No busquen el menor atisbo de ironía en el titular de este artículo: no la hay. A lo largo de los últimos tiempos vengo apreciando diversas situaciones en las que el ejercicio profesional de una persona delegada de protección de datos afecta gravemente a las condiciones de los tratamientos. No se trata necesariamente de un ejercicio profesional negligente, que también los hay, sino de modos de entender el ejercicio profesional que no puedo calificar sino de perturbadores.
A mi juicio no hay un modo necesariamente correcto de desplegar las tareas propias del DPO-DPD, es más sencillo identificar ciertos TICS que bajo ciertas condiciones generan malas prácticas. Las lecciones aprendidas provienen de los más diversos sectores y de distintos países lo que obliga a pensar desde un juicio crítico cuáles de ellas provienen del propio ecosistema y puedan alcanzar una naturaleza sistémica altamente peligrosa.
El primer supuesto al que quisiera referirme podría definirse como el ejercicio defensivo de las funciones de asesoramiento y supervisión. La característica más sobresaliente de este supuesto se traduce en un enfoque binario del tipo prohibido-permitido. En este modelo de bipartición “salomónica” el responsable, como las madres de la historia, sólo pueden llevarse al bebe entero. Salvo en el caso de manifiestas ilicitudes nunca a lo largo de mi vida profesional, académica o investigadora me he encontrado un solo supuesto de este tipo. Siempre hubo una inmensa escala de grises y por defecto mi tarea se despliega en el resbaladizo territorio del “cómo”.
Esta apuesta se comprende en entornos sometidos a una alta presión regulatoria que obligue a un ejercicio defensivo. Y en este caso, las autoridades de protección de datos deberían reflexionar profundamente sobre su papel. Resulta mucho más peligroso, o incomprensible encontrarse con apologetas del “no” desde la soberbia, la ignorancia estulta o la comodidad. Vaya por delante un ejemplo: “esos datos son imposibles de anonimizar” y, por tanto, aplica el RGPD. Sin perjuicio de la expectación que despierta una futura sentencia del Tribunal de Justicia de la Unión Europea, ni una sola vez en mi vida tal afirmación ha venido respaldada por un informe técnico y un análisis de riesgos de reidentificación mínimamente sólidos. Es más sencillo decir no por teléfono o por mail que hacer tu trabajo.
Y este modo de hacer las cosas conduce a una segunda dinámica incluso más perversa que la anterior. Me refiero a la esos supuestos de ejercicio confortable obligado o autoinfligido. Basta con leer nuestros últimos trabajos sobre las condiciones de cumplimiento normativo por las administraciones para entender a lo que me refiero. La ausencia de soporte a la persona delegada de protección de datos, el hecho de ser completamente ignorada la conduce sin duda a dos posiciones: a la renuncia al puesto o a la melancolía. Aunque ciertamente, no es menos cierto que en algunos casos excepcionales es una posición buscada un modo de ser intencional del DPD.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.