lunes, 20 de noviembre de 2017

“La nueva regulación de la protección de datos supone pasar a un modelo de responsabilidad activa”


José Luis Piñar Mañas, Catedrático de Derecho Administrativo, consultor de Protección de Datos y director de la Agencia Española de Protección de Datos entre 2002 y 2007, participó en fechas recientes en el M.I. Colegio de Abogados de Pamplona en  la XI Jornada de la Sociedad de la Información, que estuvo centrada en la nueva regulación de esta especialidad.

¿Supone la nueva Ley de Protección de datos un cambio de paradigma?
Totalmente. El reglamento europeo es el que cambia el paradigma. Pasamos de un modelo de gestión administrativizada de los datos, en el que yo inscribo los ficheros, cumplo mis medidas de seguridad que sé cuáles son y están fijadas en el Decreto de 2007… Está todo muy reglamentado y  el responsable sabe qué tiene que hacer. Ahora no. Ahora se cambia a un modelo que yo denomino de gobierno responsable de la información. Cada uno va a tener que adaptar todo a su realidad, en función del riesgo, de los datos que trata… Porque el reglamento lo que dice es que cada uno tendrá que adaptar las medidas necesarias y oportunas  para garantizar que cumple y demostrar que cumple.
¿Qué es lo que tiene que hacer usted? En principio, cumplir con la ley, evidentemente. Pero hay una serie de ámbitos en los que se deja  mucha libertad al responsable. Por ejemplo, ya no se dice qué medidas de seguridad hay que implantar, sino que en función de lo que hace, cada uno debe tomar las medidas que considere oportunas. La ley no dice cuáles.

Por tanto, se estipulan claramente las obligaciones pero no la manera de cumplirlas.
Se pasa a un modelo de responsabilidad activa, en inglés accountability. Hay quien ha dicho, en la Comisión Europea, que supone que las personas que aplican la protección de datos pasan a ser mayores de edad,  a tomar sus propias decisiones. ¿Qué es lo que ocurre? Que la Agencia de Protección de Datos va a decirnos si la decisión que hemos tomado es o no correcta. Ahora dice si yo cumplo o no con un determinado artículo del reglamento. Ahora, lo que va a hacer es decidir si lo que una persona ha hecho es suficiente y adecuado para garantizar los datos.

Este control se va a dar en situaciones en las que se produzca alguna situación de riesgo, se va a dar de manera aleatoria… ¿Cómo se va a ejercer este control?
EL control lo va a ejercer la agencia como ahora, previa denuncia. La agencia nunca inicia inspecciones de oficio como Hacienda. Y si las hace no son para sancionar, sino para ver cómo está el panorama y elaborar conclusiones y recomendaciones. Normalmente actuará por denuncia, y si procede, iniciará el expediente sancionador.

¿Qué implican estos cambios para el día a día de la labor del abogado?
Al principio van  a tener que cambiar bastante. Quien esté ya adaptado a la ley actual, con toda normalidad seguro que sigue estando adaptado a la nueva normativa. En cuanto a su acción cotidiana de cumplimiento de la ley, poco va a cambiar. Tiene que llevar un registro de acciones de tratamiento.  Tiene que comunicar las violaciones de seguridad. Tiene que cambiar la cláusula informativa. El consentimiento pasa a ser ahora explícito cuando antes podía ser tácito. Hay muchas cosas que cambian.
Pero en mi opinión el cambio más importante es que se crea una figura nueva, la del delegado de protección de datos, y aquí si hay una oportunidad y un reto para los profesionales del derecho. Los abogados con conocimiento de protección de datos, con experiencia, o que se quieran formar en protección de datos, pueden hacer las veces de delegado de protección de datos. Todas las administraciones públicas tienen que tener su delegado. Los 8.000 municipios, las CC.AA., la Administración del Estado, las Diputaciones Provinciales… Todas. Las empresas que traten datos especialmente protegidos tienen que tener un DPO, un Data Privacy Officer. Y esa es una oportunidad para los abogados.



¿Hay algún otro cambio importante en la ley?
Yo diría que el cambio de perspectiva. El cambio de orientación, y sobre todo, que sea una oportunidad para que los abogados ya por fin asuman la importancia que tiene la protección de datos. Porque por desgracia, todavía sigue siendo una materia, una realidad no incorporada con normalidad al mundo jurídico. Hay muchos abogados que no cumplen la ley porque no son conscientes de sus obligaciones, y por eso también hay muchos abogados que no saben que podrían prestar servicio como consultores en protección de datos.

La abogacía tiene que darse cuenta de que aquí hay un compromiso con un derecho fundamental y además hay una oportunidad de prestar servicios. Pero eso requiere tener conocimientos en derecho, tener práctica y experiencia en protección de datos  y estar en disposición de ejercer como Delegado de Protección de Datos.

También es muy importante la labor de los colegios de difusión, divulgación y concienciación en materia de formación de datos. Incluso también en materia de formación y capacitación, para que puedan los colegiados ser DPOS´s. Yo dirijo un master de protección de datos en mi universidad, San Pablo CEU y tenemos un acuerdo con el  CGAE.

¿En qué punto está la tramitación de la nueva ley?
El anteproyecto se elaboró en mayo de este año. Se ha informado ya por la Agencia de Protección de Datos, por el Consejo general del Poder Judicial, se ha tramitado la información Pública y ya incluso hay dictamen del Consejo de Estado. Una vez que el Consejo de Ministros lo eleve al Congreso como Proyecto de Ley ya sería posible que estuviese aprobada para mayo, junio o julio del año que viene.  Va adelantado. De hecho, de los países de la UE, solo Alemania a ha aprobado un ley. Y España creo que es uno de los que va más adelantados.  


 

© 2014 MICAP Gabinete de Comunicación online. Rediseñado sobre la plantilla Templateism

Back To Top