Se nos olvidó el profundo impacto de la legislación nacional en el marco regulador de la protección de datos personales. A fuerza de repetir el carácter uniformador del Reglamento General de Protección de Datos (LA LEY 6637/2016) parecemos haber perdido la perspectiva de ciertos elementos fundamentales sin los cuales el abordaje del cumplimiento en esta materia quedará cojo e incompleto. Este olvido, no lo dude el lector, podría tener consecuencias muy graves para el sector privado que se arriesga a un marco sancionador altamente exigente. Sería sencillamente irreversible para una empresa afrontar una propuesta de sanción de veinte millones de euros por que su delegado de protección de datos o su soporte legal «sólo aplicó el RGPD».
Contra mi propio libro de estilo, permítame el lector usar la primera persona, mirarle a los ojos, y sentirme reconfortado con el deber cumplido al decirle: no descuide la LOPDGDD (LA LEY 19303/2018) porque nos jugamos mucho en este envite. Como investigador, docente y profesional de la privacidad no puedo sino advertir de una peligrosa deriva plagada de riesgos en el correcto entendimiento de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018). ¿Y cuáles son esos olvidos?
El primero de ellos, sin duda, consiste en perder de vista el profundo significado constitucional del derecho fundamental a la protección de datos. La tan citada sentencia 292/2000 del Tribunal Constitucional configura este derecho como un derecho de naturaleza instrumental. Es decir, es un derecho de textura abierta que se relaciona con el entero sistema de derechos fundamentales. Esto significa, que no hay un único modo de afrontar esta materia. No existe un derecho aislado a proteger nuestros datos personales, sino un derecho contextualizado en la salud, la banca, el comercio o la administración.
Un buen delegado de protección de datos no es aquel que aborda su trabajo desde una perspectiva monista. Si lo hace así su tarea se parecerá más bien a la del caballo en el carruaje al que se ponen anteojeras o blinkers sobre la cabeza para que sólo mire al frente. ¡Y el DPD es el cochero, es el que debería tener visión lateral y periférica! Con un enfoque centrado sólo desde el RGPD sus soluciones serán planas e ineficientes. ¿Es que acaso podremos definir la base legal de un tratamiento únicamente desde el artículo 6 del RGPD?
El RGPD contiene más de 50 remisiones a la legislación nacional
En segundo lugar, es indispensable entender que, incluso no existiendo habilitaciones en el RGPD, y como bien señalaba el Consejo de Estado en su informe sobre el Anteproyecto de LOPD, existe en los Estados un cierto margen de apreciación. Ciertamente limitado, pero presente. Es imposible armonizar materialmente a veintiocho Estados, camino de veintisiete, sin reajustar siquiera mínimamente algunos conceptos a la cultura jurídica del país. Pero, en el caso de la LOPDGDD (LA LEY 19303/2018) la cuestión es infinitamente más relevante. Porque, como es sobradamente conocido, el RGPD contiene más de 50 remisiones a la legislación nacional. Llegados a este punto ¿Por qué razón la empresa, y singularmente quienes nos dedicamos a prestar soporte para el cumplimiento normativo deberíamos prestar una enorme atención a la LOPDGDD (LA LEY 19303/2018) y entender que es una norma estratégica?
Para empezar, una parte significativa de la adaptación del RGPD al lenguaje nacional se encuentra en el ámbito sancionador. En este sentido, las potestades de la Agencia Española de Protección de Datos en el Título VII, el procedimiento de tramitación de expedientes sancionadores en el Título VIII, o la adaptación del marco sancionador por el Título IX, constituyen sin duda referentes aplicativos imprescindibles.
Del mismo modo, existen aspectos materiales del RGPD que requieren de su inserción en nuestro Ordenamiento. Desde este punto de vista, la LOPDGDD (LA LEY 19303/2018):
-
1.- Desarrolla condiciones específicas de legitimación para el tratamiento, como por ejemplo en el caso de empresarios individuales y personas de contacto.
