Carlos B Fernández. El pasado día 20 de febrero, el vicelehendakari primero y consejero de Seguridad del Gobierno Vasco, Josu Erkoreka, presentó en el Parlamento Vasco el proyecto de ley de Protección de Datos Personales, aprobada por el Consejo de Gobierno en diciembre de 2022 y actualmente objeto de debate en el marco de la Comisión de Instituciones, Gobernanza Pública y Seguridad de la cámara autonómica.
Se trata de una norma que pretende adaptar la normativa de la Comunidad Autónoma de Euskadi en materia de protección de datos, contenida en la Ley 2/2004, de 25 de febrero (LA LEY 3123/2004), de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos y sus disposiciones de desarrollo, al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), y completar sus disposiciones.
En su comparecencia, Erkoreka destacó que la nueva norma tiene como objetivo "regular el control y la supervisión del tratamiento de los datos personales de los que el sector público de Euskadi es responsable".
Para ello, contempla la creación de una Autoridad Vasca de Protección de Datos, que sustituirá a la actual Agencia Vasca de Protección de Datos. Un órgano, en palabras del vicelehendaki “independiente, con personalidad jurídica propia, con capacidad para la vigilancia, control y supervisión de las administraciones públicas vascas", facultado para investigar, tanto de oficio como a instancia de parte posibles vulneraciones del derecho a la protección de los datos personales.
Para analizar en profundidad este proyecto, la Facultad de Derecho de la Universidad de Deusto (UD) y la Asociación Profesional Española de Privacidad (APEP), organizaron recientemente una jornada en la que relevantes expertos en la materia expusieron sus opiniones sobre el proyecto.
En la apertura de la jornada, Iñaki Pariente de Prada, socio de Dayntic Legal, profesor de la Universidad de Deusto y ex director de la Agencia Vasca, destacó que este momento de la elaboración de la futura norma es un buen momento para para que los profesionales y las administraciones implicadas se pronuncien en relación al proyecto.
Su marco es el actual Reglamento General de Protección de Datos (LA LEY 6637/2016) (RGPD, que sigue siendo una norma muy compleja y a veces difícil de entender. Con todo, el Reglamento dejó un marco a los estados miembros para adaptar algunos aspectos de su contenido a sus necesidades propias, tal como hizo la Ley Orgánica 3/2018 (LA LEY 19303/2018) (LOPDGDD). Pero ento produjo una discordancia con la normativa autonómica, en este caso, con la ley 2/2004 (LA LEY 3123/2004), que era preciso resolver.
Por ello, los trabajos preparatorios de la nueva ley se iniciaron hace unos dos años, precisamente a impulso de la Agencia Vasca. Un impulso que posteriormente ha asumido el Departamento de Seguridad del Gobierno Vasco, como un proyecto de gobierno.
Pariente destacó que la ley no regula cuestiones materiales. Quizás por ello, apuntón, no contempla, aunque quizás debería haberlo hecho, referencias específicas sobre materias propias de la idiosincrasia propia del País Vasco.
Uno de los aspectos más problemáticos del texto, anticipó, es el de su ámbito de aplicación, en especial en relación con la capacidad sancionadora. Una duda que se refleja en la pregunta de si se pueden sancionar a empresas privadas que trabajen con la Administración Vasca. Igualmente problemáticos resultan otros temas como el concepto de sector público o las materias clasificadas, la publicidad de las resoluciones de la presidencia en el ámbito sancionador, la capacidad de la autoridad para asumir las nuevas funciones que se le atribuyen, junto con la nueva forma de elección de la presidencia, o el consejo consultivo de la Agencia Vasca. Igualmente, la participación de las asociaciones profesionales en la Agencia Española.
Y todo ello en un contexto en el que, además, nos enfrentamos a la llegada masiva de tecnologías como la inteligencia artificial (IA), que pueden implicar un tratamiento masivo de datos personales.
