Andalucía no está preparada para cumplir con lo que establece el Reglamento de la Unión Europea en materia de Protección de Datos, aprobado desde abril y que entrará en vigor el 25 de mayo próximo. Su adaptación, según el director del Consejo de Transparencia y Protección de Datos de Andalucía, Manuel Medina, es “muy deficiente”, y difícilmente va a llegar a tiempo.
El Consejo de Transparencia y Protección de Datos tiene asumidas desde su creación las competencias en materia de transparencia, pero no así, pese a su nombre y a que así estaba previsto en el Estatuto de Autonomía de 2007, las de Protección de Datos. Hace falta que la Junta de Andalucía apruebe una normativa de desarrollo, y aún no se ha dado ningún paso en esta dirección.
El nuevo sistema que plantea el Reglamento 2016/679 del Parlamento Europeo y del Consejo representa un cambio “radical”, en palabras de Medina, con respecto a lo que había hasta ahora. Los sujetos obligados, es decir, las administraciones públicas y también algunas empresas, deben asumir una serie de obligaciones y exigencias, tanto en cuestión de procedimientos como de organización interna. Y la primera de ellas sería nombrar a un “delegado de Protección de Datos”, una figura que no existía hasta ahora, y que será el encargado de garantizar y vigilar que la entidad cumpla con lo que estipula toda la normativa en la materia.
“Ni una sola administración, ni una sola empresa pública, ni un solo ente ha nombrado aún a su delegado de Protección de Datos. Y es este delegado el que tendría que impulsar la puesta en marcha de todas las medidas recogidas en el Reglamento europeo”, opina Manuel Medina.
Una de las cosas que hay que decidir es cuántos delegados de protección de datos habrá dentro de la estructura de la Junta de Andalucía, por ejemplo. Si habrá uno por Consejería, si por delegaciones provinciales, si en función del tipo de información -no son iguales, a efectos de protección de datos, los que afectan a la salud de las personas o a menores de edad que el resto- será necesario que haya más de uno... “Esas decisiones, que son políticas, las debe tomar la Junta de Andalucía”. Y ya vamos tarde, opina Medina.
No es algo que se pueda improvisar, afirma el director del Consejo. “Lo que se hacen corriendo no se hace bien. No tengo las competencias, porque no se ha aprobado el desarrollo normativo del Estatuto que se las daría al Consejo, pero me siento obligado a reclamarlo”.
El director del Consejo de Transparencia y Protección de Datos de Andalucía cree que “no va a ser tarea fácil”, por ejemplo, encontrar profesionales con el perfil que el nuevo reglamento europeo exige, personas con conocimientos específicos en Derecho y Protección de Datos.
Libertad e independencia
El artículo 37 del reglamento, al que Andalucía debe adaptarse antes de su entrada en vigor en mayo, define las características del delegado de Protección de Datos. Y el artículo 38, su “posición”.
La normativa comunitaria deja bien claro que será un ente que podrá actuar con absoluta independencia. Así, determina que los responsables del tratamiento de los datos a proteger en cada institución o empresa “garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales” y que “respaldarán al delegado de protección de datos en el desempeño de sus funciones (...), facilitando los recursos necesarios” para ello, incluido “el acceso a los datos personales y a las operaciones de tratamiento”.
De manera específica, el reglamento recoge que los responsables del tratamiento de los datos “garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones”
Y éste, además, “no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.
Sus funciones
Medina insiste en que mientras no se nombre a los delegados de protección de datos, habrá otras muchas exigencias del reglamento que no se podrán atender.
De hecho, es él el encargado de informar y asesorar al responsable o al encargado del tratamiento de los datos y a los empleados encargados de esta función “de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros”, según recoge el artículo 39 del mismo.
Además, tienen que supervisar el cumplimiento de lo dispuesto en el Reglamento, o en cualquier otra disposición de protección de datos de la UE y “de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”.
Merma del autogobierno
En España, sólo el País Vasco y Cataluña cuentan con una autoridad de control en materia de Protección de Datos, y del resto de las comunidades autónoma, sólo Andalucía lo contempla en su Estatuto de Autonomía. Pero ello exige un desarrollo normativo. Hasta entonces, es la Agencia Española de Protección de Datos (AEPD) la autoridad ante la que hay que rendir cuentas.
“Es una merma de nuestro nivel de autogobierno”, apunta Manuel Medina. “No es necesario que el Gobierno central transfiera ninguna competencia. Está recogida en el Estatuto. Sólo falta la decisión política”.
Envía tu noticia a: participa@andaluciainformacion.es
