PROTECCION DE DATOS

(ALGUNAS) IDEAS-FUERZA DE LA NUEVA LEY DE PROTECCIÓN DE DATOS EN SU APLICACIÓN AL SECTOR PÚBLICO

 

dataprotection

 

“Los datos son la materia prima (en el sentido que le da Marx al término) que debe ser extraída, y las actividades de los usuarios, la fuente natural de esa materia prima”

(Nick Srnicek, Capitalismo de plataformas, Caja Negra, Buenos Aires, 2018, pp. 42 y 122)

El BOE del pasado jueves 6 de diciembre publicó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), cuya entrada en vigor se produjo el día 7 de diciembre. Esta regulación deroga la anterior LOPD de 1999 (LO 15/1999) y el reciente Real Decreto Ley 5/2018. Se da cumplimiento, así, a la necesaria adaptación normativa del Derecho interno a las previsiones del Reglamento (UE) 2016/679 (RGPD, en lo sucesivo).

Tiempo habrá de analizar detenidamente esta LOPDGDD. Mi única pretensión en estos momentos es resaltar telegráficamente algunos de aquellos aspectos que, por lo que afecta a la Administración Pública y a su sector público institucional (sin adentrarme en el sector salud), incorporan novedades importantes en relación con lo tratado en el propio RGPD o, en su caso, regulan otras previsiones que conviene tener presentes para una cabal interpretación de este nuevo marco normativo dual (RGPD/LOPDGDD) de la protección de datos personales con el que necesariamente deberá obrar el aplicador del Derecho a partir de ahora en el ámbito público. Antes una importante precisión: el RGPD, salvo en aquellas materias en las que permita excepcionalmente una regulación que restrinja sus previsiones por una norma de Derecho interno (supuestos tasados), es la disposición normativa que –dad su naturaleza- dispone de primacía aplicativa en caso de antinomia, desplazando en ese caso a cualquier norma de Derecho interno, Ley Orgánica incluida. Por tanto, que nadie piense (si es que hay alguien que a estas alturas lo pretende) que “estudiando” solo la LOPDGDD podrá resolver los problemas que se susciten en materia de protección de datos. Eso ya es el pasado. Cualquier operador público deberá actuar a partir de ahora con dos pantallas normativas (RGPD/LOPDGDD), con las precisiones antes expuestas.

En este sentido, debe ponerse de relieve que –como reconociera en su día José Luís Rodríguez Álvarez- el RGPD (una disposición normativa del Derecho de la Unión Europea) es en verdad la norma que desarrolla y regula directamente el derecho fundamental a la protección de datos recogido en la CE (algo insólito en materia de regulación primaria de los derechos fundamentales), adoptando la LOPDGDD un papel meramente complementario o auxiliar. El propio preámbulo de la Ley lo deja bien claro al afirmar que “más que de incorporación cabría hablar de ‘desarrollo’ o complemento del Derecho de la Unión Europea”. Por consiguiente, la propia LOPDGDD admite en el citado preámbulo su carácter vicarial, puesto que advierte que su aprobación se explica por razones de salvaguardar el principio de seguridad jurídica “tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento” del RGPD.

Este nuevo marco normativo ha venido además adornado por la inclusión (estirando hasta el infinito el artículo 18.4 CE) de los denominados derechos digitales cuyo parentesco con el objeto de la Ley se visualiza exclusivamente en el dato personal como medio a través del cual se pueden ejercer o, en otros muchos casos, entorpecer o dificultar, el ejercicio de determinados derechos fundamentales de la persona física que se ven plenamente afectados por el mundo de Internet y por las redes sociales, cuando no por la propia revolución tecnológica. No trataré en esta entrada de esta cuestión, puesto que ya la abordé en un Post anterior (https://bit.ly/2QH4z4x ) y sobre este mismo tema han reflexionado recientemente diferentes Blogs (por ejemplo: Rojo Torrecilla https://bit.ly/2Acyd93; o Campos Acuña (https://bit.ly/2Uw3YlE , entre otras muchas referencias). Está por ver, en cualquier caso, que mediante regulaciones nacionales (en este caso por Ley, anticipándose a su anunciado reflejo constitucional) se puedan garantizar plenamente el ejercicio y los efectos de derechos con proyección global. Al menos se intenta.

A modo de apretada síntesis, algunos puntos de interés de esta nueva normativa interpretada a la luz del RGPD serían los siguientes:

  • El ámbito de aplicación de la Ley (artículo 2) se ha debido adaptar, un tanto tortuosamente, a la inserción en el último tramo de los derechos digitales
  • La regulación de las personas fallecidas (artículo 3) ofrece novedades de interés, a lo que cabe añadir, con dimensión preventiva, el derecho al testamento digital (artículo 96).
  • Los principios relativos al tratamiento se regulan en el artículo 5 RGPD, salvo el principio de “exactitud de los datos” que se complementa con una detallada regulación recogida en el artículo 4 LOPDGDD.
  • El tratamiento basado en el consentimiento del afectado se regula en el artículo 6, de conformidad con lo establecido en el RGPD. Sobre este punto conviene advertir que, según la AEPD (Informe 175/2018), el consentimiento del interesado no es una base legítima para el tratamiento de datos por las Administraciones Públicas, pues el tratamiento solo debe basarse en lo dispuesto en normas con rango de ley y en las competencias reconocidas por estas (concretamente en los apartados c) y e) del artículo 6 RGPD), lo cual no deja de plantear serias dudas en el ámbito local de gobierno (actividades, prestaciones o servicios) que no deriven de una competencia propia o delegada o de la cláusula general de atribución de competencias (CEAL), así como en determinadas actuaciones puntuales o actividades materiales de las Administraciones Públicas que, en principio, algunas de ellas cabe presumir que sí requerirían consentimiento del afectado (o de quienes ejerzan la patria potestad, piénsese en menores). El citado Informe es, sin embargo, muy contundente. En este aspecto el artículo 8 regula el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos, exigiendo siempre una norma con rango de ley como cauce habilitante. El artículo 28 LPAC, asimismo, ha eliminado toda referencia al consentimiento y solo habla, por ejemplo, de “oposición expresa” (lo que reconduce al ejercicio del derecho de oposición por el interesado, una evidente carga). Todo lo anterior deja fuera a las ordenanzas locales y plantea la duda, además, de si cabe que las Normas Forales (siempre que se puedan considerar como normas con fuerza de ley) sean base legítima de esos tratamientos. Las garantías formales vuelven a dominar sobre los aspectos materiales. Se intuyen problemas.
  • Particular importancia tiene la determinación de la edad de 14 años como umbral del consentimiento del menor. Ver asimismo el artículo 12.6 (ejercicio de los derechos de los menores); 84 (protección de los menores en Internet); 92 (Protección de datos de los menores); y disposición adicional decimonovena (derechos de los menores ante Internet).
  • En lo que afecta a categorías especiales de datos el reenvío al artículo 9.2 RGPD es completo, salvo la exigencia de que los tratamientos establecidos en los apartados g), h) e i) del citado precepto “deberán estar amparado por una norma con rango de ley” (artículo 9 LOPDGDD)
  • Cabe tener en cuenta la regulación complementaria que en materia de transparencia e información al afectado se contiene en el artículo 11.
  • En cuanto al ejercicio de los derechos (regulación recogida en los artículos 12 a 18, con algún complemento en los artículos 93, 94 y 95 LOPDGDD) cabe significar que hay un reenvío general al RGPD (artículos 15 a 22), con algunas precisiones (especialmente, aunque no solo, en materia de derecho de acceso)
  • De las disposiciones aplicables a tratamientos concretos interesa ahora destacar los artículos 22 (fines de videovigilancia, con una detallada e importante regulación), 24 (sistemas de información de denuncias internas, cuyos principios son también aplicables a las Administraciones Públicas que creen tales sistemas), 25 (función estadística) y 26 (fines de archivo en interés público). Sobre estos dos últimos aspectos es imprescindible el trabajo de Ascen Moro publicado en su día. Asimismo cabe destacar el tratamiento de los datos relativos a infracciones y sanciones administrativas (artículo 27).
  • Particular importancia tienen, por lo que afecta al nuevo modelo de gestión de protección de datos en el sector público (asentado en un enfoque de riesgos) las obligaciones generales del responsable y del encargado del tratamiento recogidas en el artículo 28, especialmente por lo que se refiere a los criterios para determinar los mayores riesgos en la adopción de las medidas organizativas y técnicas (artículos 24 y 25 RGPD)
  • La figura del encargado del tratamiento se regula específicamente en el artículo 33, con una mención expresa a la proyección estructural de la figura en las Administraciones Públicas (33.4) y, en relación con los contratos del encargado de tratamiento, cabe destacar la importante disposición transitoria quinta, recogida ya en el RDL 5/2018, pero al que se le ha incorporado un párrafo nuevo (vigencia de los contratos hasta 2022, pero cualquiera de las partes podrá exigir la modificación).
  • El bloqueo de datos tiene una regulación específica en el artículo 32.
  • La figura del Delegado de Protección de Datos reitera algunas de las características recogidas en el RGPD (artículos 37 a 39), pero con algunas exigencias adicionales:
    • La comunicación a la autoridad de control en el plazo de diez días del nombramiento y cese del DPD (artículo 34.3)
    • La dedicación a tiempo completo o parcial del DPD, en función del tipo de datos que se traten (artículo 34.5)
    • La “obtención de titulación universitaria” (¿se refiere a postgrados?) para demostrar a través de mecanismos de certificación el cumplimiento de los requisitos del artículo 37.5 RGPD
    • La garantía, siempre que se trate de persona física, de no remoción y de independencia, evitando cualquier conflicto de intereses del DPD (Art. 36.2), lo que puede poner en duda algunos nombramientos en función del tipo de tareas que se desarrollen (dedicación parcial).
    • La facultad del DPD de inspeccionar los procedimientos relacionados con el objeto de la Ley y emitir recomendaciones (artículo 36)
    • La facultad de documentar y comunicar a los órganos competentes la existencia de una vulneración relevante en materia de protección de datos.
    • Y el régimen de intervención del DPD en los supuestos de reclamaciones ante las autoridades de control (artículo 37)
  • Los códigos de conducta e instituciones de certificación, cuya aplicabilidad a las instituciones públicas según el RGPD es limitada, se regulan en los artículos 38 y 38.
  • En materia de régimen sancionador aplicable al sector público, se ha de tener en cuenta lo establecido en el artículo 77, donde se sigue con alguna novedad importante el viejo esquema de la LOPD de 1999; esto es, la exención del régimen general con algunas modulaciones (régimen light). A saber:
    • El ámbito de aplicación de ese régimen se extiende a todas las Administraciones Públicas, organismos públicos, fundaciones y consorcios, así como (blindaje político puro) a los grupos parlamentarios y a los grupos políticos locales. Pero no, adviértase, a las sociedades mercantiles vinculadas a la Administración matriz, a las que se les aplicaría el régimen general de sanciones del RGPD y de la Ley Orgánica.
    • Si el responsable o encargado cometieran alguna infracción sería sancionado con apercibimiento y adopción, en su caso, de las medidas pertinentes. La notificación se trasladará también a los interesados.
    • La autoridad de control “propondrá” (atentos a la fórmula verbal) también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello, que se tramitarán según la normativa sancionadora aplicable.
    • En cualquier caso, si la infracción es imputable a una autoridad o directivo, y se acredita que se apartaron de los informes técnicos o recomendaciones sobre el tratamiento (la figura del DPD, emerge), “en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará su publicación en el Boletín Oficial correspondiente”. Nada se dice del Portal de Transparencia o página Web.
  • La disposición adicional primera recoge una regulación sobre las medidas de seguridad en el ámbito del sector público, que extiende su aplicabilidad también a las empresas (en este caso sí) y fundaciones del sector público, así como a los servicios prestados en régimen de concesión, encomienda de gestión o contrato.
  • La disposición adicional tercera regula el cómputo de plazos (LPAC).
  • Importante es la regulación contenida en la DA 7ª, sobre identificación del interesado en las notificaciones de anuncios y publicaciones de actos administrativos:
    • Publicación por medio de un acto administrativo con datos personales: nombre y apellidos y 4 cifras numéricas aleatorias del DNI u otro documento. Si es una pluralidad de afectados, las cifras se alternan.
    • Notificación por medio de anuncios: identificación afectado por el número completo del DNI u otro documento.
    • Si el afectado carece de DNI u otro documento, se le identificará por nombra y apellidos.

