Como se señaló en el número anterior, la carencia de una adecuada estrategia de formación se erige en obstáculo para el adecuado cumplimiento de la Administración en materia de protección de datos. Esta situación podría agravarse cuando no se cuenta con un modelo de gestión de la privacidad. De hecho, es la ausencia de un modelo de compliance sea probablemente origen y consecuencia de esta carencia.
En la mayor parte de entidades públicas se atribuye la función de fiscalización del cumplimiento normativo a unidades del más diverso signo. Con carácter general, dicha tarea puede atribuirse a la inspección de servicios, en algunas entidades aparecen las denominadas unidades de control interno, o, en cualquier caso, existen órganos de intervención generalmente dedicados al control contable y presupuestario. Por su parte, el delegado de protección de datos, pieza clave para la garantía del cumplimiento normativo, se suele situar bajo la esfera de competencia de alguno de los órganos que integran el Gobierno de las respectivas administraciones. Los podemos encontrar con la categoría de dirección o subdirección general bajo la dependencia de un ministerio o una consejería en las comunidades autónomas, como jefaturas de servicio bajo de la dependencia de la presidencia de las corporaciones locales, insertos en unidades de tecnologías de la información y las comunicaciones, o en la esfera de las secretarías generales de las universidades públicas.
Sin perjuicio de que dediquemos otro artículo al encaje funcional, nos centraremos aquí en las condiciones que usualmente definen la estrategia de cumplimiento normativo en el marco de las administraciones. En esta materia deberían adoptarse buenas prácticas fácilmente deducibles de las distintas guías publicadas por la Agencia Española de Protección de Datos y las autoridades autonómicas. Particularmente deberían tenerse en cuenta tanto las metodologías de análisis de riesgos, como las de protección de datos desde el diseño y por defecto.
Sin embargo, resulta relevante subrayar primero algunas de las carencias que hemos podido constatar a lo largo de nuestra experiencia. La primera de ellas, se refiere a la asignación de recursos humanos. El anteproyecto de ley de lo que después sería la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, señalaba expresamente la necesidad de que la implantación de la figura del delegado de protección de datos fuese a coste cero. Aunque esta referencia desapareció en la versión definitiva de la ley, su filosofía ha inspirado la práctica administrativa. Por lo general, el equipo humano del que disponen los delegados de protección de datos suele ser particularmente limitado. Si a ello unimos la carencia de formación de los técnicos de gestión, que deberían ser otra palanca natural para la aplicación de los criterios de cumplimiento normativo, resulta sencillo concluir que la primera carencia reside en la falta de capacidad para la gestión de los objetivos mínimos de cumplimiento normativo en organizaciones de altísima complejidad.
Por otra parte, se corre el riesgo de desplegar un modelo de cumplimiento de carácter puramente epidérmico. Este consiste en convertir en “tratamientos” las antiguas declaraciones de ficheros ante la AEPD, y la declaración gestión y gestión de ulteriores tratamientos en el rellenado de una tabla de Excel o Word que posteriormente se publica en el registro de actividades de tratamiento del portal de transparencia que corresponda. En otros casos, en lugar de disponer de recursos adecuados, se externaliza el cumplimiento normativo en proveedores privados, aplicando como criterio esencial para la contratación el del menor coste ofertado. En uno u otro modelo, cualquier mínimo requerimiento de cumplimiento normativo resultará imposible de alcanzar.
En nuestra opinión, las organizaciones públicas deberían de disponer de procedimientos funcionales al propio ciclo de vida del dato. Desde este punto de vista, es la autodeclaración interna de una necesidad de tratamiento la que debería orientar el punto de inicio de un adecuado modelo de gestión. Ningún tratamiento debería alcanzar la autorización del responsable correspondiente, ni integrarse en un registro de actividad del tratamiento, sin haber sido sometido a los procedimientos de análisis de riesgos que derivan claramente de los artículos 24,32 y 35 del RGPD y de un proceso de diseño funcional a los requerimientos de su artículo. Todos estos procesos deben relacionarse adecuadamente con los principios de protección de datos del artículo 5 del RGPD.
Paralelamente, no se deberían descuidar ni los procesos de gestión de la externalización mediante contratación de proveedores privados que traten datos personales, ni de la gestión de la seguridad en todas sus dimensiones, y particularmente de los incidentes graves de seguridad, y por último cuidar la presencia pública de la institución a través de espacios de Internet y medios sociales. Por último, en una lista que no pretende ser exhaustiva, resultan imprescindibles los servicios de consulta y atención a los usuarios internos y a las personas interesadas, teniendo en cuenta que el deber de transparencia y la gestión de los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición al tratamiento, poseen singularidades que las hacen merecedoras de especial atención.
De uno u otro modo, el conjunto de procesos dirigidos al cumplimiento normativo en protección debe ser diseñado funcionalmente atendiendo a las características y necesidades de la entidad pública de la que se trate, debe documentarse adecuadamente y debe someterse a un procedimiento constante de análisis y de retroalimentación en cuanto a su calidad y eficiencia. Nada distinto de lo que atañe a la gestión ordinaria de cualquier proceso en el seno de la Administración.
La ausencia de procesos de gestión en materia de protección de datos, la carencia de un plan, pone de manifiesto la importancia que cada organización pública conceda a esta materia como elemento estratégico, o meramente accesorio en las decisiones de gobierno de la entidad. En el segundo caso, el desgobierno del cumplimiento normativo en protección de datos augura con total seguridad la existencia de carencias significativas en la calidad de la información que va a manejar la institución y a buen seguro en el medio plazo generará inconvenientes graves para cualquier proceso de digitalización.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.