La visión de los y las profesionales de la privacidad
En la primera mesa de la mañana participaron Jorge Campanillas Ciaurriz, socio en Iurismática Abogados; Ana Isabel Herrán Ortiz, profesora de la Universidad de Deusto e Ion Turrillas Sabalza, DPO de BIANTIK, moderados por Pablo Garrote Crespo, DPO de Grupo IMQ, profesor de la Universidad de Deusto y miembro de la Junta Directiva de APEP.
Pablo Garrote comenzó explicando que la ley consta de una extensa exposición de motivos, de 12 páginas de extensión, 42 artículos, agrupados en cuatro capítulos, dos disposiciones adicionales, dos disposiciones transitorias, una disposición derogatoria y una disposición final.
- ¿Una ley para la Autoridad Vasca?
Los cuatro capítulos son de extensión muy desigual, y se dedican a las disposiciones generales (I); la Autoridad Vasca de Protección de datos (II), que incluye el principal contenido de la norma; la capacidad correctiva de la Autoridad Vasca (III), y a otras disposiciones (IV). En concreto, la sección 2.ª del capítulo II se refiere al presidente de la AVPD, apuntando, al parecer, a que debe ser el propio gobierno autonómico quién ha de enviar la propuesta de nombres, un tema sobre el que, recordó, la experiencia estatal no es favorable.
Este foco en la regulación de la Autoridad Vasca hace que, en opinión de Jorge Campanillas, quepa considerar a la futura norma como una ley de dicha Autoridad, más que propiamente como una ley vasca de protección de datos. Por ello, señaló, es una ley muy cómoda para la administración pública, si bien el hecho de que incluya en su ámbito de aplicación a entidades del sector privado, implica un mayor debate.
Por otra parte, añadió Campanillas, el sistema de designación de la dirección de la Autoridad es mejorable, porque es importante poder demostrar su independencia, algo que, en su opinión, se podría haber solventado mediante un mecanismo de consulta previa, en la que los candidatos deberían mostrar conocimientos y experiencia en el sector.
Coincidió con esa opinión la profesora Ana Isabel Herrán Ortiz, quien añadió que esta no es una ley de Protección de Datos, sino de la Autoridad Vasca, en la línea de lo que se ha hecho en Cataluña o Andalucía. Regula el ámbito de competencia de la autoridad vasca. Por eso habría que empezar cambiándole el título. Parece como si estuvieran esperando a concretar más cosas a un futuro estatuto de la Agencia vasca, donde se incluyan las brechas de seguridad, la consulta previa… porque esta norma es reactiva, no preventiva, centrada en el ámbito competencial y sancionador. Su objeto, parece ser el de regular al que regula, o controlar al que controla.
Por ello, en su opinión, sería deseable que en la designación de la presidencia de la AVPD, fuese el consejo consultivo previsto en el proyecto, compuesto por expertos en tecnología y derecho designados por la Autoridad, quien hiciese la propuesta inicial, aun asumiendo que la mayoría parlamentaria pudiese echarla atrás después. Por otra parte, añadió Herrán, el órgano consultivo previsto es muy pequeño, y además, tres de sus ocho componentes van a proceder de la Universidad del País Vasco, de carácter público. En su opinión, en el mismo habría que incluir también a expertos en estadística, transparencia y seguridad, que no se prevén. Por otra parte, añadió, el texto no contempla la figura de un adjunto a la presidencia, que acompañe o supla al director, en su caso, una ausencia que resulta extraño, por la conveniencia de contar con esta figura. Esta persona podría ser alguien ya incluido en el Consejo Consultivo.
Ion Turrillas, por su parte, considera también que los candidatos a la presidencia de la AVPD deberían ser designados por el órgano consultivo, incluyendo los necesarios perfiles técnicos. De otro modo, subrayó, puede haber un importante riesgo de contaminación política. En este órgano debería haber expertos en el ámbito de la IA, para poder conocer, entender y explicar la tecnología. Se trataría de hacer una análisis de riesgos para la Administración Pública y a partir de ahí, identificar las necesidades. Por ejemplo, la opacidad del uso de la IA por la AP es un misterio.