(Ver regulación específica víctimas de violencia de género: DA 7ª, 2.

  • La DA 12ª regula una serie de disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público (tratamientos con cobertura en el artículo 6.1 c) RGPD).
  • Dentro de las modificaciones de diferentes leyes que se realizan en las disposiciones finales, conviene poner el foco por lo que ahora interesa en las siguientes:
    • La polémica inclusión del artículo 58 bis LOREG, que está dando y dará mucho que hablar, donde se prevé que tiene interés público (“únicamente cuando se ofrezcan garantías adecuadas”) “la recopilación (rectius, ‘tratamiento’) de datos personales relativos a las opiniones políticas” realizado por los partidos políticos en sus actividades electorales, que podrán así “utilizar datos personales obtenidos en páginas Web y otras fuentes de acceso público (estoy tentado de cerrar este Blog) “para la realización de actividades políticas durante el período electoral”. El derecho de oposición se carga sobre el ciudadano por mucho que se facilite su uso. En casa del herrero (LOPD “garantista” y con muchos derechos digitales), “cuchillo de palo” (atropello a una categoría especial de datos: la ideología política). La voracidad y el descaro de los partidos políticos no tiene límites. Tampoco en esta Ley. Una regulación intencionadamente gaseosa que no salvaguarda la protección de datos personales.
    • Se modifica la LTAIBG (Ley 19/2013), incorporando un nuevo artículo 6 bis (Publicidad del inventario de actividades de tratamiento), así como se da nueva redacción al artículo 15 (información de categorías especiales de datos y datos relativos a las infracciones penales o administrativas)
    • Particular relevancia tiene la modificación del artículo 28 LPAC (Ley 39/2015), en sus párrafos 2 (derecho no aportar documentos en poder de la Administración, quien podrá consultar o recabar si el interesado no se opusiera a ello) y 3 (se elimina en ambos casos la referencia a “se presumirán”). Sobre esta nueva redacción véanse los comentarios de Víctor Almonacid (https://bit.ly/2C0pbws) y el ya citado de Campos Acuña.
    • Se incorpora un el nuevo artículo 20 bis del Estatuto de los Trabajadores (una ubicación muy gráfica, como ha reconocido  el profesor Eduardo Rojo Torrecilla), donde se recogen una serie de derechos digitales de los trabajadores en línea con lo establecido en la LOPDGDD.
    • Se añade una nueva letra j) bis al TREBEP, con el mismo reconocimiento de los derechos digitales antes citados.

En suma, es una mera muestra de algunas de las cuestiones clave (no están ni muchos menos todas) de la regulación de la LOPDGDD que complementa (no lo olviden) lo establecido en el RGPD. Una vez que la citada Ley está publicada en el BOE y plenamente en vigor, aunque sea unos meses después de la plena aplicabilidad del RGPD y tras una larga tramitación parlamentaria en el Congreso de los Diputados (pues en el Senado la tramitación ha sido expeditiva y sin aceptarse ni una sola enmienda), deberá objeto de un estudio más sosegado y completo. Algo que habrá de hacerse con tiempo. Valgan las líneas anteriores como un mero aperitivo para situar al lector sobre este nuevo marco

Anuncios

PROTECCIÓN DE DATOS Y DERECHOS DIGITALES

 

 

 DIGITAL RIGHTS

 

“Hay que ser cauteloso y no apostar demasiado por la viabilidad de este estado de bienestar paralelo, digital y privatizado”

(Evgeny Morozov, Capitalismo Big Tech, ¿Welfare o neofeudalismo digital?, Enclave, 2018, p. 19)

Tras casi un año de tramitación en el Congreso de los Diputados, el (rebautizado) proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales ha sido aprobado por el Pleno de la Cámara el pasado 18 de octubre. Va tomando cuerpo definitivo lo que será, con toda seguridad, la tercera Ley Orgánica de Protección de Datos, esta vez con el añadido de sumarle los derechos digitales. La aprobación ha sido –algo a celebrar- por consenso de todas las fuerzas políticas presentes en el hemiciclo. Al menos una vez, aunque sea excepción, se ponen de acuerdo. Varios meses después de la plena aplicabilidad del Reglamento General de Protección de Datos, una ley orgánica inicialmente configurada como “vicarial” viene a desarrollar sus mandatos. Falta el trámite del Senado, donde algunos flecos aún abiertos podrían cerrarse, pero poco más (si es que se añade algo) se incorporará al texto que sale del Congreso.

El reciente debate en el Pleno del Congreso puso de acuerdo a tirios y troyanos, con algunas discrepancias, como el sistema de designación de la Dirección y Dirección Adjunta de la Agencia (AEPD), que vuelve a retroalimentar el consabido reparto de sillones, preludio del grosero escenario que vendrá de inmediato con la renovación del próximo CGPJ. Pelillos a la mar. Corría por el Pleno del Congreso un aire de celebración. El portavoz del PSOE echó mano de la épica para recordar a los cuatro vientos que España, una vez más, se ponía a la vanguardia de la protección de datos y de los derechos en Europa, esta vez digitales. Un cierto punto de exageración para justificar la inclusión de esos denominados derechos digitales que han pretendido hacer historia de una LOPD que iba ser la más plana de las hasta ahora aprobadas, pues el RGPD había secado prácticamente el margen de configuración normativa hasta dejarla paradójicamente (casi) en nada: Una devaluada “ley orgánica” transformada más bien en mero reglamento de desarrollo de una disposición normativa europea, renace revestida de derechos digitales. En verdad, como se ha dicho, el derecho a la protección de datos personales ha sido el primer derecho fundamental que se regula en sus trazos esenciales por la legislación europea (José Luís Rodríguez Álvarez). Y algo había que hacer para paliar ese efecto.

Artemi Rallo, Catedrático de Derecho Constitucional, aparte de parlamentario y ex director de la AEPD, sabía de lo que hablaba. Su particular cruzada por los derechos digitales tenía rastro en diferentes trabajos doctrinales, alguno de ellos publicado hace pocos meses. Baste con traer a colación su recomendable artículo “De la libertad informática a la constitucionalización de los derechos digitales (1978-2018)”, publicado en la Revista de Derecho Político núm. 100, pp. 639-669 (UNED, 2018). Allí, en el último epígrafe del trabajo citado, hace una encendida loa al reconocimiento de los nuevos derechos vinculados a la protección de datos personales que lleva a cabo el RGPD, expresa cómo determinados países europeos caminan ya en la dirección de reflejar en sus textos constitucionales o legales los denominados genéricamente como derechos digitales y, en fin, apuesta decididamente por una reforma constitucional que vaya incluso más allá de la portuguesa y reconozca expresamente un catálogo de derechos digitales, que el mismo autor cita expresamente.

No perdió tiempo el citado profesor, sus dotes persuasivas han tenido claro efecto, tanto el Ministerio “promotor” de la iniciativa como en la AEPD o entre los Grupos Parlamentarios, donde la concordia y el acuerdo –dato nada menor- ha sido el caldo de cultivo. Su bandera por reconocer los derechos digitales ha terminado encontrando acomodo en la propia LOPD, ya que esperar un reforma constitucional era como fiarlo todo a un imposible, más cuando el reflejo de tales derechos como fundamentales supondría pasar el calvario procedimental y temporal que se prevé para la reforma constitucional agravada, que prácticamente la transforma (más aún en el contexto político actual) en una suerte de cláusula pétrea “de facto”. Así, el nuevo título X de la futura LOPD se enuncia como “Garantía de los derechos digitales”, al que acompañan un buen número de disposiciones finales algunas de ellas conectadas con su contenido, para hacerlo aún más visible en ciertos sectores del ordenamiento jurídico.

No es este lugar apropiado para sesudos discursos académicos y menos aún para entrar en el diablo de los detalles. Tiempo habrá de hacerlo. Simplemente quiero recordar que donde la LOPD, siguiendo la estela del RGPD, recogía unos derechos vinculados con el derecho matriz a la protección de datos (artículos 15 a 22 RGPD), la LOPD, manteniendo obviamente estos, los ha multiplicado hasta incorporar diecinueve más, esta vez denominados “derechos digitales”, una vieja reivindicación de internautas y otros colectivos movilizados por las redes. Nada que objetar, siempre que sirvan para lo que han sido prometidos: para reforzar los derechos y libertades de la ciudadanía, pues los derechos digitales en sí mismos no son nada en esencia, sino que su fundamento es instrumental o “virtual”, dado que se ejercen en Internet, en las redes o por medio de los dispositivos móviles. Pero pueden causar (como ya lo están haciendo de hecho) destrozos incalculables sobre los derechos y libertades “materiales” de las personas. Nadie duda a estas alturas que los peligros de vulneración de los derechos fundamentales e incluso para el propio funcionamiento del Estado democrático, están también y sobre todo hoy en día en las redes. Neil Fergusson lo ha descrito de forma implacable en su reciente libro La plaza y la torre. Redes y poder (Debate, 2018): “La historia nos ha enseñado que confiar en las redes para dirigir el mundo es una forma segura de acabar en la anarquía”. O, como concluye su obra: “Las tecnologías van y vienen, pero nuestro mundo sigue siendo un mundo de plazas (redes) y torres (jerarquías)”.

Más discutible es que realmente la LOPD haya incorporado “garantías adicionales” a tales derechos digitales, salvo que por tal se enitenda que a través de su incorporación en una Ley Orgánica sirvan de puente para ser invocados en su fundamentalidad (densificando derechos matriz) ante los tribunales ordinarios o ante la jurisdicción constitucional vía de amparo. Algo que, en cierta medida, ya se venía haciendo, pues el legislador orgánico ha recogido en la LOPD algunos “derechos” (o dimensiones de tales) que ya estaban acogidos por la jurisprudencia del Tribunal Supremo o del Constitucional, en determinados casos. Hay derechos nuevos, unos vinculados estrechamente con la protección de datos (la doble regulación del derecho al olvido o del derecho a la portabilidad), que densificarán la regulación material de estos. Hay, también, otros que están vinculados con la libertad de información y de expresión (derecho de rectificación en Internet, que ha levantado cierta polvareda), también los hay que tienen carga programática innegable y que deberán plasmarse en compromisos presupuestarios (Derecho de acceso universal a Internet o Políticas de impulso de los derechos digitales), y, en fin, se prevén otros derechos que son nucleares pero que habrá que esperar desarrollos posteriores para ver en qué quedan realmente: tales como la protección de los menores en Internet, que se debe leer junto con la disposición adicional decimonovena) o la importante previsión del Derecho a la educación digital, uno de los aspectos claves de un sistema educativo del futuro que tiene ya en las competencias digitales y en el buen uso de las tecnologías de la información uno de los retos más grandes del futuro. También se recoge el derecho al testamente digital, cuya concreción se envía a norma reglamentaria.

