An international analysis of the potencial long term impact of automation, 2017; o 50 Estrategias para 2050, Fundación Telefónica/Prospektiker), donde los cambios cualitativos pueden ser de una dimensión desconocida hasta entonces. Veremos si el marco normativo diseñado en el RGPD es suficiente para enfrentarse a un reto de tales características, que impregnará sin duda todo o gran parte del actuar de las Administraciones Públicas como prestadoras de servicios y recopiladoras de datos en masa, que en no pocos casos ya los harán las maquinas “inteligentes” y no las personas (servidores públicos).

Sin duda la revolución tecnológica se caracteriza por la importancia que los datos adquieren en la propia economía. Se ha dicho así que los datos son el petróleo de la economía digital, pero eso no es verdad, pues -tal como afirma Franklin Foer- «los datos son infinitamente renovables, no son finitos como el petróleo» (Un mundo sin ideas, Paidós, 2017). La amenaza de los datos a la intimidad y al resto de derechos y libertades es, hoy en día, obvia. Uno de los principales asesores de una las grandes empresas monopolísticas de Internet, Eric Schmidt, lo reconocía con toda crudeza: «Sabemos dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás pensando».

Los datos empujarán el crecimiento económico, no cabe dudar de ello. Pero también, dependiendo de su uso, son un desafío real y tangible a la privacidad, aunque ya hay quien dude que en la era de Internet y de las redes sociales tal derecho a la intimidad tenga vigor alguno. La solución, como apunta Luc Ferry en su recomendable obra citada, pasa inevitablemente por la regulación. Habrá que seguir y persistir en esa línea.

Por mucho que se empeñen los diletantes y resistentes, especies que abundan precisamente en el ecosistema público, en los próximos años la revolución tecnológica transformará en viejas muchas de las prácticas y formas de actuar que están insertas en el funcionamiento cotidiano de las Administraciones Públicas, también (aunque no solo) en lo que afectan a la protección de datos personales.

Pero, como se viene insistiendo, ello requerirá un cambio cultural y organizativo de magnitudes considerables, si bien hoy por hoy nada de esto parece advertirse en el funcionamiento de nuestras adormecidas y tradicionales organizaciones públicas, sino más bien lo contrario (la regla es, en efecto, la quietud y el funcionamiento estandarizado).

Por tanto, los efectos más profundos de la revolución tecnológica sobre la Administración Pública (así como sobre el ámbito empresarial y económico o sobre el empleo), también sobre la protección de datos personales, vendrán de la mano del binomio robotización/Inteligencia artificial, ambos términos complementarios o indisolublemente unidos. Una vez más cabe recurrir a las palabras de Luc Ferry: la nanotecnología, la biotecnología, la informática de Big Data y el Conocimiento vinculado a la Inteligencia Artificial, «van a generar más cambios en los próximos cuarenta años que en los cuatro mil anteriores».

Y esos profundos cambios abrirán un sinfín de retos, pero también se inaugurará un tiempo de tensiones extraordinarias. El transhumanismo radical produce vértigo. Realmente esa pretendida simbiosis entre el hombre y la máquina solo conduce al «posthumanismo» o al “antihumanismo». Ciertamente, si atendemos al juicio fundado de dos científicos consagrados del campo de la IA, López de Manteras Badía y Meseguer González (Inteligencia Artificial, Catarata, 2017), ese horizonte de fusión entre “hombre y máquina” está aún muy lejano, de momento hay que apostar por la complementariedad y no por la sustitución. La IA débil o especializada (la que realiza tareas que requieren inteligencia) ha tenido un fuerte desarrollo, mientras que la IA fuerte o general (la que permite replicar la inteligencia humana mediante máquinas) está lejos de alcanzarse. La explicación, a juicio de estos autores, es muy clara, pues consiste en la dificultad de dotar a las máquinas de conocimientos de sentido común. Aún así, los riesgos están allí, por lo que todo este mundo abre un amplio abanico de problemas éticos de no fácil solución y que, más temprano que tarde, habrá que afrontar.

Pues bien, todo esto por fuerza (o por la naturaleza de las cosas) terminará afectando al sector público, además de forma profunda e inevitable. Y asimismo impactará sobre la protección de datos personales, que estará en el centro del problema. Pues no cabe olvidar que esta revolución tecnológica, como todas revoluciones industriales anteriores, comportará también una suerte de destrucción creativa, en términos del insigne economista Schumpeter (Capitalismo, socialismo y democracia, vol. I., Página Indómita, 2015). Lo relevante es que ese proceso de destrucción creativa –como sancionó Schumpeter- es la clave del capitalismo y conlleva un fenómeno de «destrucción ininterrumpida de lo antiguo y una creación continua de elementos nuevos». Ambos momentos se solapan, conviven en falsa armonía y uno de ellos (el antiguo) se va desmoronando frente a la emergencia del otro (el nuevo). Esta vez, no obstante, el proceso, aunque desigual, puede ser mucho más rápido.

En ese proceso de “destrucción creativa” que ya está llamando a nuestra puerta, el problema que tiene la Administración Pública para llevar a cabo esos ajustes tan drásticos que el nuevo escenario tecnológico anuncia, también en el ámbito de protección de datos personales, radica principalmente en su enorme rigidez estructural y su anquilosamiento normativo. Pero este último elemento, el anquilosamiento normativo, al menos por lo que respecta a la protección de datos personales, ha sido removido por el “legislador europeo”: la plena efectividad del RGPD abre un sinfín de retos aplicativos a las Administraciones Públicas a los que deben enfrentarse de modo inevitable cuanto antes mejor, puesto que la revolución tecnológica alterará la esencia de las cosas y en todo este proceso, la proteccion de datos personales dejará de estar en la perfieria de las políticas públicas para situarse en el epicentro de muchas de ellas. Algo que el paso del tiempo irá confirmando.

(*) Este trabajo es un resumen del Epílogo al documento La aplicación del RGPD a la Administración Pública, que será editado en abierto por el IVAP/HAEE en próximas semanas. Asimismo, una versión de este trabajo se recoge también como Epílogo a la obra colectiva coordinada por Concepción Campos Acuña, Aplicación práctica y adaptación de la protección de datos en el ámbito local. Novedades tras el Reglamento Europeo, que se publicará por la Editorial Wolters Kluver próximamente.

DOCUMENTACIÓN ADICIONAL: Asimismo, puede consultarse la reciente edición del Manual-Guia sobre impactos del Reglamento General de Protección de Datos en las entidades locales, editado en abierto por la FMC-ACM en versiones en catalán y castellano (esta última difundida el 3 de mayo de 2018). Ver: http://www.fmc.cat/novetats-ficha.asp?id=25050&id2=1

LA MIRADA INSTITUCIONAL

Rafael Jiménez Asensio. Consultor, formador, jurista y profesor universitario. Estudio Sector Público SLPU