Archivo de la categoría: Protección de Datos

Ley 16/2023 Autoridad Vasca de Protección de datos

Protección de Datos

Se acaba de publicar la Ley Vasca de protección de datos en lo referente a su Autoridad de control. Tal y como se esperaba, es una ley técnica en la que se regula el procedimiento y el régimen jurídico de esta metamorfosis institucional, en la que se pasa de la denominación de Agencia a Autoridad, en una tendencia que dispone tanto de sustento jurídico como doctrinal.

Como primera aproximación indicar que, felizmente el texto finaliza con los debates previos que fomentaban un incremento de la regulación sustantiva, pidiendo la inclusión de artículos sobre la IA, videovigilancia, la obligaciones formales o la gestión de tratamientos, indicando acertadamente su exposición de motivos que se hace «innecesario adoptar adicionalmente ninguna disposición relacionada con el contenido sustantivo del derecho fundamental«. Sinceramente, todos sabemos que desde hace años hay una fuerte tendencia de desamparo intelectual si no se produce una hiper-regulación, generando tranquilidad la existencia de multi normas que regulan pequeñas categorías jurídicas en ámbitos muy similares, aun cuando sean incongruentes en su resolución. En mi opinión es mejor pocas pero buenas normas, que con el paso del tiempo asientan y ofrezcan seguridad jurídica que no el bombardeo constante de pequeñas e inconexas normas de dudosa utilidad.

En segundo lugar, se amplía el ámbito de actuación de la Autoridad a los entes integrantes del Sector Público Vasco, remitiéndose a la regulación de la Ley 3/2022. Se colma una aspiración largamente esperada, dado que hasta la actualidad coexistían dos regímenes de protección -AEPD frente AVPD- en el Sector Público Vasco y aunque no provocase una situación dramática siempre producía disfunciones en las obligaciones formales como en las procedimentales.

Igualmente, las corporaciones de derecho público -de ámbito territorial vasco- dejan de tener ese sentimiento de dualidad, por realizar sus tratamientos y actividad a caballo entre lo público y lo privado, integrándose plenamente en el ámbito de la AVPD, teniendo a partir de ahora un único interlocutor/fiscalizador en este ámbito.

La nueva Autoridad está señalada como garante de la Ley Orgánica 7/21, ofreciendo tranquilidad por cuanto se eliminan las dudas respecto a la asunción de dicha competencia en el ámbito de Euskadi, siendo interesante que la misma sea ejercida con premura, al menos, emitiendo pautas y recomendaciones públicas que ofrezcan luz en aspectos tan «complejos» -por no decir mal regulados- como la videovigilancia en los diferentes ámbitos de actuación de las FFCCSSEE.

Otra novedad radica en la obligatoria publicación de las resoluciones que dicta, ofreciendo la posibilidad de llegar a escudriñar el mecanismo interno que rige la toma de decisiones en la Autoridad, y que a los externos, nos permite intuir la lógica que subyace, para adoptar las mejores decisiones alineadas con el sentir del órgano de control. Al respecto, es curioso como el legislador mantiene el término «disociación» de las publicaciones en vez de anonimización, dejándonos a los más mayores margen para volver a contar la historia de esos términos. Es una buena noticia dicha publicación, pero también hay que indicar que hasta ahora la Agencia hacía un ejercicio de transparencia publicando en sus Memorias anuales los supuestos que había tramitado, llegando a un nivel de detalle interesante para un lector avispado. La parte negativa era la relativa a los tiempos que dedicaba la Agencia en redactar y publicar esas memorias, dado que su retraso era motivo habitual de comentarios perspicaces.

El texto tiene otras novedades, muchas de ellas con un alcance domestico en la propia Autoridad, destacando la consolidación de su posición respecto a las transferencias internacionales, los códigos de conducta y las certificaciones. Una vez conseguido le toca a la Autoridad ejercerlo, organizarlo y gestionarlo, que no siempre es fácil.

Respecto al régimen sancionador hay un aspecto que me ha llamado la atención, siendo el referido a la amonestación a autoridades, altos cargos y personal directivo, regulado en el artículo 28.2. Me parece innovador, interesante y procedimentalmente arriesgado. Debe considerarse el texto, los requisitos y las consecuencias: Un alto cargo que no hubiese atendido recomendaciones o informes técnicos respecto a un tratamiento. Me surgen, entre otras, estas cuestiones:

1.- ¿Quién emite esa recomendaciones o informes técnicos? ¿cualquier técnico, un empleado público, un externo, una comisión de seguridad,… o sólo el DPD de esa organización?