Pero los que más ruido han levantado son, sin duda, los derechos digitales relativos a las relaciones entre Internet y trabajo. El derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (artículo 87) o en el uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89), reflejan en grandes términos algo que la jurisprudencia (matices aparte, que siempre son importantes en estos temas) ya estaba reconociendo. En la misma dirección va la protección de la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90). Por su parte cabe resaltar asimismo el difundido derecho a la desconexión en el ámbito laboral, que pone énfasis especial en garantizar que fuera del tiempo de trabajo se respete el tiempo de descanso y se acabe, en cierta medida, con el denominado síndrome de “fatiga informática” o el vivir permanentemente enganchado al móvil corporativo, algo imposible cuando este es también prolongación natural de nuestra vida social. Veremos en qué queda tan pío deseo, pues todo se fía a lo que se acuerde en la negociación colectiva o en la propia empresa. El horario industrial (la manida jornada laboral) ya forma parte de la historia de las relaciones laborales, como inteligentemente trató Judy Wajcman, en su imprescindible obra Esclavos del tiempo (Paidós, 2017), ya comentada en este mismo espacio. El problema en el fondo es otro, como bien estudió en su día el filósofo Byung-Chul Han en su espléndido libro sobre La sociedad del cansancio (Herder, 2012): hoy en día somos nosotros mismos los que nos (auto) explotamos, particularmente a través de una dependencia enfermiza de los dispositivos móviles y de las redes sociales. Y de este bucle no se sale tan fácil. Menos aún por imperativo legal.

Hace algún tiempo oí en una conferencia que Daniel Innerartiy se refería a que una profesora de Filosofía (cuyo nombre ahora no recuerdo) le solía decir que debemos evitar “ponerlo todo manchado de principios”. Un abuso de principios devalúa tan importante categoría y la puede hacer superflua. Está por ver si un desbordado ímpetu normativo por “poner todo manchado de derechos” (esta vez digitales) servirá para algo más que adornar las leyes o abrir la caja de Pandora de una siempre creativa jurisprudencia, cuando no dar pie a invocar vulneraciones de derechos por doquier basándonos en derechos-principio más que en derechos-regla. Veremos en breve tiempo la utilidad de tales derechos. Puestos a regular, hubiese sido oportuno también poner junto a los necesarios derechos algunos deberes digitales. El (mal) uso que se está haciendo de los dispositivos móviles en centros de trabajo, en las aulas o espacios educativos es algo que sorprende que haya pasado inadvertido a tan puntilloso legislador. El necesario autocontrol de los medios digitales es un imperativo al pleno ejercicio de los derechos de esa naturaleza, donde la responsabilidad individual, propia de una ciudadanía avanzada, será una de las claves de un futuro ciertamente sombrío en cuanto al pleno respeto de los derechos y libertades, siempre que este complejo mundo de la digitalización no acertemos a ordenarlo cabalmente.

Pero no carguemos más aún las tintas a una ya sobrecargada LOPD con contenidos “no orgánicos”, aunque también con otros que sí lo son. Ya tiene bastantes. El Título X de esa futura Ley, así como las disposiciones adicionales y finales que lo acompañan, son una novedad evidente. Y habrá que ver el juego que terminan dando.

Solo cabe esperar que esa inclusión tan celebrada de los derechos digitales en la LOPD no sea fruto de la ocurrencia. La regulación de los derechos digitales es un tema muy serio. Cabe preguntarse si se han medido bien y con rigor sus posibles efectos, directos o colaterales. Si era esto realmente lo que se necesitaba u otra cosa. Sabida es nuestra tendencia a la improvisación y nuestro descuido de la reflexión. Recientemente en Francia, al hilo de la reforma constitucional en marcha, se planteó la inclusión en la Constitución de un catálogo de derechos digitales. La propuesta fue también del Grupo Socialista, aunque venía con el aval de algunos Informes de expertos. La mayoría parlamentaria, a principios del mes de julio de 2018, consideró que la propuesta “no estaba lo suficientemente madura”, pues no se habían valorado suficientemente los efectos que tal inserción como derechos fundamentales podría producir sobre el conjunto del sistema jurídico. No se descartaba sin embargo su inserción posterior, pero se abrió un prudente tiempo de espera con el fin de analizar detenidamente las posibles consecuencias de toda índole que ello pudiera acarrear. Nuestro caso es distinto, pero solo aparentemente. La inserción de tal catálogo de derechos en una Ley Orgánica de Protección de Datos (al menos de aquellos derechos reservados a ese tipo de Ley) pretende dotar a tales derechos (lo cual es un fin legítimo) de mayores garantías y abrirles, así, la puerta de una mayor protección jurisdiccional, por conexión con el propio derecho a la protección de datos personales o con otros derechos fundamentales recogidos en la Constitución.

En cualquier caso, sea como fuere, se puede concluir que ya están (casi) con nosotros “los nuevos” derechos digitales. Que sirvan al menos para tomar conciencia del cambio cualitativo que la revolución tecnológica imprimirá en el estatuto convencional de los derechos y libertades de la ciudadanía. Como advirtió Timothy Gaston Ash, parafraseando a un fundador de una red social: “Internet no olvida nunca. Todo lo que compartes en línea es un tatuaje”. Por tanto, nada será como antaño. Los derechos digitales ayudarán algo en esos letales efectos. Y este primer paso, vendrá necesariamente acompañado de otros muchos más. Pero, al menos, en un futuro inmediato o mediato pensémoslo bien colectivamente antes de dar los siguientes pasos. Así, el margen de error será menor. Siempre es una medida prudente.

LA REGULACIÓN EUROPEA DE PROTECCIÓN DE DATOS: DE LA DIRECTIVA AL RGPD (*)

 

 

Regulacion-Europea-de-Proteccion-de-Datos-Personales-1-750x365

 

“No es de extrañar que Alphabet (Google) ya no hurgue en nuestros correos electrónicos personales para mostrarnos anuncios personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más información (…) Es decir, en la medida en que el entorno normativo se vuelva más problemático y/o el mercado publicitario se desacelere (…) la compañía tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA), tanto a ciudadanos como a gobiernos”

(Evgeny Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave, 2018 pp. 23-24)

La derogación de la Directiva 95/46/CE y su sustitución por el RGPD Reglamento UE 2016/679) no es una operación normativa menor. El cambio de instrumento regulador obedece a razones de contexto y a la necesidad objetiva de regular esta materia en un Reglamento (UE) que, como es sabido, es una disposición normativa europea que tiene un alcance general, es obligatoria en todos sus elementos y directamente aplicable.

No cabe duda que, frente al fenómeno del acelerado proceso de revolución tecnológica y de digitalización, así como consecuencia de sus enormes impactos sobre los datos personales), la única solución viable es la regulación. El proceso de mercantilización de los datos al cual contribuimos nosotros mismos “sin quererlo” revelando enormes cantidades de información, implica que, tal como se ha dicho, nuestras vidas se están datificando.

Toda esa actividad intrusiva sobre datos convenientemente “cocinados” puede, sin duda, afectar (y de hecho afecta, aunque con consecuencias aún imprevisibles) a los derechos fundamentales de las personas físicas y ya no solo a la intimidad o a la privacidad, sino a la inmensa mayoría de aquellos derechos. Es bien cierto, no obstante, que la Administración Pública y las entidades de su sector público no tienen ni de lejos el comportamiento mercantilista que puedan mostrar determinadas grandes empresas tecnológicas, pero también lo es que pueden tratar (y de hecho tratan) gran cantidad de datos personales (un volumen considerable) que, en determinados contextos, pueden ser causa o provocar situaciones de riesgo evidente.

Asimismo, es también obvio que el sector público trata en no pocas ocasiones “categorías especiales de datos” (datos sensibles), por utilizar la terminología del Reglamento UE. Todo ello requiere por parte de los responsables y encargados del tratamiento en el sector público especial diligencia en tales procesos, pero en particular fomentar una cultura y actividad preventiva tanto en el diseño de los procesos de tratamiento como por defecto (esto es, de manera permanente, deberán analizar en cada caso y circunstancia la necesidad de tales tratamientos), aplicando todas las medidas técnicas y organizativas que estén a su alcance para salvaguardar los derechos fundamentales de las personas físicas (pues no otro es el objetivo central o la finalidad del RGPD).

Por consiguiente, la regulación que se ha llevado a cabo a través del Reglamento (UE) 2016/679 es particularmente importante por lo que afecta al sector público. Pero de inmediato cabe afirmar que, sin perjuicio de que se aplique también a lo que el Reglamento denomina “autoridades y organismos públicos”, no es menos cierto que el foco central de preocupación de esa disposición normativa de la Unión Europea es el riesgo que para la protección de los derechos fundamentales y, en especial, para la protección de datos de las personas físicas, se pueda producir como consecuencia del tratamiento masivo de datos, del cruce entre estos datos que tenga el objetivo de elaborar “perfiles” o de llevar a cabo observaciones masivas derivadas de esos datos. Y esto es algo que, también en principio, potencialmente, lo están llevando a cabo las grandes empresas tecnológicas y todas aquellas empresas que de una u otra forma participan en esos procesos de recogida, tratamiento y comercialización futura de tales datos. El RGPD establece una redefinición de la noción de dato personal y una noción de tratamiento amplia y exhaustiva (artículo 4).

La entrada en vigor del Reglamento (UE) 2016/679, como es sabido, se produjo a los veinte días de su publicación en el DOUE, pero su plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).

En los Considerandos 9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado el cambio de instrumento normativo. Entre los que caben citar los siguientes:

  • La aplicación de la Directiva 95/46/CE ha sido fragmentaria y desigual, mientras que los riesgos para la protección de datos, tal como se ha visto, son cada vez mayores. Y lo serán conforme el tiempo avance.
  • Se quiere garantizar un nivel uniforme y elevado de protección de datos personales, y que sea además equivalente en todos los Estados miembros. La aplicación de las normas de protección de datos se pretende que sea coherente y homogénea. La Directiva 95/46/CE no garantizaba eso y esa fue una de las causas por las que se impulsó ese profundo cambio de instrumento normativo.
  • La protección efectiva de los datos personales exige reforzar las obligaciones de quienes los tratan, reconocer poderes equivalentes para supervisar y garantizar su cumplimiento, así como que las infracciones se castiguen con sanciones equivalentes. El endurecimiento del régimen sancionador es uno de los presupuestos de apoyo de tal normativa, aunque se modula en su aplicación a las “autoridades y organismos públicos” en función de lo que determine la legislación de cada Estado miembro.
  • Hay base jurídica para esta regulación en el artículo 16. 2 del TFUE. Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
  • Era, por tanto, necesario regular esta materia por un Reglamento que proporcionara seguridad jurídica y transparencia.

El Consejo de Estado, en su dictamen 757/2017, de 26 de octubre de 2017, sintetizó en una serie de ideas-fuerza el recurso al instrumento normativo del Reglamento, norma obligatoria en todos sus elementos y directamente aplicable en todos los Estados miembros (artículo 288 TFUE), como medio necesario para llevar a cabo esa reducción de las divergencias normativas que se habían producido con la aplicación de la Directiva 95/46/CE.

Por qué se ha elegido el instrumento del Reglamento UE frente a la Directiva para regular la protección de datos: Ideas-fuerza del Dictamen 757/2017 del Consejo de Estado:

  • “Esa aplicabilidad directa de los Reglamentos exige su entrada en vigor y su aplicación sin necesidad de ninguna medida de incorporación al Derecho nacional”.
  • “Los Estados miembros están obligados (…) a no obstaculizar el efecto directo propio de los Reglamentos, siendo el ‘respeto escrupuloso de este deber’ una condición indispensable ‘para la aplicación simultánea y uniforme’ de las reglas contenidas en los Reglamentos de la Unión en el conjunto de esta.“
  • El Reglamento 2016/679 pasa así a ser la norma principal para la regulación de datos en la Unión Europea, directamente aplicable en todos los Estados miembros sin necesidad de normas internas de trasposición.”
  • “De esta forma, un derecho fundamental protegido por el artículo 18.4 de la Constitución española va a ser directa y principalmente regulado en una norma europea, con un papel únicamente de desarrollo o complemento de las normas nacionales.”
  • “Ello implica también un traslado parcial del canon constitucional de protección del derecho fundamental que, en cuanto se refiere a actividades regidas por el Derecho de la Unión, deberá regirse por la Carta de Derechos Fundamentales de la Unión Europea y por la interpretación que realice el Tribunal de Justicia de la Unión.”
  • La legislación nacional en materia de protección de datos, por tanto, debe necesariamente modificarse para adaptarla a este nuevo contexto normativo europeo antes de la entrada en vigor del Reglamento, que se producirá el 25 de mayo de 2018”.
  • Esa adaptación implica, por motivos de seguridad jurídica, la necesaria derogación de las normas nacionales que sean incompatibles con el nuevo Reglamento (y) llevar a cabo una segunda tarea de depuración del ordenamiento nacional, del que deben igualmente eliminarse cuantas disposiciones hayan devenido redundantes como consecuencia del efecto directo de aquél, en la medida en que puedan poner en cuestión esa aplicación directa del Reglamento”.
  • “En fin, la adaptación de la legislación nacional puede también exigir, en algunos casos puntuales, la adopción de nuevas disposiciones llamadas a completar o aclarar la regulación europea. La aplicabilidad directa del Reglamento no excluye, en efecto, esa labor puntual de complemento de la normativa de los Estados miembros”.
  • “Así lo hace el Reglamento general de protección de datos. Pese a su intensa vocación armonizadora, el Reglamento contiene el menos 56 remisiones de diverso alcance al Derecho de los Estados miembros, permitiendo a estos adaptar la regulación europea, en distintos casos, al contexto nacional, o fijar exenciones, derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos”.