Como anticipó Iñaki Pariente, la ley no regula cuestiones materiales, pues se considera que el RGPD ya se ocupa del contenido sustantivo del derecho fundamental. Por ello, a continuación fue dando paso a los aspectos más polémicos del proyecto.
- Ámbito de aplicación de la futura ley
Según explicó Garrote, el art. 2 del proyecto se dedica a su ámbito de aplicación, en el que incluye a la Administración de la Comunidad Autónoma, al Parlamento Vasco, a las Juntas Generales, al Tribunal Vasco de cuentas y al Ararteko. Pero también a la Universidad del País Vasco, y a las demás que no sean públicas.
Ese mismo art. 2 incluye también a las personas físicas o jurídicas, públicas o privadas, que, como encargados, presten servicios a las Administraciones públicas. Lo que puede ser más grave si se tiene en cuenta que, a menudo, en los pliegos de contratación se asigna la condición de responsable del tratamiento a una persona o entidad.
En opinión de Jorge Campanillas sería conveniente definir qué tratamientos se incluyen dentro del ámbito de aplicación de la ley. Un punto de vista con el que también coincidió la profesora Herrán Ortiz, quien considera que, con la redacción actual, no se sabe si el ámbito de aplicación de la norma se refiere a los tratamientos, a responsables o a los sujetos.
Por ello, debería aclararse, y en su opinión, hacerlo por el lado de los tratamientos, en especial el de las entidades privadas. Más crítica se mostró esta experta con la extensión del ámbito de aplicación de la norma a las Universidades privadas, que no se mencionan como tal expresamente en el texto pero cuya inclusión en su ámbito de aplicación se deduce de su referencia a “las entidades públicas y no públicas”. En el caso concreto de la Universidad de Deusto, se trata de una entidad regulada por el derecho canónico, por lo que su personalidad jurídica no es la de una entidad privada, sino religiosa. En consecuencia, entiende que la ley no se le debería aplicar, porque no tiene encaje en ella. Y de hacerlo, solo debería serlo a los ficheros relacionados con el sistema universitario vasco, no a los que no tengan que ver con él.
Por su parte, Ion Turrillas se preguntó si, con el ámbito de aplicación establecido por el proyecto, va a poder la Autoridad vasca controlar a todas las entidades privadas que prestan tratamiento a las administraciones vascas, en todos los ámbitos. En su opinión, ello supondría abrir un melón gigantesco, que incluiría a una gran número de empresas que se verían arrastradas por la fuerza atractiva de la norma. Está bien que la ley sea ambiciosa, admitión, pero para ello van a hacer falta muchos recursos y capital humano, lo que debería preverse. No tener medios para cumplir lo que se ha asumido no tiene sentido y no redunda en un mejor servicio al ciudadano.
En general, parece que se ha querido aumentar la capacidad recaudatoria.La contratación de personal para momentos de mucha carga de trabajo, está previsto en la normativa sobre contratación pública. Si solo se prevé que se puedan cubrir los puestos que precise mediante funcionarios públicos, se puede limitar mucho el ámbito de posibles candidatos. Se podría permitir la contratación de personas que no lo sean para cuestiones más sencillas.
- Sistemas de seguridad
Este experto recordó que ll año pasado se publicó la nueva versión del Esquema Nacional de Seguridad (ENS) que ya impone muchos requisitos a las empresas que presten servicios para las administraciones públicas con carácter general. Cumplir con todo ello puede resultar muy complejo, y complicarse aun más por la ley vasca. Por ejemplo, mencionó la posiblidad de que que podamos ver la paradoja de que la autoridad vasca exija acreditaciones medias en seguridad, lo que ya supone un elevado nivel de exigencia.
Y es que, añadió, el proyeco no aborda los problemas de seguridad de la información, por lo que se aplica es el ENS, que no aparece citado en la normativa, al igual que otra ya existente. Tampoco se cita la ciberseguridad, se nota la antigüedad del proyecto, por eso y porque tampoco se menciona la IA, no se sabe si por miedo a la futura regulación europea o porque se hiciera como si la AP vasca no sufriera ciberataque. En general, subrayó, parece una ley conservada en formol desde 2015. Por ello sería bueno incluir nuevos perfiles en el órgano consultivo.