2.-¿Dicho informe deberá cumplir alguna formalidad? Si la tuviera sería interesante, sobre todo para extender dicho formato a los informes de los DPD, para que el alto cargo se sienta concernido. Curiosamente no indica que sea un análisis de riesgos o una EIPD, siendo todavía más difuso el alcance de dicho informe o recomendación.

3.-¿El alto cargo será parte del procedimiento de infracción? Debería ser parte interesada, de forma independiente al responsable del tratamiento, dado que es posible que sean diferentes personas ¿Cómo encaja esta nueva figura en la lista cerrada de sujetos responsables del artículo 24 - responsables y encargados -de la misma ley?

4.- Ese alto cargo ¿debe haber sido investido formalmente como responsable del tratamiento o figura similar dentro de su organización? Si no, no debería tomar decisiones respecto al tratamiento.

5.- Si el alto cargo deja su puesto ¿sería igualmente amonestado? ¿Es un procedimiento ad personam?

Continuando con la ley y respecto al procedimiento y sus plazos, es más que recomendable repasar los diferentes plazos de resolución y caducidad de los procedimientos, dado que son menos uniformes de lo que pudiera pensarse.

Por último, me hubiese gustado algún apunte sobre cómo se resuelve el procedimiento o las denuncias realizadas ante la novedosa Autoridad Independiente del Informante (de la Ley 2/2023) y la Autoridad de protección de datos, dado que la aplicación de la Directiva 2019/1937 generó un intenso e interesante debate sobre la posición del informante, la naturaleza de la denuncia, el anonimato y pudiera haberse aprovechado para ofrecer una pauta sobre la competencia, sanciones o la coordinación entre ambas organizaciones.

En resumen, tenemos una ley que decepcionará a muchos por no incluir artículos relativos a los nuevos retos, tecnologías disruptivas presentes y futuras, así como a la resolución de las dudas de derecho sustantivo, pero que encontrará su sitio y se pondrá en valor con el paso del tiempo, dado que regula lo que debe regular: el régimen jurídico y el procedimiento a seguir por la nueva Autoridad de Control.

La AEPD, la Competencia y el DPD

Administración Electrónica, Protección de Datos

En los últimos meses con la vorágine de la entrada en vigor del RGPD se están sucediendo los análisis, comentarios y reflexiones de cómo se realizará su aplicación práctica y el papel que adoptarán los órganos de control. Esta expectativa se ha visto incrementada por la inexistente norma que distribuya la actividad jurídica en esta materia, y que suponemos que limará nuestra vigente LOPD convirtiéndola en una norma plenamente adecuada a las exigencias propias y foráneas. Entre los elementos largamente debatidos se encuentra la figura del Delegado de Protección de datos, piedra angular de la nueva regulación, en el que su designación y posterior comunicación y publicación otorgará más transparencia a un sistema basado en la actual comunicación de ficheros a los órganos de control.

En este complejo entramado, en constante evolución,  debe cuidarse de las fáciles presunciones lógicas,  dado que solventan problemas cortoplacistas pero que pueden desembocar en problemas mayores. En esta tesitura, agradezco a mi compañero de Blog y despacho –Gonzalo Alvarez – siempre atento a la actualidad,  la remisión a la noticia referente a que la AEPD ha publicado un sistema de notificación electrónica para comunicar la designación del DPD. Con carácter general esta noticia puede considerarse como positiva, dado que parece dar cumplimiento al artículo 37.7 del RGPG, pero más allá de esa primera impresión aparecen las primeras sombras que posiblemente se disiparán con las aclaraciones que realicen los órganos de control.