Por consiguiente, el operador jurídico o técnico debe ser plenamente consciente de que, en este nuevo contexto normativo de protección de datos personales y a diferencia del marco normativo anterior (en el que la LOPD era la referencia determinante), deberá trabajar con dos herramientas normativas “en paralelo”: una de carácter principal, reforzada además por la primacía del Derecho de la Unión Europea frente al Derecho de los Estados miembros, como es el Reglamento (UE) 2016/679, mientras que la otra será la futura LOPD (actualmente en proceso de tramitación parlamentaria) que se limitará a “completar o aclarar” la regulación europea, así como a establecer determinadas excepciones solo cuando esté habilitada específicamente para ello por la normativa europea.

El resultado, como se dirá en su momento, es bien obvio: el Reglamento (UE) 2016/679 se convierte en la norma de cabecera en materia de protección de datos y la (futura) LOPD será una disposición normativa, por mucho que se califique de “orgánica”, de carácter complementario o de desarrollo. Es más, si la Ley Orgánica está llamada a desarrollar los derechos fundamentales y libertades públicas recogidos en la sección primera del capítulo segundo del título primero de la Constitución, en este caso el desarrollo de este derecho fundamental, con la base jurídica que le da el propio TFUE y la CDFUE, se ha llevado a cabo por el propio Reglamento UE y no por la LOPD, cuyo proyecto realiza un mero reenvío, al menos en lo que a las dimensiones del derecho a la protección de datos respecta, a lo establecido en la disposición normativa europea.

Ello no implica que la actualmente vigente LOPD (Ley Orgánica 15/1999, de 30 de diciembre), así como su Reglamento de desarrollo (Real Decreto 1720/2007, de 21 de diciembre), ya no sean normas vigentes, sino que una parte relevante de su contenido ha quedado afectado por la nueva regulación recogida en el RGPD y, por consiguiente, ya no resulta de aplicación, al tener primacía aplicativa la normativa recogida en el Reglamento (UE) 2016/679. Por ello urgía la aprobación de una nueva LOPD, aunque el legislador español ha estado poco atento a esa exigencia y el 25 de mayo de 2018, que ya está literalmente encima, no tendrá adaptada la normativa interna a las previsiones del nuevo marco normativo europeo. Y por ello también es necesaria la adaptación del Reglamento que la desarrolla (Real Decreto 1720/2007), algo que cabe presumir tardará bastante más tiempo.

La pereza una vez más de un legislador falto de reflejos tendrá consecuencias sobre la falta de seguridad jurídica y el incremento de la incertidumbre ante los cambios que se avecinan. La indolencia ha hecho mella en el funcionamiento de nuestras instituciones, que dormitan plácidamente como si nada cambiara en su entorno. Ni siquiera se dan por aludidas con un plazo tan largo como el que les dio el RGPD para la necesaria adecuación del marco normativo de protección de datos. Mientras tanto, para los operadores del sector público, responsables, funcionarios y resto de empleados públicos, se abre un escenario no exento de dificultades aplicativas en algunos casos, que habrá de sortearse como mejor se pueda. En todo caso, parece que en unos pocos meses estará aprobada la nueva LOPD, lo que al menos dotará de una mayor seguridad jurídica a determinadas actuaciones. Pero el trabajo que queda por hacer es mucho, aunque todos nos estemos despertando del plácido sueño como viene siendo habitual en el último minuto.       

(*) El presente texto es un fragmento, con algunas modificaciones para facilitar su lectura, del libro La aplicación del Reglamento (UE) de protección de datos a la Administración Pública: especial referencia a los entes locales, editado electrónicamente en abierto por el IVAP/HAEE (Oñati, 2018), en su página Web: http://www.ivap.euskadi.eus/r61-veds20me/es/s20aWar/novedadesJSP/s20ainicio.do?CgaIdioma=es. Puede consultarse, no obstante, el PDF del citado libro en el siguiente enlace: Aplicacioìn Reglamento(UE) DIG(3)

LA PROTECCIÓN DE DATOS EN LA REVOLUCIÓN TECNOLÓGICA

 

REVOLUCION TECNOLOGICA 2

 

“La era del algoritmo marca el momento en que la memoria técnica ha evolucionado para almacenar no solo nuestros datos, sino también algunos patrones del comportamiento más sofisticado, desde el gusto musical hasta nuestros grafos sociales. En muchos casos, ya nos estamos imaginando sincronizados con nuestras máquinas”.

(Ed Finn, La búsqueda del algoritmo. Imaginación en la era de la informática, Alpha Decay, p. 336)

 

No parece exagerado bajo ningún punto de vista hablar de que la digitalización acelerada de la sociedad contemporánea nos ha conducido irremediablemente a una suerte de panóptico digital. El filósofo Byung-Chul Han trató en diferentes obras esa noción, concepto que, importado de Bentham, construye precisamente en uno de sus primeros trabajos traducidos al castellano (La sociedad de la transparencia, Herder, 2013). En alguna obra posterior este mismo autor llegó incluso a hablar de la obsolescencia del concepto de protección de datos, algo que vinculaba con la exposición en la red de todo tipo de datos e informaciones sobre nosotros mismos. Y concluía: “Este descontrol representa una crisis de libertad que se ha de tomar en serio” (Psicopolítica, Herder, 2014).

La necesidad objetiva de protección de los derechos fundamentales de las personas físicas en un mundo cada vez más digitalizado y en el que el “algoritmo” se ha convertido en nuestro inseparable compañero, hace imprescindible la regulación que lleva a cabo el RGPD; una normativa hay que entenderla precisamente como medio de salvaguardar una protección suficiente de los datos personales con el objetivo último de que, efectivamente, nuestra libertad no se vea menoscabada, aunque amenazada lo está y mucho.

Otro filósofo, como es Paul Virilio, hace algunos años dio probablemente en la diana: “Las tecnologías no son otra cosa más que prótesis y pensar la libertad con respecto a las prótesis resulta algo absolutamente nuevo” (La Administración del miedo, Pasos Perdidos, 2012). Sin embargo, como ya anticipaba este mismo autor, la velocidad de los hechos ha desbordado al Derecho, más aún en este complejo campo de la digitalización, puesto que “el derecho del más rápido es el origen del derecho del más fuerte”. Y es también en esta clave en la que se debe interpretar el alcance del RGPD y el propio espíritu o sentido que lo anima.

Si bien la normativa europea llega probablemente tarde, al menos intenta hacer frente a todo ese conjunto imprevisible de riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Pero ahora interesa destacar en qué medida todo ello afecta o afectará a la Administración Pública y a los entes de su sector público. A las personas físicas sin duda que lo hará. En efecto, aunque esa mirada deba ser predominante, no es menos cierto que si se prescinde del eje central en el que se basa el RGPD (la protección de los derechos fundamentales y libertades públicas de la ciudadanía), el sector público no cubrirá cabalmente las expectativas que la nueva regulación tiene puestas en su aplicación. Todos esos “riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas” (artículo 24.1 RGPD) irán inevitablemente siendo cada vez mayores conforme la revolución tecnológica avance de forma inexorable.

Comienza a emerger, en los ámbitos profesionales y se traslada sin duda a la Administración Pública, una necesidad imperiosa de controlar los datos. Como en su día resaltaron Mayer-Schönberger y Cukier (Big Data. La revolución de los datos masivos. Turner, 2013), se torna imprescindible que las personas incrementen las medidas de autocontrol sobre sus propios datos, algo no precisamente fácil en una sociedad completamente interconectada.

Pero eso solo es una parte del problema. El desarrollo de la inteligencia artificial en las próximas décadas abre incógnitas enormes. Jerry Kaplan en un sugerente ensayo (La inteligencia artificial. Lo que todo el mundo debe saber, Tell, 2017), plantea un buen número de preguntas sobre diferentes ámbitos hasta cierto punto inquietantes. La tensión entre humanismo y transhumanismo parece palparse. Como ha expuesto Luc Ferry, estamos en pleno proceso de superación del “ideal terapéutico” que tenía como objeto curar o reparar, y vamos así camino del “ideal de aumentar o perfeccionar”. Y en ello, como afirma también este mismo autor (La revolución transhumanista, Alianza Editorial, 2017), juega un papel central el acrónimo NBIC (nanotecnología/ biotecnología/informática-Big Data/Conocimiento aplicado a la Inteligencia Artificial). Todo ello abre, en efecto, un manejo múltiple y cruzado de datos, pero especialmente un horizonte de problemas éticos de primera magnitud, que en estos momentos no pueden ser tratados. Pero los riesgos están presentes, siendo cada vez mayores, y el RGPD los recuerda una y otra vez con su énfasis especial en el sistema preventivo o enfoque de riesgos.

Lo cierto es que se ha inaugurado con fuerza lo que puede calificarse como un largo período de revolución tecnológica en la que la digitalización (y el dato, como núcleo) está (y estará) en el centro de todo este proceso. El modelo se ha ido desarrollando y asentando paulatinamente, tomando como apoyo fuerte (algo que será perecedero) la oferta por las grandes compañias tecnológicas de “servicios gratuitos”, a cuenta, tal como se ha dicho, de entregarles o hacer jirones nuestra privacidad. A partir de esos presupuestos, la práctica totalidad de la humanidad digitalizada ha “ofrecido” sus datos (y, por tanto, sus preferencias, su vida e, incluso, sus expectativas) a tales compañías, que comercializan sin rubor ni límite alguno (al menos hasta ahora) con tales datos. La “mediación algorítmica”, como ya advirtió tempranamente Evgeny Morozov, tiene sus peligros (La locura del solucionismo tecnológico, Katz, 2013).

Pero tales peligros, como también resalta el propio RGPD tanto en sus Considerandos como en el articulado, aparte de ser inciertos, todo el mundo es plenamente consciente (o al menos así se presume)  que irán creciendo cuantitativa y cualitativamente con el paso del tiempo. Y para ello la Administración Pública debe prepararse convenientemente, tanto dotándose de medios “técnicos y organizativos” adecuados para hacer frente a tales escenarios de incertidumbre llenos de potenciales peligros, como especialmente en invertir en la construcción de ese modelo de gestión de protección de datos basado en el enfoque de riesgos. No es una cuestión menor, tampoco incidental o de cumplimiento normativo, es sencillamente existencial.

Y para ello tal vez sea oportuno llevar a cabo unas sucintas reflexiones sobre prospectiva. Si examinamos, por ejemplo, algunos estudios de prospectiva que tienen por objeto el impacto de la revolución tecnológica sobre el empleo tal vez nos aporten  aproximaciones que puedan tener interés al objeto de estas líneas. Hay coincidencia en todos estos estudios que la revolución tecnológica hoy en día en marcha tendrá tres grandes oleadas o etapas. A saber.