-
2.- Modula los principios básicos de los artículos 5 a 9 del RGPD. Por ejemplo, en cuanto a la responsabilidad por la exactitud de los datos o a los procesos de obtención del consentimiento en menores. La simple omisión del concepto «salud» en el artículo 9 LOPDGDD (LA LEY 19303/2018) por sí misma es una revolución en nuestro sistema.
-
3.- Retoma la senda de la Ley de impulso de la sociedad de la información en la digitalización de la atención de los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición al tratamiento.
-
4.- Modula y precisa aspectos claves de las figuras del responsable y el encargado.
-
5.- Configura las capacidades, supuestos y ámbito de actuación del delegado de protección de datos.
-
6.- Acomoda los procedimientos de autorregulación en el caso de los códigos de conducta y las certificaciones e impulsa la mediación como técnica preventiva de cumplimiento y resolución de conflictos.
-
7.- Acomoda procedimientos esenciales en ámbitos como la evaluación de impacto relativa a la protección de datos o las transferencias internacionales de datos personales bajo la competencia de las autoridades de protección de datos nacionales.
-
8.- Ofrece pistas cruciales para la aplicación de la protección de datos desde el diseño y por defecto en el diseño de procesos y aplicaciones en cuestiones nucleares como el bloqueo de los datos, la geolocalización o la videovigilancia.
Por otra parte, la LOPDGDD (LA LEY 19303/2018) desarrolla generosamente las posibilidades que el propio RGPD le facilita tanto en distintas referencias dispersas en su articulado, como en el Capítulo IX sobre «disposiciones relativas a situaciones específicas de tratamiento». De este modo, es imposible que una empresa pueda cumplir adecuadamente con sus responsabilidades en el tráfico ordinario en ámbitos como la morosidad, la publicidad, o las relaciones laborales sin aplicar la LOPDGDD (LA LEY 19303/2018). Y lo mismo sucede con la Administración a la hora de gestionar el procedimiento electrónico, la seguridad o el registro de actividades del tratamiento, entre otras cuestiones.
Pero incluso el tan denostado Título X sobre derechos digitales incluye previsiones estratégicas desde el punto de vista de la protección de datos personales. ¿Cómo interpretar las condiciones de tratamiento de los datos personales de los menores sin incorporar a nuestro acervo de conocimientos el nivel de protección que se otorga a los menores? ¿Cómo orientar nuestros análisis de riesgo o evaluaciones de impacto relativa a la protección de datos en los tratamientos en el ámbito laboral? ¿Cómo hacerlo sin insertarlos en el marco de los derechos a la desconexión, a la intimidad y el uso de dispositivos digitales, o de videovigilancia y de grabación de sonidos en el lugar de trabajo? ¿Cómo gestionar servicios de la sociedad de la información sin contemplar el olvido digital, la asistencia al ejercicio de derechos de rectificación o el testamento digital?
En protección de datos la lectura del Ordenamiento debe ser armónica e integral. En organizaciones complejas ese conocimiento profundo de la materia se abre a la complejidad y la enorme belleza de la interpretación sistemática. No hay reto más apasionante para el jurista. La constante banalización de esta materia, esa tendencia a convertir a rebajar en categoría e intensidad el conocimiento general es un error.
Minusvalorar la importancia de la LOPDGDD será un error de trágicas consecuencias
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), se proyecta sobre todos los sectores público y privado. Y en particular, sobre este último repercutirá de modo muy intenso cuando su modelo de negocio pase por prestar servicios a las administraciones públicas. Créanme mis lectores o lectoras, minusvalorar su importancia, atribuirle un valor secundario, relajar nuestro estado de alerta, será un error de trágicas consecuencias.
#NuevaLOPD
|
Tras el RGPD la nueva LOPD. Libros, herramientas, formación o congresos… Wolters Kluwer pone a tu disposición en este enlace todo lo que necesitas para cumplir con la nueva regulación de la protección de datos.
Llega a España el Primer Congreso de Delegados de Protección de Datos. Wolters Kluwer asume el reto de organizar el Primer Congreso Nacional de Delegados de Protección de Datos. Un congreso de DPO para DPOs. Accede en este enlace a toda la información.
|