En primer lugar, la Agencia parece tener información privilegiada, intuición o está interpretando extensivamente sus funciones, dado que dentro de las mismas y de sus competencias, no recuerdo que se encuentre el hecho de recibir notificaciones sobre los nombramientos y designaciones de los DPD´s. Cierto es que tiene alguna competencia residual o genérica en protección de datos, que pudiera absorber ese vacío, pero su utilización me abre alguna dudas más: ¿La Agencia Vasca y la Autoridad Catalana tienen la misma función receptora de comunicaciones de DPD debiendo esperar las respectivas Administraciones Autonómicas a la adecuación de sus órganos de control o únicamente lo realizará la AEPD?¿Es una de las funciones exclusivas de la AEPD? ¿Esa comunicación incorporada en su sede electrónica tiene la consideración de trámite administrativo y por tanto, finalizará con una resolución? y por último, ¿se está comunicando una designación a un Registro Público Administrativo -regulado por Ley- en el que terceros interesados podrán acceder a dichos datos o es simplemente un inventario de DPD´s?

En estos tiempos procelosos de la protección de datos debemos actuar con cautela y al mismo tiempo ser aventurados, pero sin ser aventados. Creo que, aunque las funciones de la AEPD de recibir las comunicaciones de nombramientos de los DPD´s recaerán finalmente en ella por Ley, deberían evitarse prisas innecesarias que generan una sensación de improvisación más que de sosiego.

 

El DPO, la mayúscula y las traducciones

Protección de Datos

Comentaba acertadamente mi compañero de Blog, Gontzal Gallo, cómo la redacción del nuevo Reglamento Europeo (R(EU)) en materia de protección de datos inducía a pensar que sólo los profesionales del Derecho podrían acceder al nuevo cargo denominado como DPO o DPD en su acrónimo castellano.

El fundamento del debate se centra en el texto del artículo 37.5. de dicho R (EU), en el que manifiesta que «el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.». Es decir que, aunque ya está indicado en el propio texto expuesto,desgajando por requisitos,  el DPD debería cumplir:

1.-Cualidades profesionales

2.- Conocimientos especializados del Derecho

3.-Práctica en materia de protección de datos

4.-Capacidad para desempeñar funciones del artículo 39.

Es evidente cómo el segundo de los requisitos es el referido a los «conocimientos especializados del Derecho«, destacando la redacción en mayúscula del término Derecho, además de requerir que dicho conocimiento sea especializado, no genérico, no superficial. Estos dos aspectos, en mi opinión, son trascendentes dado que Derecho con mayúsculas equivale al conocimiento de nuestra Ciencia Jurídica, escribiéndose, por el contrario, con minúscula (derecho del trabajo, derecho procesal, derecho de protección de datos,…) cuando se menciona uno de los ámbitos concretos del mismo. La conjunción del término Derecho y especializado sólo pudiera llevar a interpretar que las personas con un conocimiento especializado en Derecho, léase, licenciado o grado en Derecho pudiera disponer de las herramientas y del conocimiento jurídico suficiente y reconocido para poder interpretar especializadamente el Derecho, dado que genéricamente el Derecho puede ser conocido e interpretado por muchas profesiones e individuos: todos opinamos sobre la liga de fútbol, pero sólo unos pocos juegan en la liga de fútbol…

Como en ocasiones anteriores, anticipo muy a mi pesar, que los juristas tenemos la batalla perdida, sobre todo desde que el Grupo del Art. 29 ha publicado sus Directrices, realizando una traducción del artículo 37.5 comentado bastante diferente al publicado en BOE, y más cercana a la versión inglesa del R(EU) «expert knowledge of data protection law«. Estas Directrices indican que el DPO requiere «conocimiento experto de la legislación«, complementándose  con el comentario incluido en dicha Directriz en el que manifiesta que»los DPD deben tener conocimiento de las leyes y prácticas de protección de datos tanto nacionales como europeas y una comprensión profunda de la NGPD». Evidentemente, su especialización se circunscribe únicamente a protección de datos, no al Derecho.

Es un debate abierto, incipiente, con matices, que requiere consenso pero en cualquier caso  y se adopte cualquiera de las interpretaciones sobre el «conocimiento jurídico», ¿quién se arrogará la posición de acreditar ese conocimiento del Derecho o del derecho en protección de datos? ¿Una entidad de Certificación? ¿Los Órganos de Control?¿Una asociación? ¿No es suficiente el título de licenciado o grado en Derecho? Quien puede lo más debería poder lo menos…

Curiosamente, parece que como siempre el sector jurídico -dígase Colegios y Universidades- más preocupados en otras pendencias de mayor calado, dejará pasar la oportunidad de hacer valer nuestros derechos reconocidos por el Derecho, no sea que hiramos otras sensibilidades al poder pensarse que sabemos interpretar el Derecho.