La primera oleada es la “digitalización” propiamente dicha. Es una etapa en la cual estamos hoy en día inmersos. También las Administraciones Públicas, que deben cumplir, entre otras cosas, las exigencias de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común de las administraciones públicas. La segunda oleda es la de “automatización”, y que se desarrollará en torno a 2025, momento en el que las máquinas llevarán a cabo una parte importante de las tareas y en el que habrá que estar vigilantes para evitar que esos cambios tecnológicos de magnitudes considerables puedan afectar a los derechos y libertades de las personas físicas en el tratamiento de sus datos personales. En esta fase, encontrarán pleno sentido muchas de las previsiones recogidas en el RGPD, especialmente aquellas dirigidas a “la protección desde el diseño y por defecto”, así como, en su caso, la evaluación de impacto y la consulta previa. Para ese momento las Administraciones Públicas deberían tener plenamente implantado y a pleno rendimiento el sistema institucional y de gestión de protección de datos personales que exige el RGPD. Ello garantizaría que las afectaciones pudieran ser menores o, cuando menos, controladas, siempre que ello sea posible.

Y la tercera oleada, sin duda la más crítica, en la que las incertidumbres se multiplicarán, es la de la aplicación de la Inteligencia Artificial al ámbito de las Administraciones Públicas y en lo que respecta también a la protección de datos personales. Se estima que, temporalmente, esta etapa se puede producir en torno a los años 2030-2035 (al menos así lo confirman los diferentes estudios de prospectiva: ver, por ejemplo: PwC, Will robots really steal our jobs? An international analysis of the potencial long term impact of automation, 2017; o 50 Estrategias para 2050, Fundación Telefónica/Prospektiker), donde los cambios cualitativos pueden ser de una dimensión desconocida hasta entonces. Veremos si el marco normativo diseñado en el RGPD es suficiente para enfrentarse a un reto de tales características, que impregnará sin duda todo o gran parte del actuar de las Administraciones Públicas como prestadoras de servicios y recopiladoras de datos en masa, que en no pocos casos ya los harán las maquinas “inteligentes” y no las personas (servidores públicos).

Sin duda la revolución tecnológica se caracteriza por la importancia que los datos adquieren en la propia economía. Se ha dicho así que los datos son el petróleo de la economía digital, pero eso no es verdad, pues -tal como afirma Franklin Foer- “los datos son infinitamente renovables, no son finitos como el petróleo” (Un mundo sin ideas, Paidós, 2017). La amenaza de los datos a la intimidad y al resto de derechos y libertades es, hoy en día, obvia. Uno de los principales asesores de una las grandes empresas monopolísticas de Internet, Eric Schmidt, lo reconocía  con toda crudeza: Sabemos dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás pensando”.

Los datos empujarán el crecimiento económico, no cabe dudar de ello. Pero también, dependiendo de su uso, son un desafío real y tangible a la privacidad, aunque ya hay quien dude que en la era de Internet y de las redes sociales tal derecho a la intimidad tenga vigor alguno. La solución, como apunta Luc Ferry en su recomendable obra citada, pasa inevitablemente por la regulación. Habrá que seguir y persistir en esa línea.

Por mucho que se empeñen los diletantes y resistentes, especies que abundan precisamente en el ecosistema público, en los próximos años la revolución tecnológica transformará en viejas muchas de las prácticas y formas de actuar que están insertas en el funcionamiento cotidiano de las Administraciones Públicas, también (aunque no solo) en lo que afectan a la protección de datos personales. 

Pero, como se viene insistiendo, ello requerirá un cambio cultural y organizativo de magnitudes considerables, si bien hoy por hoy nada de esto parece advertirse en el funcionamiento de nuestras adormecidas y tradicionales organizaciones públicas, sino más bien lo contrario (la regla es, en efecto, la quietud y el funcionamiento estandarizado).

Por tanto, los efectos más profundos de la revolución tecnológica sobre la Administración Pública (así como sobre el ámbito empresarial y económico o sobre el empleo), también sobre la protección de datos personales, vendrán de la mano del binomio robotización/Inteligencia artificial, ambos términos complementarios o indisolublemente unidos. Una vez más cabe recurrir a las palabras de Luc Ferry: la nanotecnología, la biotecnología, la informática de Big Data y el Conocimiento vinculado a la Inteligencia Artificial, “van a generar más cambios en los próximos cuarenta años que en los cuatro mil anteriores”.

Y esos profundos cambios abrirán un sinfín de retos, pero también se inaugurará un tiempo de tensiones extraordinarias. El transhumanismo radical produce vértigo. Realmente esa pretendida simbiosis entre el hombre y la máquina solo conduce al “posthumanismo” o al “antihumanismo”. Ciertamente, si atendemos al juicio fundado de dos científicos consagrados del campo de la IA, López de Manteras Badía  y Meseguer González (Inteligencia Artificial, Catarata, 2017), ese horizonte de fusión entre “hombre y máquina” está aún muy lejano, de momento hay que apostar por la complementariedad y no por la sustitución. La IA débil o especializada (la que realiza tareas  que requieren inteligencia) ha tenido un fuerte desarrollo, mientras que la IA fuerte o general (la que permite replicar la inteligencia humana mediante máquinas) está lejos de alcanzarse. La explicación, a juicio de estos autores, es muy clara, pues consiste en la dificultad de dotar a las máquinas de conocimientos de sentido común. Aún así, los riesgos están allí, por lo que todo este mundo abre un amplio abanico de problemas éticos de no fácil solución y que, más temprano que tarde, habrá que afrontar.

Pues bien, todo esto por fuerza (o por la naturaleza de las cosas) terminará afectando al sector público, además de forma profunda e inevitable. Y asimismo impactará sobre la protección de datos personales, que estará en el centro del problema. Pues no cabe olvidar que esta revolución tecnológica, como todas revoluciones industriales anteriores, comportará también una suerte de destrucción creativa, en términos del insigne economista Schumpeter (Capitalismo, socialismo y democracia, vol. I., Página Indómita, 2015). Lo relevante es que ese proceso de destrucción creativa –como sancionó Schumpeter- es la clave del capitalismo y conlleva un fenómeno de “destrucción ininterrumpida de lo antiguo y una creación continua de elementos nuevos”. Ambos momentos se solapan, conviven en falsa armonía y uno de ellos (el antiguo) se va desmoronando frente a la emergencia del otro (el nuevo). Esta vez, no obstante, el proceso, aunque desigual, puede ser mucho más rápido.

En ese proceso de “destrucción creativa” que ya está llamando a nuestra puerta, el problema que tiene la Administración Pública para llevar a cabo esos ajustes tan drásticos que el nuevo escenario tecnológico anuncia, también en el ámbito de protección de datos personales, radica principalmente en su enorme rigidez estructural y su anquilosamiento normativo. Pero este último elemento, el anquilosamiento normativo, al menos por lo que respecta a la protección de datos personales, ha sido removido por el “legislador europeo”: la plena efectividad del RGPD abre un sinfín de retos aplicativos a las Administraciones Públicas a los que deben enfrentarse de modo inevitable cuanto antes mejor, puesto que la revolución tecnológica alterará la esencia de las cosas y en todo este proceso, la proteccion de datos personales dejará de estar en la perfieria de las políticas públicas para situarse en el epicentro de muchas de ellas. Algo que el paso del tiempo irá confirmando.

(*) Este trabajo es un resumen del Epílogo al documento La aplicación del RGPD a la Administración Pública, que será editado en abierto por el IVAP/HAEE en próximas semanas. Asimismo, una versión de este trabajo se recoge también como Epílogo a la obra colectiva coordinada por Concepción Campos Acuña, Aplicación práctica y adaptación de la protección de datos en el ámbito local. Novedades tras el Reglamento Europeo, que se publicará por la Editorial Wolters Kluver próximamente.

 

DOCUMENTACIÓN ADICIONAL: Asimismo, puede consultarse la reciente edición del Manual-Guia sobre impactos del Reglamento General de Protección de Datos en las entidades locales, editado en abierto por la FMC-ACM en versiones en catalán y castellano (esta última difundida el 3 de mayo de 2018). Ver: http://www.fmc.cat/novetats-ficha.asp?id=25050&id2=1

“25 MAYO: COMIENZA LA CUENTA ATRÁS” (LÍNEAS FUERZA DEL REGLAMENTO (UE) DE PROTECCIÓN DE DATOS)

 

 data protection

“No es de extrañar que Alphabet (Google) ya no hurgue en nuestros correos electrónicos personales para mostrarnos anuncios personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más información (…) Es decir, en la medida en que el entorno normativo se vuelva más problemático y/o el mercado publicitario se desacelere (…) la compañía tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA), tanto a ciudadanos como a gobiernos”

(Evgeny Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave, 2018 pp. 23-24)

¿Por qué una nueva regulación europea?

La necesidad objetiva de la nueva regulación europea en materia de protección de datos de carácter personal surge del propio contexto tecnológico y de su evolución en las dos últimas décadas. En efecto, en los años transcurridos desde 1995 (fecha de aprobación de la Directiva) a 2016 (fecha de entrada en vigor del Reglamento) la digitalización y la revolución tecnológica, así como la globalización de los propios datos, ha generando nuevos e importantes retos para la protección de los datos personales y, en particular, para los derechos y libertades de los ciudadanos. Y nada sabemos con certeza, aunque lo intuyamos, sobre qué pasará en un futuro mediato. Innumerables incógnitas, incertidumbres y no menos perplejidades rodean el desarrollo de la automatización, de la inteligencia artificial y del Big Data (por no hablar de los ordenadores computacionales, que anuncian el fin de la privacidad) a escala aún desconocida.

La aceleración de los procesos tecnológicos y su impacto sobre los datos personales es, hoy en día, una realidad incontestable, que irá creciendo cada vez más, por lo que está nueva regulación no solo se dicta para afrontar los retos del presente, sino en especial los grandes desafíos del futuro en materia de protección de datos y de garantía de los derechos y libertades de los ciudadanos, ámbitos que en estos momentos está siendo objeto de una erosión nunca conocida hasta la fecha. El riesgo que se corre es que llegue tarde o que pronto se quede corta, sobre todo por las dificultades de adaptación que el marco regulador europeo presenta.

La manipulación de datos personales con fines absolutamente espurios (recuérdese el reciente caso Cambridge Analytica) afecta principalmente a las grandes compañías tecnológicas, pero advierte claramente de una tendencia ya fuertemente arraigada de mal uso de los datos personales por las grandes compañías tecnológicas (en régimen de cuasi monopolio global) y empresas de intermediación. En este acelerado contexto, el papel del Sector Público y, particularmente, de la Administración Local, adquiere un rol de gran importancia para preservar los derechos y libertades de la ciudadanía. La protección de los datos personales que maneja cotidianamente cualquier nivel de gobierno se transforma en un reto de alto valor democrático.

La idea está perfectamente expresada en el Considerando 6 del RGPD:

“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales”

 

¿Cuáles son los motivos por los que se ha derogado la Directiva de 1995 y se ha aprobado el Reglamento de 2016?

La derogación de la Directiva 96/45/CE y su sustitución por el RGPD no es una operación normativa menor. El cambio de instrumento regulador obedece a razones de contexto y a la necesidad objetiva de establecer un Reglamento que, como es sabido, tiene un alcance general, es obligatorio en todos sus elementos y directamente aplicable.

Su entrada en vigor se produjo a los veinte días de su publicación en el DOUE, pero su plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).