- Régimen sancionador
Pablo Garrote sintetizó, a este respecto, que la ley prevé además la publicación de las sanciones superiores a un millón de euros en el BOPV, lo que excluiría a las administraciones públicas. Por otra parte, la ley prevé que la Agencia Vasca se financie también por medio de las sanciones, lo que puede ser un acicate para imponer sanciones elevadas.
En relación con esta materia, Jorge Campanillas señaló que en el ámbito sancionatorio, se excluyen a las administraciones públicas, como ya se hizo en la LOPDGDD, pero al encargado del tratamiento sí se le puede sancionar, y mucho, por el mismo tratamiento. De esta forma, el riesgo lo va a asumir el encargado, que en algún caso puede ser muy grande como Google, pero también más pequeños. En definitiva, se aprecia una desigualdad de tratamiento de unos y otros. Además, también va a depender del tipo de tratamiento de que se trate.
Igualmente crítica con esta regulación se manifestó la profesora Herrán, quien señaló que, en su opinión, el principal problema que plantea esta norma está en el régimen sancionador. El hecho de que las entidades públicas no sean sancionables económicamente, sigue la línea establecida por el regulador estatal. Lo grave es que se quiera incluir como sancionables a las entidades privadas, que pueden prestar los mismos servicios a entidades privadas, en cuyo caso, esa actividad no entraría en el ámbito de aplicación de la ley vasca. Además, en opinión de Turrillas, ante un incumplimiento compartido por una Administración Pública y una empresa con la que se ha subcontratado el tratamiento, se da la paradoja de que esta podrá sufrir las consecuencias económicas de una sanción, de la que estaría exenta la Administración.
El proyecto de Ley y el sector público
A continuación se celebró la mesa redonda “Proyectos tecnológicos y administraciones públicas”, en la que, bajo la moderación de Iñaki Pariente, participaron Iñaki Regidor Mendiolea, Director de Sistemas de EITB; Carlos Ortiz, de la Fundación BiskayTIK; Ione Artola Latierro, DPO de la Diputación Foral de Gipuzkoa, e Irune Larrea Sistiaga, DPO del Ayuntamiento de Donostia-San Sebastián.
En la mesa se repasaron diversos aspectos ya tratados en la sesión anterior, desde la perspectiva del sector público. A este respecto, Iñaki Regidor puso el énfasis en que el cambio normativo también afecta a los informáticos (transparencia, contratos, …). Pero se preguntó si sirven para algo los apercibimientos y las amonestaciones que prevé la norma para los funcionarios. Su opinión es que no, pues no causan mucho efecto, ni afectan a su carrera profesional, ni a la de los contratados. Por tanto, considera que habría que definir mejor qué hacer con un funcionario, o al contratado administrativo, que no cumple con su obligación en el ámbito de los datos. Siempre teniendo en cuenta el principio de que no hagas con datos ajenos lo que no te gustaría que se hiciera con los tuyos.
Por su parte, Carlos Ortiz recordó que desde BiskayTIK apoyan a los pequeños ayuntamientos vizcaínos, que suelen carecer de perfiles técnicos y se mueven a diferentes ritmos, pero a todos hay que dotarles del mismo nivel de importancia. La tecnología avanza muy deprisa y poner puertas al campo es complicado, por eso se tiende a las generalidades. No hay especialistas en todo. Los responsables de la AVPV tendrían que tener conocimientos técnicos, o contar con gente que los tenga. No todo el mundo sabe de todo, por ejemplo, sobre la importancia de la anonimización digital, destacó.
En su turno, Ione Artola destacó la relevancia de las características de la foralidad y la importancia de la capacidad normativa de las diputaciones y de las normas forales en todo el ámbito administrativo, sin olvidar, introdujo Iñaki Pariente, el matiz de las competencias de las diputaciones y sus posibles excesos, generalmente por vía de hecho. En cuanto al consejo consultivo de la AVPD, todos han echado en falta interlocutores sobre datos, IA, transparencia e información pública. Por ello, considera que se podría incluir la previsión de invitar a expertos o la constitución de comisiones especializadas, según los temas. ELa formación es importante, sobre todo para los menoresHaría falta un adjunto, para afrontar ausencias o circunstancias variadas.Bien la publicidad de las sanciones.
A su vez, Talia Besga Basterra, subrayó que la AEPD siempre ha respondido de forma sencilla y rápida a las cuestiones que se la han planteado, por lo que si la agencia vasca lo hiciera igual, sería muy útil, porque les permitiría avanzar con seguridad. La tecnología va más rápido que la ley y a veces no es fácil saber cómo avanzar. Son cada vez más conscientes de lo que significa tratar datos, y las administraciones son cada vez más eficaces en eso. Su empresa era una mercantil pública al 51%, no eran antes ni del todo públicos, ni privados, por eso pasaban por la AEPD, pero con la nueva ley se clarifica un poco.
Finalmente, Irune Larrea Sistiaga, se mostró partidaria de que los ayuntamientos cuenten con más asesoramiento, para poder ofrecer respuestas menos genéricas, de forma que no se pare ningún servicio por no saber cómo hacer. Por ejemplo, ahora les está pasando con las zonas de bajas emisiones, sobre las que echan en falta un acompañamiento. Por lo que se refiere a las sanciones, advirtió que los apercibimientos no van a ningún sitio, pero pueden dar lugar a otro tipo de acciones. En su ámbito, los municipios controlan también los contratos y licitaciones, pero hay que tener en cuenta que la protección de datos no es la única actividad de una institución pública. Además, volviendo al ámbito concreto del proyecto, considera que no está claro si la ley se refiere a los sujetos o a los tratamientos y, por otra parte, para poder llevar a cabo el régimen sancionador previsto, van a necesitar muchos medios [IP: el problema de que lo recaudado por sanciones no se puede destinar a lo necesario, por aquello de las partidas presupuestarias]. Habría que impulsar lo que se hace bien, no pensar solo en órganos de control y sanciones. Hay que ofrecer el mejor servicio público que podamos Sería necesario contar con personas con conocimientos técnicos, actualizados y del mundo real, porque los juristas siempre vamos por detrás de la tecnología.
El papel de los profesionales de la privacidad
En el acto de clausura, Marcos Judel Meléndrez, socio de Audens y presidente de APEP, destacó la importancia de difundir la cultura de la privacidad, sobre la base de que los profesionales de la privacidad, con independencia de su especialización y su ámbito de trabajo, son esenciales para la sociedad, porque se orientan a defender a la persona. Además, la normativa es muy compleja y dura, pero también flexible, por lo que permite a los profesionales aportar el grado de sensatez necesario para que las políticas privadas o públicas puedan desarrollarse con garantía de los derechos de las personas y de la competitividad.
Por ello, continuó, no se nos debe considar como un lastre ni unos stoppers, sino como unos profesionales que ayudamos a que las cosas salgan adelante con garantías. De ahí la importancia de la formación y capacitación profesional, sobre todo ante el tsunami normativo que va a venir de Europa (IA, ePrivacy, DORA, DSA, DMA, Data Act…), normas todas ellas que van a afectar a nuestro día a día y van a ser importantes para ofrecer un servicios de calidad a los ciudadanos. "Los profesionales de la privacidad, destacó a este respecto, no pueden ser los últimos en enterarse de que una organización va a implantar IA. Por el contrario, deben de participa desde el principio en su diseño y deben ser un referente de calidad y excelencia.
El asesoramiento normativo no es fácil y muchas veces requiere de la guía de las autoridades de control, recordó, por eso la colaboración con la AEPD y con la AVPD, es muy buena. Antes los profesionales de la privacidad no estaban en el Consejo Consultivo de la AEPD, desde 2018 sí, pero ahora "el futuro depende del cambio de presidencia", concluyó.