La Junta de Andalucía, en términos futbolísticos, está jugando al patadón con el nuevo Reglamento General de Protección de Datos aprobado por el Parlamento Europeo y en vigor desde abril de 2016 y que se aplicará definitivamente a partir del próximo 25 de mayo, al trasladar a la Comisión Mixta de Transferencias la asunción de las competencias en esta materia por parte de la administración autonómica.
Por varios motivos. El principal es que las competencias ya las tiene reconocidas tanto por el propio Estatuto de Autonomía como por la Ley 1/2004, por la que se creó el Consejo de Transparencia y Protección de Datos de Andalucía.
Además, el País Vasco y Cataluña cuentan ya con una autoridad de control en materia de Protección de Datos (Andalucía es la única comunidad, excluyendo estas dos, que lo contempla en su Estatuto de Autonomía) y en ningún caso su creación pasó por la Comisión Mixta de Transferencias.
El Consejo de Transparencia de Andalucía lo es también, nominalmente, de Protección de Datos. Pero su director, Manuel Medina, lleva meses advirtiendo de que el tiempo corre y Andalucía no ha abordado el desarrollo normativo a que obliga el Reglamento 2016/679 del Parlamento Europeo y del Consejo.
Y también el Defensor del Pueblo Andaluz, por su parte, ha expresado la necesidad de que las administraciones públicas de Andalucía se adapten convenientemente al nuevo Reglamento General de Protección de Datos (RGPD).
¿Qué importancia tiene que esto sea así? Según explica Iñaki González-Pol, letrado del Defensor del Pueblo de Andalucía y experto en protección de datos, "el nuevo Reglamento General de Protección de Datos (RGPD) que va a regir en todos los países miembros de la Unión Europea plantea un nuevo enfoque regulatorio de este derecho fundamental, basado en el modelo anglosajón, y exige a los responsables de tratamiento, entre ellos a las administraciones públicas, un mayor nivel de diligencia en el uso que hacen de los datos y poder acreditar que ese uso es conforme a los requerimientos del RGPD". Es lo que se denomina "principio de responsabilidad proactiva" o, en inglés, "accountability". González-Pol insiste en dejar claro que "el próximo 25 de mayo no es el punto de llegada, sino el de partida de una regulación más exigente".
Mayor riesgo de infracción
Según esto, la no adaptación del funcionamiento de la administración al nuevo reglamento incrementa el nivel de riesgo de que se cometa infracción sobre el derecho a la protección de datos que tienen los ciudadanos.
Un ejemplo sencillo: Si hasta ahora bastaba el consentimiento tácito de los ciudadanos para que la administración pudiera tratar sus datos (por ejemplo a la hora de formalizar una matrícula de estudios, inscribirse en un listado de solicitantes de vivienda o pedir una subvención pública, pongamos por caso), a partir del día 25 queda prohibido este tipo consentimiento. Es decir, para esa fecha la administración debe actualizar la información que proporciona sobre protección de datos a través de formularios y de aplicaciones digitales y debe identificar la base jurídica que justifique el tratamiento de los datos, de modo que no servirá, por ejemplo, el uso de casillas premarcadas, ya que ello podría suponer incurrir en una infracción.
Y, ¡ojo!, que el nuevo RGPD contempla que las infracciones, además de las sanciones correspondientes por parte del órgano de control (que en el caso de la administración se quedaban en meros apercibimientos), ahora puedan llevar aparejada una indemnización por la vulneración de un derecho reconocido expresamente a los ciudadanos. Y en ese caso la administración tendría que hacer frente a un desembolso económico, que hasta ahora no tenía que afrontar.
La privacidad debe protegerse desde el diseño y por defecto
Una de las novedades importantes que incorpora el nuevo Reglamento General de Protección de Datos es la posibilidad de que cualquier persona que considere que ha sido vulerado su derecho a la protección de datos pueda solicitar una indemnización mediante un procedimiento de responsabilidad patrimonial.
Ello implica que cualquer infracción en esta materia podrá conllevar, además de una sanción adinistrativa, que ya en la actualidad resulta cuantiosa (hasta 12 millones de euros o el 4% del volumen de negocio anual de una empresa), el pago de una indemnización cuya cuantía habrán de fijar los tribunales.
Las infracciones podrían producirse no sólo en el mal uso de la información protegida, sino en la forma de obtener esa información o también a la hora de diseñar un procedimiento o sistema que implique la recogida o el tratamiento de datos de carácter personal, ya que el reglamento europeo introduce los principios de privacidad desde el diseño y privacidad por defecto.
De esta forma, si una persona se abre, por ejemplo, un perfil en una red social, por defecto debería comenzar a funcionar con todas las opciones de privacidad activadas y no como ha ocurrido hasta ahora, que lo normal era justo lo contrario.
Edad de consentimiento
Uno de los asuntos más espinosos que se plantea en el nuevo RGPD es el de la edad de consentimiento. El Reglamento lo deja en manos de cada país miembro. Pero abre la posibilidad de rebajar la edad de consentimiento hasta los 13 años. En España, en la actualidad, la edad de consentimiento se sitúa en los 14 años. Aunque la tramitación de Ley Orgánica que se encuentra en estos momentos en marcha se está planteando rebajarla a los 13 años.
Iñaki González-Pol insiste en que la fecha del 25 de mayo "es la de salida y no la de llegada". El nuevo reglamento europeo obliga, en este sentido, a mantener una vigilancia permanente sobre los procedimientos que se pongan en marcha para garantizar la protección de los datos de carácter personal y a revisarlos constantemente para garantizar que cumplen su función.
¿Qué hay que proteger?
Hasta ahora, la normativa de Protección de Datos se orientaba hacia la posibilidad de identificar a las personas. Pero ahora la individualización ha dejado de ser relevante. Ya no son las identidades lo que hay que proteger, sino gustos, hábitos, movimientos...
Envía tu noticia a: participa@andaluciainformacion.es