En los Considerandos 9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado el cambio de instrumento normativo. Entre los que caben citar los siguientes:

  • La aplicación de la Directiva 1995 ha sido fragmentaria y desigual, mientras que los riesgos para la protección de datos son cada vez mayores.
  • Se quiere garantizar un nivel uniforme y elevado de protección de datos personales, y que sea además equivalente en todos los Estados miembros. La aplicación de las normas de protección de datos se pretende que sea coherente y homogénea.
  • La protección efectiva de los datos personales exige reforzar las obligaciones de quienes los tratan, reconocer poderes equivalentes para supervisar y garantizar su cumplimiento, así como que las infracciones se castiguen con sanciones equivalentes.
  • Hay base jurídica para esta regulación en el artículo 16. 2 del TFUE. Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
  • Era, por tanto, necesario regular esta materia por un Reglamento que proporcionara seguridad jurídica y transparencia.

 

El nuevo marco normativo del RGPD como cambio de paradigma

Este punto requiere un desarrollo algo más detenido. En efecto, la nota distintiva del actual marco normativo (RGPD-futura LOPD) frente al vigente hasta ahora (Directiva-LOPD) reside en transitar desde un modelo reactivo a un modelo proactivo o centrado en el “enfoque de riesgos”.

En cierta medida se puede afirmar que se traslada a la protección de datos de carácter personal (aunque con algunas limitaciones, según se verá) la política de compliance, en la que la dimensión preventiva o anticipadora es una de las claves de bóveda del modelo que se pretende construir.

Como se ha venido reconociendo, también por la AEPD, en verdad se ha producido un auténtico cambio de paradigma en el modo y manera de gestionar los datos personales con innegables consecuencias.

En esta lógica encuentran pleno sentido diferentes instrumentos o instituciones que se articulan dentro de lo que se podría denominar como un nuevo modelo institucional y de gestión de las protección de datos en las organizaciones públicas, que descansa principalmente sobre los siguientes ejes de nueva configuración:

  1. Nuevo rol o nuevo marco de responsabilidades del responsable y del encargado de tratamiento de datos
  2. Registro de las actividades de tratamiento.
  3. Obligaciones específicas vinculadas con la seguridad (breach data)
  4. Análisis de Riesgos en el tratamiento.
  5. Evaluación de impacto de las operaciones de tratamiento.
  6. Implantación de la figura del Delegado de Protección de Datos (preceptiva en las administraciones públicas)
  7. Códigos de conducta y mecanismos de certificación
  8. Reforzamiento del papel de las autoridades de control (adpCAT/AEPD/AVPD)

No acaban aquí los elementos de esa nueva arquitectura del modelo institucional y de gestión de protección de datos, pero tales aspectos se abordarán puntualmente en otros pasajes de esta Guía.

En cualquier caso, ese nuevo enfoque tiene ya algunos impactos evidentes. Por ejemplo:

  • Decae la obligación de notificar a las autoridades de control la existencia de ficheros automatizados.
  • Pierde sentido, al menos con carácter general (con la posible salvedad del ENS), la diferenciación entre niveles de protección alto, medio y bajo, establecidos en la normativa en vigor.

IDEA-FUERZA:

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño”

(AEPD, Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD)

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2018/notas_prensa/news/2018_02_28-ides-idphp.php

NOTA: El presente texto es un extracto de un Manual-Guía sobre el impacto del RGPD en las Administraciones Locales, que se editará en las próximas fechas.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ORGANIZACIONES PÚBLICAS [1]

Do-I-need-a-Data-Protection-Officer

 

“Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)

“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)

(Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)

 

Introducción

Faltan poco más de dos meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras tanto, en paralelo, la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea, sigue su curso. Aunque todo apunta que no podrá estar aprobada esta Ley antes del 25 de mayo del presente año, pues cuando esto se escribe no han sido aceptadas las enmiendas a la totalidad en el debate al efecto que se ha realizado en el Congreso de los Diputados y aún se está en el trámite de presentación de enmiendas (con ampliación reiterada del plazo para presentar las mismas)[2], quedando pendiente su tramitación y aprobación en esta Cámara y la subsiguiente intervención del Senado (y, en su caso, el retorno otra vez a la Cámara baja). Poco tiempo para que vea la luz antes de la fecha indicada. Por tanto, el presente trabajo se centrará en la regulación del RGPD y hará alguna mención circunstancial al PLOPD, con la advertencia que la redacción final de la Ley que aprueben las Cortes Generales puede variar notablemente algunas partes de su contenido.

La importancia del RGPD no puede ser puesta en cuestión. Aunque posteriormente pondré de relieve cuáles son algunos de sus precedentes, cabe subrayar ahora que la revolución tecnológica, en la que ya se encuentra inmerso el mundo actual, se caracteriza por la trascendencia que tienen los datos, también –aunque no solo- en la propia economía. Se ha dicho, por ejemplo, que los datos son el petróleo de la economía digital, pero eso no es completamente cierto, pues –tal como afirma Franklin Foer, “los datos son infinitamente renovables, no son finitos como el petróleo”[3]. La amenaza a la intimidad por el (mal) uso de los datos es obvia, por tanto. Para entender esa amenaza se pueden traer a colación muchas reflexiones, cada día más abundantes dentro del género de ensayo, pero sin entrar en una larga lista de citas sí que puede ser oportuno en estos momentos recordar lo que dijo en su día uno de los principales asesores de una de las grandes empresas que ejercen el monopolio o cuasi monopolio de Internet. Eric Schmidt, reconocía con toda su crudeza lo siguiente: “Sabemos dónde estás. Sabemos dónde has estado. Podemos saber más o menos lo que estás pensando”. El riesgo, por tanto, para la intimidad de las personas que representa esa acumulación de datos y ese cruce casi infinito de los mismos está meridianamente claro. Timothy Garton Ash, en un interesante libro, también nos lo ha recordado recientemente: “Ahora todos somos palomas como transmisor”. Y tambien nos recuerda unas palabras del experto en seguridad, Bruce Schneider, que se jactaba de que “la vigilancia es el modelo de negocio de Internet”, y concluía del siguiente modo: “”Nosotros construimos sistemas que espían a las personas a cambio de servicios”[4]. Por tanto, queda meridianamente claro que el desafío real y tangible a la privacidad es ya un hecho, que se irá acrecentado con el paso del tiempo. Y las respuestas ante esta amenaza son complejas, pero cualquier solución al problema –como ha recordado recientemente el filósofo Luc Ferry en su última y recomendable obra[5]– pasa inevitablemente por la regulación. No hay otra vía. Por eso es de gran trascendencia el alcance que tiene la aprobación del RGPD, que representa un cambio cualitativo en el modo y manera de regular este ámbito de la protección de datos de carácter personal por las instituciones de la Unión Europea, como se verá de inmediato.

No cabe duda, como se ha reiterado hasta la saciedad, que el RGPD supone un auténtico cambio de paradigma en la configuración normativa del problema. Las causas de esta regulación se analizan después, pero están indisolublemente unidas, tal como decía, al desarrollo de la revolución tecnológica, pero también a esa revolución social que ha implicado el desarrollo de Internet y en especial de las redes sociales, aparte de la omnipresencia del buscador de Google, como se ha denominado. Todo ello ha conducido a que “las personas hayan cambiado radicalmente sus hábitos pasando de ser muy celosas de sus datos en los 90 hasta el escenario actual en el que se facilitan abiertamente”. Pero el cambio real de paradigma se advierte, tal como se dirá, en una suerte de “responsabilidad proactiva”, que representa –como se ha dicho- “nuestra mayoría de edad en lo relativo a la protección de datos personales”, puesto que “el nuevo Reglamento deja en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento”[6]. El giro en el modelo es, ciertamente, radical; pues se asienta, tal como se verá, en una serie de herramientas de control interno que se ven reforzadas y de las que la figura del Delegado de Protección de Datos es una de las piezas clave, pues por parte de los responsables y encargos del tratamiento hay una obligación de adaptar una política de privacy by design y de privacy by default cada vez que se vayan a tratar datos personales.  Una figura que encontraba alguna referencia incidental en el considerando 49 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, así como en alguna otra práctica tanto de las instituciones europas como de algunos de los Estados miembros, pero aún así su encaje en el modelo final resultante puede considerarse como una de las más importantes novedades de la regulación actual.

En efecto, en relación con ese nuevo marco normativo hay una opinión común a la hora de resaltar que una de las novedades más relevantes que se incorporaron a ese RGPD fue sin duda la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo; o también denominado por sus siglas en inglés, DPO: Date Protector Officer). En efecto, ese cambio de paradigma que se intenta impulsar con el RGPD, y al que también haré referencia en páginas posteriores, no puede realizarse plenamente sin un papel activo y determinante de esta nueva figura que es el DPD, que debe velar por el cumplimiento de la normativa en materia de protección de datos entre otras muchas funciones. La política de compliance pide paso también en lo que a protección de datos respecta.

En este trabajo interesa particularmente poner el foco de atención en aquellas cuestiones que afectan al perfil de la figura y a su correcto encuadre en las organizaciones públicas, en especial –dado el foro en el que este trabajo se presenta- a los problemas que se pueden plantear en lo que afecta a su aplicación en las entidades locales. La figura, en cualquier caso, trasciende con mucho los contornos del sector público, para adentrarse con fuerza en el ámbito privado, particularmente empresarial, pero este enfoque no puede ser objeto de análisis en estos momentos. Nos ocupa, por tanto, el impacto de la figura en el sector público. A tal efecto, centraré la atención de modo prioritario en los siguientes puntos:

1) El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”).

2) Las funciones del DPD, tal como aparecen recogidas en el binomio RGPD-PLOPD.

3) La proyección orgánica que debe tener ese DPD en la estructura administrativa y qué problemas se plantean al respecto.

4) El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD en las Administraciones Públicas.

Y, por último,

5) Algunas referencias incidentales, que se recogen a lo largo del texto a las líneas básicas del régimen sancionador aplicable a los responsables y encargados de las Administraciones Públicas y de los organismos y entidades de Derecho Público vinculadas o dependientes de aquellas o en su caso adscritas (Consorcios), así como las que sean aplicable, con carácter general, a los responsables o encargados de las sociedades mercantiles de capital público.

En cualquier caso, lo que sigue no pasa de ser un primer estudio de un problema no exento de notable complejidad y plagado aún (dada su novedad y la impronta singular de la normativa en la que se encuadra) de innumerables incógnitas o dudas aplicativas. A algunas de estas dudas se les intentará dar una respuesta razonable en estas páginas, otras permanecerán abiertas y, en fin, ciertas interpretaciones que aquí de defienden deberán ser contrastadas por su aplicación futura. También veremos hasta qué punto la futura LOPD viene en nuestra ayuda y solventa o no ciertas cuestiones hoy en día abiertas. Por tanto, quedan aún muchas preguntas por responder. Y no pretendo, obviamente, dar solución a todas, sino abrir un camino de reflexión y debate sobre tan importante tema.

No obstante, con carácter previo, conviene llevar a cabo algunas reflexiones de naturaleza introductoria que nos enmarquen con carácter general el problema y, asimismo, nos sitúen en cuáles son las claves generales de por qué se ha aprobado por la Unión Europea esta normativa específica a través de una fuente del Derecho tan reforzada como es la de un Reglamento General de la Unión Europea (al ser obligatorio en todos sus elementos, tener aplicabilidad general y uniforme en todos los países y para todos los ciudadanos y entidades de la UE).

[1] El presente texto es la Ponencia que, sobre el mismo tema, ha sido remitida al Seminario de Actualización de Función Pública organizado por la Federació de Municipis de Catalunya, y que ha tenido lugar el día 20 de marzo en el IDEC-UPF, en Barcelona. Agradezco al Secretario General de la FMC, Juan Ignacio Soto, así como a la Coordinadora del Seminario, Carme Noguer, la amabilidad que han tenido al permitir la difusión de esta Ponencia a través de otros medios.

[2] Véase: Diario de Sesiones. Congreso de los Diputados, núm. 104, 15-02-2018, pp. 28 y ss.

[3] F. Foer, Un mundo sin ideas. Las amenazas de las grandes empresas a nuestra identidad, Paidós, 2017.

