Esta es sin duda una de las preguntas, y uno de los modos de titular artículos y posts, que más zozobra me causa en el mundo del derecho a la protección de datos. Este tipo de afirmación suele venir acompañada de la formulación de alguna cuestión relacionada con las condiciones de legitimidad o legitimación para tratar datos personales. Usualmente se trata de un asunto de carácter básico, de la mera reproducción de algún informe o resolución de alguna autoridad de protección de datos, cuando no sencillamente de una mistificación. Lo preocupante en esta materia no deriva tanto de un ejercicio de análisis, por lo demás perfectamente legítimo, cuanto de expresar un modo de entender la garantía las condiciones de tratamiento de datos de carácter personal. Se trata de un enfoque reactivo y me atrevería a decir que en ocasiones resignado. Y, sin embargo, en mi experiencia profesional, desde la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal hasta nuestros días este ha sido un interrogante permanente en cualquier proceso de formación. Y también en aquellos casos en los que se han ejercido funciones de consultoría y soporte al cumplimiento normativo en protección de datos.
Aunque en principio pueda parecer una manifestación positiva de compromiso con la aplicación de la legalidad vigente, lo cierto es que suele responder a otro tipo de intereses. En una parte significativa de las ocasiones quien formula la pregunta ya se encuentra tratando los datos. Y, de hecho, no es en absoluto inusual que las cuestiones relativas al conjunto de procesos que es necesario implementar de acuerdo con el Reglamento General de Protección de Datos se hayan descuidado significativamente. En el mejor de los casos, la consulta se acompaña con un modelo de consentimiento informado. La lista de ejemplos, que se podrían narrar en este artículo desbordaría con toda seguridad la extensión completa de Tecnología y Sentido Común. Así que permita al lector, que reproduzcamos ni uno sólo por una cuestión obvia de síntesis y eficiencia en la compartición de nuestras ideas.
Personalmente, y en primer lugar, la dichosa pregunta me genera incomodidad porque no es la cuestión correcta. En realidad, el primer proceso a la hora de decidir si se tratan datos de carácter personal, debería ser tan sencillo como el planteamiento de un juicio de oportunidad acompañado por una estructura organizativa clara y definida en cuanto a la atribución de funciones. Y es que “cualquiera” no puede preguntar en una organización si es legal tratar datos personales del mismo modo que “cualquiera” no se puede dedicar a la selección y contratación de personal. Porque, cuando eso sucede, no significa otra cosa que todos y cada uno de los integrantes de la entidad se sienten con plena libertad de tratar datos personales sin tener capacidad de decisión o competencia para ello y sin necesidad de sujetarse a proceso alguno.
En segundo lugar, este tipo de interrogantes suele ser un síntoma de que la organización ha perdido por completo el control de sus procesos de gestión en este ámbito. De hecho, existen un conjunto de cuestiones que deberían avanzarse en el tiempo al juicio de legalidad en materia de protección de datos. La lista sería larga, pero compartir alguna de ellas aportará luz a la propuesta. En el caso de que la consulta fuera formalizada por una persona con competencia para tomar decisiones en relación con la gestión de datos personales en la organización, la siguiente cuestión se referiría a un juicio de oportunidad. No basta con la voluntad de tratar datos personales, es necesario que se asignen un conjunto de recursos organizativos técnicos y presupuestarios sin los cuales el tratamiento no es viable. De hecho, en la mayor parte de las ocasiones el usuario, generalmente desinformado, preguntará respecto de un tratamiento que con toda probabilidad ya existe en el registro de actividades y cuenta con recursos asignados para su despliegue.
En caso contrario, es decir, cuando la cuestión no puede resolverse mediante la asignación de un perfil de usuario a un sistema de información preexistente, cabe preguntarse si el tratamiento propuesto se alinea y es funcional con los objetivos de negocio. Porque, en no pocas ocasiones, la propuesta responde a una mera ocurrencia. Incluso en el caso de que tratar datos fuese coherente y valioso desde el punto de vista de los objetivos de negocio sigue siendo necesario determinar si se contará con los recursos necesarios para el desarrollo del mismo. Unas veces será necesaria la adquisición de software, de hardware, o la contratación de servicios de terceros. En otras, el tratamiento deberá desarrollarse con recursos propios, lo cual incluye analistas, desarrolladores, capacidad de procesado y almacenamiento, la constitución de un equipo interdisciplinar y la definición de los requerimientos de seguridad y resiliencia de los sistemas de información.
En consecuencia, si la organización no se encuentra en condiciones de garantizar todos estos aspectos económicos, funcionales y organizativos carece de sentido realizar cualquier otra pregunta. Y cuando en su labor, el delegado de protección de datos alienta este tipo de consultas está causando perjuicios y costes innecesarios al responsable del tratamiento. Nunca las indicaciones organizativas internas, ni tampoco cualquier guía o recomendación de las autoridades de protección de datos, puede prestar soporte a este tipo de conductas. Lo que primariamente define a un responsable es su capacidad de tomar decisiones, del mismo modo que un encargado del tratamiento debe definir con precisión su cartera de servicios y/o identificar las necesidades de las entidades que lo contratan.
Así que recuerden, ¡se lo ruego!, en la próxima ocasión en la que nos encontremos no me pregunten si es legal tratar datos. No me usen como ariete para imponer en su entidad un tratamiento que nadie pidió, que nadie solicitó y que, seguramente, nadie conocía. Se lo prometo, no les responderé. Diríjanse a su soporte en protección de datos exclusivamente cuando satisfechos todos los requerimientos organizativos internos para la toma de decisión se cuente con el aval de las personas con autoridad en la organización y con los recursos necesarios, no sólo para realizar el tratamiento, sino para ser capaces de cumplir con las obligaciones jurídicas que de él se deriven.
Mientras tanto, por favor absténganse de tratar datos, no nos hagan perder el tiempo y sobre todo no generen costes y deficiencias que además comportan un riesgo regulatorio que puede salir muy caro a su entidad en términos económicos y reputacionales.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Debe estar conectado para enviar un comentario.