La Administración Pública en España ha sido tratada con particular benevolencia por parte de la legislación en protección de datos. En esencia, y sin perjuicio de las especificidades en materia policial, el marco de las obligaciones que se le imponen es el mismo que al sector privado con escasas obligaciones adicionales, pero no así el modo de sustanciar la responsabilidad administrativa ante eventuales infracciones administrativas. En efecto, y expresado en términos coloquiales: no se pagan multas, se declara la infracción y en casos excepcionales se ha suspendido el funcionamiento de un “fichero” o tratamiento hasta que se remedian los problemas que presenta. La tesis dominante se sustentó sobre la idea de que sancionar a la Administración constituye una mera transferencia de fondos y, además, perjudica esencialmente al contribuyente al detraer fondos del presupuesto público.
Sin perjuicio de que no se haya estudiado científicamente la presencia de una relación de causa a efecto lo cierto es que el enfoque del riesgo regulador puede haber influido en los procesos de toma de decisiones. El mapa que cualquier experto en la materia presentaría incluiría en esta bitácora la formación, la escasez de personal en términos de delegados de protección de datos y su equipo de soporte, un inadecuado posicionamiento de los delegados y su no inserción inadecuada en la planificación estratégica de la entidad.
A diferencia de lo que sucede en materia de prevención de riesgos laborales no existe una política de formación universal del personal en protección de datos. Basta con ojear la oferta formativa en Institutos de Administración Pública, o en servicios especializados vinculados al personal estatutario en salud, al personal de instituciones educativas y en servicios de formación de municipios, diputaciones o universidades públicas. En muy pocos casos se ha emprendido una labor de formación básica, general u obligatoria. Se oferta un volumen limitado de cursos/año de carácter voluntario.
El efecto de estas políticas públicas es demoledor. En primer lugar, en función del volumen de la plantilla se necesitarían varios centenares de años para formar al personal activo en un determinado momento. Por ejemplo, ¿Cómo esperan formarse miles de sanitarios cuando se oferten cursos para 200 personas al año?
Además, la voluntariedad provoca disfuncionalidades muy graves. Si la asistencia al curso es voluntaria es perfectamente posible que en una determinada unidad administrativa los puestos con menor responsabilidad y capacidad de decisión posean un mayor conocimiento. Y ello, conduce a la melancolía en el menor de los casos y al conflicto en el peor. ¿Cómo va el personal auxiliar a cuestionar decisiones de la dirección técnica que infringen la normativa? Así que, aunque el ejemplo sea peregrino, “si se te ordena que registres a los asistentes de la jornada en una cuenta de Google Drive creada al efecto como jornadaX@gmail.com, tú lo haces y no me vengas con lo del encargado del tratamiento”.
Por otra parte, el diseño en la formación tiende a ser particularmente ineficiente desde el punto de vista de los contenidos. En este sentido, en más de una ocasión se produce una gradación de una mera exposición de las obligaciones de seguridad a sesudos cursos teóricos en los que analizar la legislación aplicable. Y ello sin atender a las necesidades reales de las organizaciones. Por experiencia e intuición cabe apostar a que la formación a la dirección política ni se contempla y cuándo esta sucede se limita de nuevo a los aspectos básicos de la seguridad. Del mismo modo, no se forma operativamente a los cuadros técnicos. Y el desarrollo de formación estratégica orientada a los servicios de tecnologías de la información y las comunicaciones no siempre se tiene en cuenta. Allí donde ha calado con mayor intensidad la formación contempla al menos el conocimiento de los procesos internos de cumplimiento normativo.
Evidentemente, se ha dibujado aquí el peor de los escenarios posibles. Si las y los lectores de este artículo se sienten reflejados en él tienen un serio problema. Porque el resultado que producen es sobradamente conocido. Vds. viven en una Administración en la que la dirección política no se sentirá concernida por esta materia. En ella, la persona delegada de protección de datos será percibida con hostilidad por los cuadros directivos de alto nivel y carecerá de un marco de coordinación y soporte en los cuadros técnicos. Por otra parte, las pocas personas concienciadas generarán conflicto cada vez que constaten una infracción o, en el menor de los casos, la mera dación de cuentas de lo que hallen o la necesidad de obtener soporte ante el incumplimiento sistemático de cualquier tipo de procesos desbordarán la oficina del DPD con decenas de consultas y solicitudes de informe.
La formación, el compromiso y el empoderamiento constituyen el pilar sobre el que se sostiene el cambio cultural en cualquier organización. Por eso sorprende enormemente que no se haya impuesto por Ley el deber de formar al personal y la ausencia de tal formación sea expresamente considerada una infracción. Afortunadamente, las Directrices 4/2019 del Comité Europeo de Protección de Datos, de 20 de octubre de 2020, relativas al artículo 25, Protección de datos desde el diseño y por defecto, (Versión 2.0) nos ofrecen un criterio claro cuando señalan que
«9. Una medida técnica u organizativa o una garantía puede ser cualquier cosa desde la aplicación de soluciones técnicas avanzadas hasta la formación básica del personal».
Así pues, no cabe duda de que aquellas administraciones que no hayan previsto una formación básica de todo el personal que participen en los tratamientos incurrirían potencialmente en la infracción tipificada por el artículo 73.d de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales consistente en
La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679
(…)
La carencia de formación es territorio abonado para la violación del derecho fundamental a la protección de datos y parece que vamos con unos 30 años de retraso.
Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.
Escuela de Gobierno eGob®
Cursos Doble Certificación
Debe estar conectado para enviar un comentario.