[4] Y Schneider, como nos recuerda Timothy Garton Ash, “nos compara con arrendatarios agrícolas en las grandes fincas de Google o Facebook. La renta que pagamos –concluye- son nuestros datos personales” (Libertad de palabra. Diez principios para un mundo interconectado, Tusquets, 2017, pp. 387-388).

[5] L. Ferry, La revolución transhumanista. Cómo la tecnomedicina y la Uberización del mundo van a transformar nuestras vidas, Alianza Editorial, 2017.

[6] J. L. Rivas López y V. Salgado Seguín, “Hacia la seguridad de los datos después del Reglamento Europeo”. Se puede consultar en abierto en Internet

LEER O CONSULTAR ARTÍCULO ÍNTEGRO: ARTICULO-DPD-4

EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS

 

“Los datos son el eje de todo y supondrán un desafío para nuestras instituciones e incluso para nuestro sentido de la identidad” (p. 233)

“No existen métodos infalibles que nos preparen plenamente para el mundo de los datos masivos; tendremos que establecer principios nuevos para nuestro autogobierno. Tenemos que proteger la privacidad desplazando la responsabilidad de los individuos hacia los usuarios de datos: es decir, que rindan cuentas por su uso. La sociedad debe diseñar salvaguardias para permitir el surgimiento de una nueva clase profesional de ‘algoritmistas’ que evalúen la analítica de datos masivos” (p. 236)

(Mayer-Schönberger, K. Cukier, Big Data. La revolución de los datos masivos. Turner, 2013)

Pretensión de esta entrada

Faltan poco más de cuatro meses (el 25 de mayo de 2018) para la plena aplicabilidad del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras tanto, en paralelo, acaba de comenzar la tramitación en el Congreso de los Diputados del Proyecto de Ley Orgánica de protección de datos de carácter personal (BOCG; Congreso de los Diputados, de 24 de noviembre, núm. 13-1; PLOPD, en lo sucesivo), que adapta (o, al menos, eso pretende) la Ley Orgánica anterior (15/1999, de 13 de diciembre) al nuevo marco normativo establecido en la Unión Europea.

Entre las novedades que se incorporaron en ese RGPD se prevé la obligación de que las autoridades u organismos públicos “designen” un delegado de protección de datos (DPD, en lo sucesivo). En esta entrada me interesa particularmente poner el foco de atención en tres cuestiones: 1) El estatuto de esa figura (lo que el RGPD y el PLOPD califican como “posición”); 2) La proyección orgánica que debería tener ese DPD en la estructura administrativa; y 3) El sistema de provisión y algunos detalles del régimen jurídico aplicable al DPD. Sin orillar, no obstante, otros temas que sugeriré al final de este post.

Enmarcando el problema

Resulta oportuno enmarcar la figura del DPD en los objetivos generales de la regulación europea. No es adjetivo que el legislador europeo haya optado esta vez por regular esta materia por Reglamento y no por Directiva, como antaño (deroga, así, la Directiva 95/46/CE). Sin entrar en otras consideraciones, el Reglamento UE deja clara la necesidad de “garantizar un nivel uniforme y elevado de protección de las personas físicas”, expone que el “tratamiento de dichos datos debe ser equivalente en todos los Estados miembros” y se pretende que la aplicación de las normas en esta materia “sea coherente y homogénea” (10). Pero todo ello hay que ponerlo en conexión con la finalidad de la norma de que las personas físicas tengan un control de sus propios datos, así como con la necesidad de “reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”. Y todo ello por una razón de contexto muy obvia, que se expresa con carácter diáfano en el considerando 6 del Reglamento:

“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera signifi­cativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.

En efecto, una sociedad globalizada e interconectada de forma intensiva y extensiva abre unos escenarios nuevos a la protección de datos de las personas físicas, dejando añejas determinadas formas de regular esa materia y obligando a afrontar esos problemas con fórmulas nuevas. También por lo que afecta al tratamiento de esos datos en el sector público. En esta línea cabe incluir la regulación de la evaluación de impacto relativa a la protección de datos (artículo 35 RGPD), la creación de la figura del Delegado de Protección de Datos o, en fin, la incorporación de los códigos de conducta como medio de autorregulación para la correcta aplicación del Reglamento (artículos 40 y 41 RGPD), así como la creación de mecanismos de certificación. Se trata, en verdad, de articular sistemas que opten por una línea preventiva en aquellos ámbitos de alto riesgo para los derechos y libertades de las personas físicas, particularmente en aquellas entidades que llevan a cabo operaciones de tratamiento de datos a gran escala, algo que habitualmente las administraciones públicas y sus entidades del sector público realizan. Los datos en una sociedad digitalizada e instantánea no puede apenas detenerse una vez que estos circulan libremente. La seguridad de la información y de los datos es clave en el sector público. Identificar los riesgos y prevenir, así como garantizar los derechos de las personas físicas, son soluciones correctas. En esas coordenadas, aunque no exclusivamente, se debe entender la figura del DPD en las administraciones públicas.

Líneas-fuerza de la figura del Delegado de Protección de Datos

El considerando 97 del RGPD deja bien preciso que el DPD es una figura que “ayuda” (colaborador necesario lo podríamos denominar) al responsable o encargado de protección de datos en la aplicación efectiva del Reglamento, debiendo ser aquel “una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública” (con excepción del poder judicial). Es una suerte de “delegado de cumplimiento” del RGPD. La relación entre DPD y RGPD es completa.

Allí también se indica algo que no es menos importante en lo que afecta al estatuto jurídico del DPD, que no solo debe garantizarse su cobertura por persona con cualificación acreditada, sino además el propio Reglamento exige que a tal figura se le ha de garantizar un funcionamiento independiente, lo cual no es nada adjetivo, sino todo lo contrario:

“El nivel de conocimiento especializado necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente”

Por tanto, hay cuatro notas que el RGPD ha querido remarcar de la finalidad de la figura. A saber: a) Que el DPD es una figura de “ayuda” o de colaboración necesaria (por exigencia normativa) con el responsable o encargado de protección de datos en las funciones de cumplimiento del Reglamento; b) Que, en todo caso, si el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD debe acreditar “conocimientos especializados del Derecho y la práctica en materia de protección de datos” (por consiguiente, tales conocimientos se deberían acreditar en un procedimiento objetivo: el PLOPD (en línea con el RGPD) admite la certificación “entre otros medios” para acreditar tales exigencias; artículo 35; ver: Esquema AEPD-PDP); c) Que el PDP puede ser “un empleado” de la Administración Pública o se pueden contratar esos servicios con un profesional o empresa externo; y d) Que esa figura debe tener un estatuto jurídico que salvaguarde su independencia, lo cual incorpora un elemento existencial y diferencial a lo que sea el DPD en las administraciones públicas en relación con otros puestos orgánicos.

Estatuto jurídico del Delegado de Protección de Datos

Todas las administraciones y organismos públicos deben disponer de esta figura de modo preceptivo. La primera decisión que se ha de adoptar al respecto es si se opta por crear una o varias figuras en la estructura o por acudir a un contrato de servicios, aunque en esta segunda modalidad no parece muy apropiado (dada su naturaleza independiente) echar mano de un procedimiento de contratación directa sin licitación ni pliegos de condiciones.

Pero al margen de esa primera decisión, el RGPD establece los perfiles básicos de esa figura en el ámbito de las administraciones públicas. A saber:

  • El DPD, tal como ya se ha dicho, “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39” (37.5). Por tanto, se deberían acreditar conocimientos especializados, experiencia en la materia y capacidad (competencias efectivas) para desempeñar las funciones asignadas. En el sector público el DPD “debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización” y, entre sus cualidades personales, se deben incluir “la integridad y un nivel elevado de ética profesional” (Directrices sobre delegados de protección de datos 16/ES, WP 243 rev.01). Algo muy importante.
  • El RGPD le asigna al DPD unas funciones mínimas (artículo 39) que se proyectan, entre otros ámbitos, sobre la tarea de información y asesoramiento al responsable o encargado de la protección de datos; la supervisión de la normativa aplicable en la materia; ofrecer asesoramiento sobre la evaluación de impacto relativa a la protección de datos; cooperar con la autoridad de control; y, en fin, actuar como punto de contacto con la autoridad de control. El PLOPD incrementa esas funciones con la de actuar como órgano (unipersonal) de reclamación preliminar a la autoridad de control, lo que dota al puesto en el sector público de un inevitable perfil jurídico. De tales funciones se puede apreciar un perfil dual interno/externo, que singulariza su posición en la estructura, así como de un carácter peculiar adicional, sobre todo por ser punto de contacto con la autoridad de control. No tiene parangón en la estructura tradicional de puestos de trabajo en las administraciones públicas. Y así hay que entenderlo.
  • El responsable o encargado del tratamiento de datos personales garantizará que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos”. Por tanto, su participación debe ser efectiva, no puede ser orillado nunca en tales procesos de tratamiento de datos (artículo 38.1).
  • En consecuencia, en línea con lo anterior, la Administración Pública o el órgano (departamento o entidad) a la que se adscriba el DPD facilitará “los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados” (38.2). En suma, esa dotación de recursos debe ser asimismo efectiva y se le debe proveer (por parte de la Administración) de la formación continua oportuna que le permita ejercer sus funciones en un entorno de permanente cambio y transformación, como es el ámbito de las tecnologías y del tratamiento de datos. Cabría plantearse cuáles son las soluciones ante un obstruccionismo del responsable o encargado del tratamiento de datos: ¿podría acudir a la autoridad de control?; ¿qué mecanismos de reacción se prevén? En principio, hay una anomia legal en este punto
  • La nota determinante o existencial de su estatuto jurídico es, sin embargo, la de que se salvaguarde su posición de independencia frente al responsable o encargado de la protección de datos. En efecto, el artículo 38.3 RGPD concreta esa garantía de independencia en los siguientes términos: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”. Se debe preservar su autonomía funcional, por lo que debe quedar extramuros de la línea jerárquica de la organización, transformándose en una suerte de “autoridad independiente individual (o unipersonal)” pero inserta (lo cual es tremendamente singular) en el seno de la estructura administrativa (a la que “asesora”, “aconseja” o “alerta”; pero no debe formar parte de la estructura decisional, pues está exento de responsabilidad). Y, además, el RGPD blinda al titular del cargo frente a ceses discrecionales (al igual que en el modelo de autoridades independientes) y ante la aplicación del régimen sancionador por el ejercicio de sus funciones. Así se regula este blindaje: “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”. Si rinde cuentas al máximo nivel es normal que “su posición estructural” esté libre de cualquier dependencia. Estas notas son muy importantes, en efecto, para definir –como se hará inmediatamente- la posición estructural en la organización del DPD. El PLOPD lleva a cabo alguna precisión sobre este tema en su artículo 36.2, y al efecto expone: “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio”. En qué casos se puede sancionar y por quién, son dos preguntas que también cabe resolver.
  • Su dimensión “exógena” se advierte no solo en su papel de “interlocución” con la autoridad de control, sino además porque, según el artículo 38.4 del RGPD los interesados pueden ponerse en contacto con el DPD en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos (¿una suerte de Ombudsman interno en materia de protección de datos?). Esta función se ve acrecentada por lo establecido en el artículo 37 del PLOPD, que transforma ese órgano en una instancia preliminar de reclamaciones en materia de protección de datos antes de que se acuda a la autoridad de control, con el fin, no escondido, de servir de filtro a esta. Una actuación potestativa, pero menos: pues la autoridad de control tiene la obligación de enviarle cualquier tipo de reclamación que se haga per saltum (artículo 37.2 PLOPD), para su previa valoración.
  • Y, en fin, el DPD está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones (38.5 RGPD).

¿Qué nivel orgánico debería tener en la estructura el Delegado de Protección de Datos?

