Protección de datos y Administración Pública, un largo camino por recorrer: el liderazgo.

Artículo "Protección de datos y Administración Pública, un largo camino por recorrer: el liderazgo." de Ricard Martínez en la Sección "Ojo Al Dato" de la Revista Tecnología y Sentido Común #TYSC24 de noviembre de 2022

En los dos últimos artículos de esta sección se ha dedicado una cierta atención a considerar el conjunto de aspectos que inciden de modo significativo en el cumplimiento normativo del Reglamento General de Protección de Datos y la legislación española en la materia por parte de la Administración Pública. En esta tercera, y última entrega, trataremos de considerar lo que nuestro juicio constituye el elemento determinante para la existencia de una falta de incentivos al cumplimiento.

Existen dos factores que en nuestra opinión inciden de manera determinante: una regulación de la responsabilidad particularmente laxa junto a una carencia de compromiso por parte de quienes desde la política o desde el desempeño de altos cargos no realizan los debidos esfuerzos para asegurar una labor de impulso que, como se demostrará, resulta crucial. En primer lugar, si algo ha caracterizado al modelo español de protección de datos, desde la interpretación que la Agencia Española de Protección de Datos hizo de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal LORTAD), y cristalizó posteriormente en Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), no es otra que la ausencia de responsabilidad pecuniaria de las administraciones públicas españolas. La teoría que sustentaba esta decisión de naturaleza política con enorme trascendencia jurídica no era otra que el hecho de considerar que cuando se impone una sanción económica a una administración pública se trasladan el importe de la multa desde el presupuesto de la sancionada hacia la Administración General del Estado. Ello, en opinión de la autoridad de protección de datos, resulta además lesivo para la ciudadanía, al detraer del presupuesto de la sancionada, cantidades significativas necesarias para el despliegue de políticas públicas.

Podremos estar de acuerdo con esta tesis mantenida. Lo cierto es que su resultado no fue otro que la inacción de las administraciones. Por si fuera poco, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) reguló esta materia desde una doble aproximación. En primer lugar, ha consistido en un cambio de tiempos verbales en el artículo seis 77.3 que parece apuntar a la necesidad de apertura de oficio de expedientes disciplinarios a los funcionarios responsables de las infracciones a la legislación de protección de datos ya que la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. A día de hoy casi nunca ha encontrado esos indicios. Por otra parte, se contempla la pena de boletín oficial cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos.

Lo que sin embargo resulta sorprendente es la extensión del régimen de responsabilidad a todas y cada una de las entidades del sector público, definidas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Esto significa en la práctica, la existencia de una amplia panoplia de instituciones, y particularmente las fundaciones del sector público, eximidas de cualquier responsabilidad económica o pecuniaria, con independencia de la gravedad de la infracción que se hubiera podido cometer.

Por otra parte, y recordando el primer artículo de esta serie relacionado con la formación, lo cierto es que los procesos de formación y concienciación en rara ocasión alcanzan a quienes ocupan el liderazgo político o administrativo en los distintos organismos del sector público. Al inicio de la legislatura en los municipios o tras la toma de posesión y la renovación del equipo ministerial o de una consejería autonómica no esperen encontrar una nota de prensa que diga que el alto responsable político y su equipo directivo se han reunido con la persona delegada de protección de datos para recibir un curso de formación, comprender cuáles sean sus obligaciones y asumir un compromiso con la garantía del derecho a la vida privada de la ciudadanía. Y así, multitud de altos cargos a los que se atribuye la función de responsable en el correspondiente reglamento orgánico y de funcionamiento, o en el registro de actividades de tratamiento, carecen de formación, capacidad, competencia e incluso criterio político en esta materia.

La consecuencia es trágica si no tuviera la vez algo de cómico. La carencia de compromiso político y directivo convierte a la tarea de las personas delegadas de protección de datos de la Administración en un asunto de interés residual, cuando no en un engorro del que conviene deshacerse a la mayor velocidad posible. A las DPD no les queda otro expediente que oficiar al correspondiente responsable indicándoles su posición de independencia, recordándole y subrayando su responsabilidad y, en no pocas ocasiones, haciendo uso de la facultad y obligación que les impone el artículo 36.4 de la LOPDGDD de notificar las infracciones de las que se tuviera conocimiento.

No es este, por tanto, el mejor ecosistema para garantizar el cumplimiento de la normativa de protección de datos por parte de la Administración. Y esta es sin duda una muy mala noticia para nuestra sociedad. La Administración en todas sus áreas se halla inmersa en un proceso de transformación digital literalmente incompatible con esta carencia. Y no sólo esto, enfrentamos una evolución del Ordenamiento jurídico de carácter revolucionario. La Unión Europea está potenciando un ecosistema de datos al servicio de la comunidad en el cual el papel de las administraciones es determinante. Tras la reforma de la Directiva Open Data, la Data Governance Act impulsa la creación de entidades del sector público capaces de poner a disposición de la sociedad grandes volúmenes de datos que hasta ahora no pueden ser liberados por razones relacionadas con la identificabilidad de las personas, o con la tutela de otros derechos como los derechos a la propia intelectual y los secretos industriales y comerciales.

Una Administración que ha dejado de lado el derecho fundamental a la protección de datos, que no se encuentra en disposición de desplegar análisis de impacto riguroso, o de certificarse en el Esquema Nacional de Seguridad difícilmente podrá proveer condiciones que aseguren la generación de repositorios seguros, controlados y trazables para la explotación de la información del sector público. Esta carencia, esta falta de atención a un elemento cualitativo crucial no sólo afecta a la calidad y confiabilidad de los datos, sino que impide materialmente su reutilización. Esta ausencia de compromiso tendrá consecuencias particularmente graves para nuestra economía y competitividad. La creación de los espacios europeos de datos y la regulación de la inteligencia artificial deberían entenderse como un aldabonazo que obliga a convertir el cumplimiento normativo en protección de datos y la adopción de decisiones estratégicas en materia de seguridad y de ética de la inteligencia artificial en una tarea prioritaria para la administración española. Ganarán los derechos fundamentales, ganará la competitividad de la investigación y la innovación en nuestra economía, y ganará nuestra sociedad. Aunque no existan multas.

Ricard Martínez

Profesor en el Departamento de Derecho Constitucional, Ciencia Política y de la Administración y Director de la Cátedra de Privacidad y Transformación Digital. Doctor en Derecho por la Universitat de València. Miembro de la mesa de expertos en datos e Inteligencia Artificial de la Consejería de Innovación y Universidades de la Generalitat Valenciana. Miembro del grupo de expertos para la elaboración de una Carta de Derechos Digitales de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital. Ha sido Presidente de la Asociación Profesional Española de la Privacidad y responsable del Área de Estudios de la Agencia Española de Protección de Datos.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad