Katie Moum (vía Unsplash)

Reflexiones sobre el delegado de protección de datos en el sector público

/0 Comentarios/en /por

La posible afectación de los derechos y libertades de las personas en relación a los datos de carácter personal debe ser objeto de atención para todo jurista y profesional especializado en este sector pero, sí además se está prestando un servicio en la Administración, como empleado público (funcionario o laboral), debemos ir un paso más allá y orientar nuestros esfuerzos al incremento de la calidad de vida de la ciudadanía.

En general, es necesaria una mayor concienciación en materia de privacidad y disminuir el desequilibrio de control entre los titulares y los poseedores de los datos personales.

El sector público no es ajeno a estos ni a otros problemas, presentando además ciertas características que lo hacen objeto de especial atención:

  • Maneja grandes cantidades de datos.
  • Existe cierta relajación de las personas administradas porque confían en la Administración y, al tiempo, ésta corre el peligro de relajarse al no estar expresamente sancionada su falta de acción.
  • La obligatoriedad normativa de la existencia del DPD en la Administración es un claro indicio de la importancia de garantizar ciertos derechos.

La aplicación de la normativa presenta dificultades de carácter práctico, como por ejemplo la falta de disposición en algunas entidades públicas de personas suficientemente cualificadas para ejercer las funciones de DPD por lo que su designación y comunicación a las autoridades de protección de datos puede constituir un formalismo vacío de contenido.

A continuación analizamos algunas obligaciones y aspectos del responsable y del encargado del tratamiento que aparecen recogidas tanto en el Reglamento General de Protección de Datos (RGPD) como en el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). Deben ser objeto de desarrollo para que se puedan materializar de forma práctica en el sector público:

1. Obligación de garantizar la participación del DPD en las cuestiones relativas a la protección de datos personales

Según el artículo 38.1 RGPD el responsable y el encargado del tratamiento deben asegurar dicha participación, de forma adecuada y en tiempo oportuno. Sin embargo, en determinadas entidades públicas (especialmente las de menor tamaño organizativo) se pueden plantear incógnitas al respecto: ¿Qué cargo o persona concreta de la entidad pública es la encargada de involucrar a este profesional? ¿Cómo lo hará? ¿Cómo establecerá el equilibrio entre su acceso a la información y la confidencialidad o el deber de secreto?

Deberá determinarse la persona o cargo de referencia que velará por “involucrar” de forma efectiva al DPD en la organización. Puede ser útil establecer un procedimiento o protocolo mediante el cual se especifique la forma adecuada de conseguir dicho objetivo, por ejemplo estableciendo los parámetros que permitan asegurar un grado mínimo de participación. Estos procedimientos deberían ser homogéneos para todas las administraciones y atender, además, al desarrollo consensuado de la expresión: “en tiempo oportuno” huyendo de cualquier actuación improvisada o tardía.

Una forma de involucrar al DPD es mediante su participación en reuniones con los cuadros directivos de forma regular. Para ello sería conveniente establecer cronogramas y protocolos sobre el adecuado funcionamiento de dichas reuniones, dejando constancia fehaciente de los acuerdos adoptados en actas. Todo ello para asegurar que, cualquier decisión con implicación en la protección de datos llegará, con toda seguridad, al DPD. Los procedimientos normalizados de trabajo pueden contemplar la prevención de muchos problemas y la forma de resolverlos, como, por ejemplo, el método para consultar con prontitud al DPD ante la existencia de un incidente grave.

El Grupo del Artículo 29 (GT 29) establece que el DPD debe ser tomado en consideración y añade la obligación de argumentar y documentar las razones de no seguir su consejo. Ese especial compromiso es más sólido si se prevén documentalmente estas situaciones y se recoge la forma de proceder en cada supuesto mediante instrucciones o directrices concretas, cómo la determinación de los casos en que debe ser consultado.

La participación está relacionada con la transversalidad y la cooperación y coordinación interdepartamental dentro de la entidad pública. El DPD debe formar parte de los grupos de trabajo que están relacionados con el tratamiento de datos y todas estas relaciones deberían estar previstas y reguladas.

2. Obligación de respaldar al DPD en el ejercicio de sus funciones

De acuerdo con lo preceptuado en el artículo 38.2 RGPDUE, el responsable y el encargado ofrecerán respaldo al DPD. Esto se materializa facilitando:

  • Acceso a los datos y a las operaciones de tratamiento. (Artículo 36.3 Proyecto LOPD).
  • Los recursos necesarios para desempeñar sus funciones.
  • El mantenimiento de sus conocimientos especializados (formación).

Todo ello requiere que, de forma previa, se conciencie y se instruya al empleado público de forma que sea conocedor de estas necesidades para no obstaculizar su puesta en práctica en cada entidad. Pero, además, debería precisarse el alcance real de todos y cada uno de estos aspectos. Al igual que ocurre con otros conceptos jurídicos indeterminados (como “a gran escala”) existe poca claridad y definición que puede ralentizar el ejercicio de las funciones del DPD.

Por eso ofrece mayores garantías la existencia de directrices claras o instrucciones que delimiten con toda la exactitud posible la forma de acceso, los recursos que se consideran mínimamente necesarios y los programas y horas mínimas destinadas a la actualización de conocimientos, así como la organización interna para hacer posible dicha formación.

3. Independencia o autonomía del DPD

Una de las características más importantes de la posición del DPD es su autonomía e independencia (Artículo 38.3 RGPDUE), definida en tres aspectos:

  • El responsable y el encargado deben garantizar que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones.
  • No puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • El DPD rendirá cuentas al más alto nivel jerárquico del responsable o encargado.

La última redacción del Proyecto LOPD ha añadido una frase al anterior artículo 36.2 sobre la Posición del DPD: “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Las garantías para asegurar la autonomía del DPD deberían ser concretadas, especialmente en el caso de aquellas personas que desempeñan estas funciones con carácter interno en la entidad pública y, en particular, si compagina la función de DPD con el desarrollo de otras tareas en la entidad.

Cuanto más definidas estén las actividades y más experiencia y conocimientos posean los responsables de cada departamento o área de DPDs, más fácil será lograr una autonomía real.

Respecto a la rendición de cuentas, el DPD reporta su actividad a los más altos responsables de la organización y estos deberían adoptar las medidas adecuadas para cumplir sus indicaciones. Solo así se hace real su actividad de supervisión. Sin embargo esta tarea puede verse obstaculizada por determinados intereses y prioridades de carácter político que hace necesaria la previsión de consecuencias y resolución de este tipo de incidencias mediante procedimientos preestablecidos.

El artículo 36.2 del Proyecto LOPD específica que el DPD sólo podrá ser removido o sancionado si incurre en dolo o negligencia grave en su ejercicio. En el caso de las entidades públicas podemos plantearnos la duda de quién debe instruir estos procedimientos disciplinarios para asegurar una total neutralidad. La determinación del propio concepto “grave” también puede generar incógnitas.

Otro aspecto a estudiar relacionado con la necesidad de autonomía es la posibilidad de ejercer las funciones de DPD por parte de personas en régimen de interinidad.

La consecución de la independencia real puede que sea una de las preocupaciones prioritarias de los profesionales de la protección de datos.

En el caso del DPD interno a tiempo parcial deben establecerse salvaguardas específicas de detección y de adopción de soluciones alternativas si surgen conflictos de intereses. Como en los casos anteriores, la previsión normativa y organizativa resulta imprescindible en el sector público.

4. Otros aspectos sobre la figura del DPD en el sector público

La Agencia Española de Protección de Datos (AEPD) ha considerado necesario establecer un sistema de certificación de profesionales de protección de datos que permite evaluar a los candidatos. Sobre los requisitos de formación del DPD en el sector público, la provisionalidad en la designación de la acreditación de las entidades certificadoras no ayuda. A fecha de hoy sólo dos han conseguido la designación definitiva. A pesar de ser un punto de referencia para acreditar la capacidad y la formación profesional adecuada, el DPD público requiere otros conocimientos relacionados con la legislación y los procedimientos administrativos.

5. Externalización e Internalización

La decisión de externalizar o internalizar el DPD del sector público presenta argumentos a favor y en contra. De un lado la externalización puede generar una disminución en el control. De otro, parece que resulta más fácil asegurar la independencia o autonomía del/de la profesional.

Pero si consideramos que la prestación de servicios relacionados con la protección de datos implica cierto ejercicio de autoridad, la opción de desempeñar el cargo un/a funcionario/a gana terreno. Si optamos por esta solución habrá que consensuar su posición orgánica concreta en la estructura de puestos de trabajo definiendo su estatuto.

Después de escuchar las opiniones de varios profesionales que ejercen las funciones de DPD en el sector público, podríamos priorizar en orden de relevancia los aspectos prácticos más preocupantes a fecha de hoy:

  • Hacer efectiva la ejecución real del despliegue orgánico que comporta la nueva figura del DPD en el sector público tal y como prevé la normativa. (Y controlar dicho despliegue).
  • Ofrecer la formación necesaria al personal de todas las administraciones públicas. (En especial a las personas de referencia de cada departamento o área).
  • Toma de contacto real e inicio de las actividades de cada DPD.
  • Establecer los criterios básicos mínimos aplicables a todas las administraciones públicas para que la supervisión de la actividad en cada organización sea homogénea.

Las reflexiones sobre todos estos aspectos pueden ayudar a generar debate y ser autoconscientes del punto real de partida en el cual nos hallamos. El análisis de estas situaciones debe servir para prever los problemas y para sugerir soluciones efectivas.

Para ello se va a requerir un esfuerzo considerable de creación de protocolos, procedimientos normalizados de trabajo, instrucciones, circulares y otras normas cuyo objetivo debe ser la homogeneidad en el sector público reduciendo al mínimo la interpretabilidad estableciendo, entre otros aspectos:

  • La forma de determinación de las personas responsables de los tratamientos.
  • El modo de ser consultado el DPD ante determinadas incidencias y las consecuencias de no seguir sus consejos.
  • La manera de hacer del DPD un interlocutor real en la Administración.
  • Planes y proyectos de organización que aseguren el compromiso de asignación de los recursos y las alternativas en caso de incumplimiento.
  • Convenios de colaboración transversal entre departamentos definiendo totalmente las responsabilidades y las tareas.
  • Planes de formación para los profesionales y para el empleado público.

Nos hallamos ante un gran reto, por otro lado apasionante, cuya implicación y responsabilidad de resolución corresponde, además del legislador y las autoridades a todas aquellas personas profesionales del sector de la protección de datos.

Sergio Duarte

RiskPlayWin (vía Pixabay)

Videocámaras en mi local comercial

/0 Comentarios/en /por

Es cada vez más frecuente que comerciantes y profesionales instalen videocámaras en su local comercial. Los principales motivos para la instalación de estas videocámaras son la protección y vigilancia frente a actos vandálicos e ilícitos, así como el control de la prestación de servicios de los trabajadores. Pero… ¿se puede colocar la videocámara donde se quiera, como se quiera y para lo que se quiera?

La respuesta a estas preguntas es clara: NO. En primer lugar, hay que tener en cuenta que estas videocámaras van a grabar la imagen de personas físicas, la cual cosa se traduce en que va a tener lugar un tratamiento de datos de carácter personal y que, por tanto, va a resultar de aplicación la normativa sobre protección de datos de carácter personal. Por otro lado, no hemos de olvidar la normativa referente a la grabación en espacios públicos y privados, ni la referida a la protección de los derechos de los trabajadores (en caso de que en el local comercial, además del empresario, autónomo o profesional, existan trabajadores).

Respecto a la protección de datos personales, vamos a tener que aplicar el Reglamento General de Protección de Datos (en lo sucesivo, RGPD), así como la normativa estatal que sea de aplicación, por lo que hay que revisar los tratamientos que se estén llevando a cabo para cerciorarnos de que cumplen con la normativa vigente. Respecto al RGPD no vamos a incidir en exceso puesto que ya se ha escrito mucho sobre el tema (en este sentido, me remito al artículo “Datos personales: nuevos retos para pequeñas empresas”).

No obstante, es importante tener en cuenta lo siguiente:

  1. El hecho de disponer de una videocámara no va a servir para cualquier finalidad, de modo que si la videocámara se ha instalado a los efectos de seguridad, para la protección y vigilancia frente actos vandálicos de terceros, no van a poder aprovecharse estas grabaciones para sancionar a un trabajador por incumplimiento de sus obligaciones laborales.
  2. Los principios de proporcionalidad y minimización de datos imponen que únicamente se considerará admisible la instalación de videocámaras cuando la finalidad de vigilancia no pueda obtenerse a través otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal, la cual cosa hace que difícilmente puedan utilizarse las mismas en determinados espacios, incluso dentro del propio local comercial, tales como vestuarios y, por descontado, servicios.
  3. Debe colocarse uno o más carteles informativos (en función de la zona videovigilada), aunque no hace falta que estén al lado de las videocámaras.
  4. En el plazo máximo de un mes desde la grabación de las imágenes, éstas deben ser borradas, salvo que deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

Además, cabe tener presente que no es posible la grabación de la vía pública (lo cual está reservado para las Fuerzas y Cuerpos de Seguridad), salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de las videocámaras, debiendo evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Tampoco pueden grabarse espacios privados ajenos.

Si nos centramos ahora en la utilización de las videocámaras con el objetivo de controlar que los trabajadores cumplen con sus obligaciones laborales, debemos decir que este mecanismo está amparado por el artículo 20.3 del Estatuto de los trabajadores, que autoriza al empresario a “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales […]”, lo que trae consigo que no sea necesario el consentimiento de los trabajadores, ya que el mismo se entiende implícito en la aceptación del contrato de trabajo que, a su vez, comporta el reconocimiento del poder de dirección del empresario. Ello no obsta a que, en el uso de éste o cualquier otro sistema de control, el empleador deberá respetar los derechos fundamentales de los trabajadores, de forma que estas videocámaras únicamente podrán ser ubicadas en los espacios públicos de la empresa (incluido el almacén), pero no en aquellos espacios de uso exclusivo o destinados a actividades íntimas, como servicios o vestuarios.

Por otro lado, existiendo, como hemos comentado, un tratamiento de datos personales derivado de la grabación, es necesario que se informe expresamente a los trabajadores y, en caso de existir, a la representación sindical, acerca de la instalación de las videocámaras con el objeto de llevar a cabo el control empresarial, así como de sus efectos. La captación de las imágenes, sin efectuar la referida comunicación, no es legítima, ya que, aunque la videocámara se coloque en espacios públicos de la empresa, puede ocasionarse una vulneración al derecho a la intimidad del trabajador.

¿Y qué pasa si el empresario tiene indicios razonables de que un trabajador está cometiendo alguna infracción laboral? ¿Puede colocar una videocámara oculta? Como poder, puede, ahora bien, sobre este extremo se ha pronunciado recientemente el Tribunal Europeo de Derechos Humanos, en sentencia de 9 de enero de 2018, en que viene a decir que la videovigilancia oculta a un trabajador en su puesto de trabajo es una injerencia en su derecho a la vida privada. Así, aunque esta videovigilancia oculta se haya implementado tras unas sospechas de hurto por parte de los trabajadores, como en el caso enjuiciado, ha de existir una previa información, aunque sea general, acerca de la instalación del sistema de videovigilancia y de su finalidad, teniendo presente, además, que esta medida solo debería emplearse cuando fuera necesaria e imprescindible para el fin perseguido, no exista otra medida menos lesiva para los derechos fundamentales de los trabajadores y exista una adecuada proporcionalidad entre la duración, objeto y tratamiento de los datos, por un lado, y el fin perseguido, por otro lado.

Laura Melgar Martínez
Abogada y Gestora Administrativa
Socia de Gest&Ius y Abogada de Dereplac Services
LinkedIn (Laura Melgar Martínez)
Twitter (@LauraM_Abogada)