No cabe duda que el estatuto jurídico descrito a grandes rasgos condiciona una de las decisiones más relevantes a la hora de insertar la figura del DPD en la estructura organizativa. Tras la decisión de internalizar o externalizar la figura, la segunda más relevante desde el plano organizativo es dónde y cómo se inserta el DPD en la estructura de la Administración Pública; esto es, qué nivel orgánico y en qué posición queda en relación con el resto de órganos y unidades, especialmente en lo que tiene que ver con el responsable y encargado de tratamiento de los datos personales.

Pero hay otra decisión previa a la expuesta. Y tiene que ver sobre si se crea una sola figura o se multiplica esta en función de áreas, departamentos o entidades. El RGPD parece dejar abiertas las dos posibilidades, pero solo en apariencia. En su artículo 37.3 se expone lo siguiente: “Cuando el responsable o encargado del tratamiento sea una autoridad u organismo, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño”. No cabe duda que una entidad local de pequeño o mediano tamaño podría optar por la creación de una figura singular, pero un nivel de gobierno de cierta complejidad (por su estructura de áreas, departamental o de entidades vinculadas, dependientes o adscritas) parece razonable (según el espíritu del RGPD) que se incline por la implantación de delegados de protección de datos en cada ámbito previamente definido (algunas áreas o departamentos especialmente sensibles deberán disponer probablemente de varios delegados). Cabe preguntarse asimismo si el DPD podría tener personal a su servicio, tanto auxiliar como técnico. La respuesta debe ser afirmativa. El DPD es un nivel orgánico ad hoc, pero también un puesto de trabajo singular.

Las decisiones organizativas que ya vienen predeterminas por el RGPD, aparte de la anteriormente señalada, son las siguientes:

  • El DPD, si está internalizado, forma parte de “la plantilla” del responsable o del encargado del tratamiento (hay que entender, por tanto, de la organización o estructura de la Administración Pública o entidad del sector público correspondiente). La opción alternativa, como se ha visto, es externalizar a través de un contrato de servicios; pero habría que dejar muy claro en los pliegos el carácter y naturaleza de tales servicios, el estatuto singular, así como sus dimensiones y funciones.
  • La figura del DPD se caracteriza, tal como se ha visto, por su peculiar estatuto, cuya nota dominante es la independencia funcional. Por tanto, esa unidad orgánica o ese puesto de trabajo no puede estar incorporado en la línea jerárquica de ninguna estructura: debe crearse una estructura organizativa ad hoc, singularizada por su no dependencia orgánica ni funcional, pero adscrita desde el punto de vista presupuestario a un departamento o área de actuación. La AEPD considera que debe adscribirse a órganos o unidades de naturaleza “horizontal”, pero eso no es lo determinante (cuestión formal), sino que el aspecto crucial es que el diseño organizativo por el que se adopte salvaguarde plenamente la independencia en su funcionamiento (cuestión material).
  • En cualquier caso, el DPD no es una pieza aislada del modelo organizativo, sino que se debe incardinar en el modelo de seguridad de la información de cada entidad pública y formar parte de los órganos que se creen con esa finalidad (con las singularidades que presenta; esto es, como “asesor”, pero no como miembro de pleno derecho). Su inserción en el sistema de seguridad se ha hecho, por ejemplo, la Orden JUS/1293/2107, de 14 de diciembre, sobre política de seguridad de la información en el ámbito de la Administración electrónica (BOE 28 diciembre 2017), o se está trabajando en esa línea en el Ayuntamiento de Sant Feliú de Llobregat, articulando el ENS con la protección de datos en todo lo que afecta a análisis de riesgos, incorporando esa figura a la Comisión de Seguridad de la citada entidad.
  • Lo habitual es que en un determinado ámbito de actuación (departamentos, áreas ejecutivas o entidades del sector público, salvo que estas se agrupen) haya un DPD para cada una de ellas, pero la complejidad de determinados departamentos puede aconsejar que haya varios delegados según esferas de actuación (pensemos en ministerios o departamentos tales como Interior, Educación, Sanidad, etc.).
  • Dado el perfil de exigencias funcionales que se le atribuyen al DPD, así como las relativas a conocimiento y experiencia que debe acreditar para su nombramiento, este tipo de puestos de trabajo se deberán proveer entre funcionarios públicos del subgrupo de clasificación A1 (dado que ejercerán funciones de autoridad o potestades públicas) que acrediten tales competencias en procesos de provisión de puestos de trabajo abiertos. El RGPD deja claro que deben ser “puestos de plantilla” y “empleados”, algo en lo que también insiste la Nota de la AEPD que habla expresamente de “empleados públicos”, lo que parece cerrar por completo la puerta a que se cree un nivel orgánico de “alto cargo”, dado que se trata de puestos de trabajo de estructura y no aleatorios o cambiantes en función de políticas coyunturales.
  • No obstante, dada la dimensión trifásica de sus funciones, esto es, como (a) punto de contacto con la autoridad de control, (b) soporte y asesoramiento a la Administración pública en estos temas, y (c) instancia de resolución con carácter previo reclamaciones de los interesados sobre protección de datos (artículo 37.2 PLOPD); este puesto de trabajo tiene que configurarse como una suerte de “autoridad unipersonal independiente” que actúa en el seno de las estructuras administrativas, pero con una configuración dual (interna/externa) y de interlocución, lo que obliga a diseñar un modelo organizativo distinto y distante al tradicional. No encaja en las pautas ordinarias de la creación de puestos de trabajo en la función pública.
  • Es cierto que el RGPD admite que el DPD “pueda desempeñar otras funciones y cometidos”, por lo que cabría configurar una suerte de puestos de trabajo o estructuras funcionales mixtas, pero no es muy recomendable. No solo por los hipotéticos conflictos de intereses que se puedan producir, sino también por la esquizofrenia en el desarrollo de las tareas que ello comporta. Tal vez esta figura del DPD con dedicación parcial pueda ser una opción a barajar en las estructuras de gobiernos locales de pequeño o mediano tamaño o, en su defecto, en áreas de actuación pública con riesgos limitados en esta materia. En estos casos, según las Directrices citadas, debe reservarse un porcentaje de tiempo para las tareas de DPD.
  • La denominación del órgano “ad hoc” (y del puesto de trabajo) debería ser Delegado/a de Protección de Datos. Debe dotársele de un estatuto retributivo, al menos, similar al de una Subdirección General o Jefatura de Servicio, donde aquella no exista. Incorporarlo como “alto cargo” falsearía la finalidad y espíritu del RGPD, pues el nombramiento sería discrecional (no así el cese) y no se podrían acreditar las exigencias profesionales y de experiencia que el perfil del puesto requiere.

Final: ¿Cómo cubrir estos singulares puestos de trabajo? Los nuevos retos.

Si no se configura como alto cargo por las razones expuestas, cabe plantearse cuáles serían las soluciones institucionales que se pueden barajar en torno a la provisión del puesto de trabajo del Delegado de protección de datos. Y aquí surgen los problemas, pues se plantean dos tipos de tensiones: a) profesionalidad/discrecionalidad; y b) temporalidad/permanencia (o estabilidad). Veamos sucintamente ambas tensiones y sus consecuencias.

La primera tensión (profesionalidad/discrecionalidad) debería resolverse a favor del primer principio, puesto que una “designación discrecional” no cumpliría las exigencias mínimas establecidas por el RGPD. El procedimiento de libre designación, en su formulación tradicional, no encajaría en el espíritu ni finalidad del Reglamento, a pesar de que en este (y en el propio PLOPD se utilice la expresión “designación”: hay que tener en cuenta que se aplica también al sector privado). La única forma de paliar esta limitación estribaría en establecer previamente a la entrada en acción del procedimiento de libre designación (o de libre nombramiento) algún sistema de acreditación de competencias (incluida, en su caso, la certificación) que garantice los conocimientos, experiencia y capacidades necesarios para desarrollar esas funciones. Lo normal es que el sistema de provisión de estos puestos de trabajo recoja esas exigencias de profesionalidad y elimine o acote al máximo la discrecionalidad. La AEPD sugiere, en buena lógica y ante la carencia de perfiles especializados, “desarrollar de forma inmediata una labor de formación de posibles candidatos a ocupar por primera vez los puestos de DPD en todos los niveles de las AAPP”. Asimismo, también propone “establecer con carácter permanente actividades de formación en protección de datos para empleados públicos que deseen especializarse en la materia y optar eventualmente a ocupar los puestos de DPD”. Son dos medidas sensatas, pero que se deben completar con una visión más amplia: las administraciones públicas deben invertir muchísimos recursos y tiempo en construir nuevos perfiles de puestos de trabajo relacionados con la digitalización y las TIC, así como formar intensivamente a sus empleados públicos en esta línea. La robotización y la inteligencia artificial harán desaparecer muchos puestos de trabajo del sector público (o dejarlos sin funciones), pero asimismo se demandarán otros muchos puestos de perfiles completamente distintos o nuevos y, por lo común, muy tecnificados (vinculados a la gestión de información y datos). La provisión del DPD puede ser un buen banco de pruebas. No estaría mal comenzar por ello y explorar construcción de nuevos perfiles, así como herramientas formativas.

La segunda tensión se suscita en torno a si la cobertura de tales puestos de trabajo debe ser temporal o permanente. Parece claro que son puestos de naturaleza estructural, por tanto la primera impresión sería que cabría defender su estabilidad y permanencia. Pero una cosa es que el puesto tenga ese carácter y otra bien distinta es que la persona (funcionario) que sea nombrado o designado para tales funciones deba serlo con carácter definitivo. Al ser puestos de nueva creación y sin recorrido previo en las administraciones públicas, esa puede ser una opción no exenta de riesgos. Tampoco estaría mal construir un sistema que permitiera una cierta rotación. Pero estas son decisiones organizativas. Si se va a un modelo de puestos de trabajo permanentes o estructurales rígidos, la solución sería acudir a la provisión de tales puestos por el procedimiento de concurso específico, mucho mejor que el mero y simple concurso de méritos. Si se opta por puestos de trabajo estructurales, pero con una temporalidad marcada, la opción más cabal es aplicar a la cobertura de puestos de trabajo una serie de exigencias que se derivan del estatuto jurídico de la figura del DPD según se puede derivar del RGPD: convocatoria pública, libre concurrencia, acreditación de los conocimientos, experiencia y capacidad para el desarrollo del puesto de trabajo, prever una temporalidad en su desempeño con posibilidades de volver a concursar en las sucesivas convocatorias, pero asimismo no incluir este tipo de puesto de trabajo en las relaciones de puestos de trabajo o, si se hiciera, dejarlos extramuros, dada su especial singularidad, de la negociación sindical. Para ello cabría aplicar un estatuto jurídico similar a la figura de la dirección pública profesional, pero en este caso la rendición de cuentas (evaluación) se debería vehicular, tal como expone el Reglamento, al más alto nivel jerárquico del responsable o encargado del tratamiento.

En todo caso, parece prudente que ante los obvios vacíos de regulación que ofrece el Reglamento UE 2016/679, así como frente a las anomias (auténticas “calvas”) que en esta materia tiene el PLOPD, al tratarse de una potestad de autoorganización, sea la administración pública correspondiente o el nivel de gobierno competente la instancia adecuada para elaborar alguna disposición normativa de naturaleza reglamentaria (o, en su defecto, un acuerdo de gobierno o plenario) que desbroce muchas de las incógnitas que todavía quedan a cuatro meses vista de la aplicación plena de la normativa europea. Reformar los sistemas de provisión de puestos de trabajo requiere una Ley, pero adaptar esos sistemas a las enormes singularidades que ofrece esta figura del Delegado de Protección de Datos (preludio tal vez de otras muchas que, en el campo de la digitalización y Big Data se puedan dar, también en el sector público) requiere sin duda dosis de ingenio, propuestas creativas e innovadoras y una línea de trabajo sostenida que haga avanzar a la administración pública por el camino de la profesionalización, la tecnificación y la apertura a la sociedad, en consonancia con el Gobierno Abierto y la Gobernanza Pública, ámbitos en los que también debe encajarse este nuevo e inmediato reto.