José Luis Piñar Mañas, Catedrático
de Derecho Administrativo, consultor de Protección de Datos y director de la
Agencia Española de Protección de Datos entre 2002 y 2007, participó en fechas
recientes en el M.I. Colegio de Abogados de Pamplona en la XI
Jornada de la Sociedad de la Información, que estuvo centrada en la nueva
regulación de esta especialidad.
¿Supone la nueva Ley de Protección de datos un cambio de paradigma?
Totalmente. El reglamento europeo
es el que cambia el paradigma. Pasamos de un modelo de gestión
administrativizada de los datos, en el que yo inscribo los ficheros, cumplo mis
medidas de seguridad que sé cuáles son y están fijadas en el Decreto de 2007… Está
todo muy reglamentado y el responsable
sabe qué tiene que hacer. Ahora no. Ahora se cambia a un modelo que yo denomino
de gobierno responsable de la información. Cada uno va a tener que adaptar todo
a su realidad, en función del riesgo, de los datos que trata… Porque el
reglamento lo que dice es que cada uno tendrá que adaptar las medidas necesarias
y oportunas para garantizar que cumple y
demostrar que cumple.
¿Qué es lo que tiene que hacer
usted? En principio, cumplir con la ley, evidentemente. Pero hay una serie de
ámbitos en los que se deja mucha
libertad al responsable. Por ejemplo, ya no se dice qué medidas de seguridad
hay que implantar, sino que en función de lo que hace, cada uno debe tomar las
medidas que considere oportunas. La ley no dice cuáles.
Por tanto, se estipulan claramente las obligaciones pero no la manera
de cumplirlas.
Se pasa a un modelo de responsabilidad activa, en inglés accountability. Hay quien ha dicho, en
la Comisión Europea, que supone que las personas que aplican la protección de
datos pasan a ser mayores de edad, a
tomar sus propias decisiones. ¿Qué es lo que ocurre? Que la Agencia de
Protección de Datos va a decirnos si la decisión que hemos tomado es o no
correcta. Ahora dice si yo cumplo o no con un determinado artículo del
reglamento. Ahora, lo que va a hacer es decidir si lo que una persona ha hecho
es suficiente y adecuado para garantizar los datos.
Este control se va a dar en situaciones en las que se produzca alguna
situación de riesgo, se va a dar de manera aleatoria… ¿Cómo se va a ejercer
este control?
EL control lo va a ejercer la
agencia como ahora, previa denuncia. La agencia nunca inicia inspecciones de
oficio como Hacienda. Y si las hace no son para sancionar, sino para ver cómo
está el panorama y elaborar conclusiones y recomendaciones. Normalmente actuará
por denuncia, y si procede, iniciará el expediente sancionador.
¿Qué implican estos cambios para el día a día de la labor del abogado?
Al principio van a tener que cambiar bastante. Quien esté ya
adaptado a la ley actual, con toda normalidad seguro que sigue estando adaptado
a la nueva normativa. En cuanto a su acción cotidiana de cumplimiento de la
ley, poco va a cambiar. Tiene que llevar un registro de acciones de
tratamiento. Tiene que comunicar las
violaciones de seguridad. Tiene que cambiar la cláusula informativa. El
consentimiento pasa a ser ahora explícito cuando antes podía ser tácito. Hay
muchas cosas que cambian.
Pero en mi opinión el cambio más
importante es que se crea una figura nueva, la del delegado de protección de
datos, y aquí si hay una oportunidad y un reto para los profesionales del
derecho. Los abogados con conocimiento de protección de datos, con experiencia,
o que se quieran formar en protección de datos, pueden hacer las veces de
delegado de protección de datos. Todas las administraciones públicas tienen que
tener su delegado. Los 8.000 municipios, las CC.AA., la Administración del
Estado, las Diputaciones Provinciales… Todas. Las empresas que traten datos
especialmente protegidos tienen que tener un DPO, un Data Privacy Officer. Y esa es una oportunidad para los abogados.
¿Hay algún otro cambio importante en la ley?
Yo diría que el cambio de
perspectiva. El cambio de orientación, y sobre todo, que sea una oportunidad
para que los abogados ya por fin asuman la importancia que tiene la protección
de datos. Porque por desgracia, todavía sigue siendo una materia, una realidad
no incorporada con normalidad al mundo jurídico. Hay muchos abogados que no
cumplen la ley porque no son conscientes de sus obligaciones, y por eso también
hay muchos abogados que no saben que podrían prestar servicio como consultores
en protección de datos.
La abogacía tiene que darse
cuenta de que aquí hay un compromiso con un derecho fundamental y además hay
una oportunidad de prestar servicios. Pero eso requiere tener conocimientos en
derecho, tener práctica y experiencia en protección de datos y estar en disposición de ejercer como
Delegado de Protección de Datos.
También es muy importante la
labor de los colegios de difusión, divulgación y concienciación en materia de
formación de datos. Incluso también en materia de formación y capacitación,
para que puedan los colegiados ser DPOS´s. Yo dirijo un master de protección de
datos en mi universidad, San Pablo CEU y tenemos un acuerdo con el CGAE.
¿En qué punto está la tramitación de la nueva ley?
El anteproyecto se elaboró en
mayo de este año. Se ha informado ya por la Agencia de Protección de Datos, por
el Consejo general del Poder Judicial, se ha tramitado la información Pública y
ya incluso hay dictamen del Consejo de Estado. Una vez que el Consejo de
Ministros lo eleve al Congreso como Proyecto de Ley ya sería posible que
estuviese aprobada para mayo, junio o julio del año que viene. Va adelantado. De hecho, de los países de la
UE, solo Alemania a ha aprobado un ley. Y España creo que es uno de los que va
más adelantados.
