Las Administraciones Públicas mantienen su impunidad cuando violan las normas de protección de datos

ENATIC ha organizado su congreso anual, ENATIC Privacy 2023, en formato online el pasado jueves. En el mismo se abordó la trayectoria de los cinco años del Reglamento General de Protección de Datos (RGPD) y los desafíos para el futuro de los delegados de Protección de Datos. En este evento colaboró la Universidad Carlos III y asociaciones profesionales como APEP e ISMS Forum.

Fue en el debate que mantuvieron Borja Adsuara, experto en derecho, estrategia y comunicación digital, y Rodolfo Tesone, presidente emérito de ENATIC cuando, al profundizar en la labor del profesional jurídico y la garantía de los derechos digitales, se hizo un repaso a la normativa actual, que permite que las administraciones publicas mantengan su impunidad y no sean sancionadas en materia de protección de datos, como sí ocurre con las empresas privadas.

En este encuentro se recordó que puede haber una multiplicidad de figuras en materia de privacidad que es previsible lleguen también al sector público “habrá que implementar en España el coordinador de servicios digitales de la DSA [Digital Services Act], también aparecerán otros reguladores como el de la Inteligencia Artificial (IA), el de protección de datos, este coordinador de servicios digitales que van a generar mucha problemática, especialmente a las pymes”.

Adsuara recordó que desde 1992, con la aparición de la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD) no se multa a las administraciones públicas por un tratamiento irregular de los datos. “Lo comentaba en una charla a un secretario de un ayuntamiento en un evento al que acudieron cerca de mil profesionales y es que, pese a las obligaciones existentes en protección de datos para las corporaciones locales, si no se hacen no serán sancionados. Solo se recibirá un apercibimiento”.

Desde su punto de vista, “esta cuestión es bastante desmoralizante para el resto de empresas, pymes y autónomos que cumplen con la normativa de privacidad. La Administración, que es la primera que debe cumplir con esas normas, lo primero que te preguntan es saber qué les puede pasar si no cumplen con dicha normativa de privacidad. Tampoco es excusa que digan que si se multa a esa Administración la acabarán pagando los contribuyentes”.

Por su parte, Tesone reconoció en su turno de palabra la transversalidad del derecho digital, que afecta a varias disciplinas del derecho. “Eso ha hecho que cualquier organización que disponga de un equipo jurídico debe ser lo suficientemente amplio para atender todas estas necesidades derivadas de dicha transversalidad”.

Imagen del debate virtual mantenido por Borja Adsuara y Rodolfo Tesone. (Foto: E&J)

Las administraciones esquivan las multas

Ambos expertos son partidarios de las multas e inhabilitaciones llegado el caso a esos profesionales del sector púbico que no cumplan con la normativa de privacidad, a imagen y semejanza de lo que sucede en el sector privado. “Hasta que no sean multados, no se formará a los funcionarios en materia de privacidad ni se extenderá la figura de DPO, ausente en la mayor parte de las organizaciones y entidades públicas”, comentaron.

El presidente emérito de ENATIC recordó que “desde el primer momento de su constitución, en nuestra asociación hemos sido contundentes con este tipo de situaciones. Ha llegado el momento de acabar con este abuso. Además, invitamos a sumarse a todo el que quiera a una declaración reivindicativa que tendríamos que elevar a la autoridad de control. Se trata de hacer la fuerza que debe hacerse para revertir esta situación”.

A este respecto, recordó que “el propio RGPD permite multar o no a las administraciones públicas. En este sentido, hay registrados 104.000 DPO, según datos de la Agencia Española de Protección de Datos (AEPD). De ese total de DPO sólo 900 están certificados. “Eso supone que el poder acreditar una formación o una capacitación en el ejercicio de sus funciones resulta complicado sin dicha acreditación. Sólo el 1% está al nivel que se le espera. No podemos seguir mirando para el otro lado en este tipo de cuestiones. Debemos reivindicar que la AEPD persiga este tipo de malas praxis porque las administraciones no dan ejemplo”.

Adsuara también ha mostrado su preocupación “por el uso que hacen las autoridades púbicas de las herramientas de IA. En el Reglamento futuro de IA hay una serie de usos prohibidos y de alto riesgo para estas administraciones. Nos preocupa que en dicho Reglamento se pueda incluir que estas entidades públicas no serán sancionables, porque entonces hay que plantearse quién revisa la actividad de la Agencia Tributaria o Dirección General de Tráfico u otros organismos”.

Al final, tanto Tesone como Adsuara al igual que otros expertos consultados por Economist & Jurist, son conscientes de la necesidad de un cambio legislativo que modificase la ley actual y acabara con estos privilegios adquiridos de las distintas administraciones públicas. “No será fácil promover ese cambio en estos momentos al haber muchos defensores de la medida y también detractores de ese cambio”.

Necesidad de un cambio legislativo

Por su parte, Carlos Sáiz, presidente de ENATIC y vicepresidente de ISMS Forum, subraya que “no podemos olvidar que el RGPD europeo da libertad a cada país para regular esta cuestión en cuanto a si las administraciones públicas deben ser objeto de sanción. Hay países donde sí existen estas sanciones, en España, ya antes de la entrada en vigor de esta normativa europea se eximia a estas entidades de ser sancionadas”.

En este contexto, “el papel de la AEPD se basa en señalar esas conductas irregulares desde el apercibimiento, como sanción. Recientemente, el regulador publicó un listado de estas entidades públicas que habían incumplido este tipo de normativa de privacidad en el periodo 2020 a 2022. En muchos de esos casos se observa que no tienen ni nombrado un DPO

En la actualidad, de los algo más d 104.000 DPO existentes en España, cerca de 8.000 pertenecen a entidades públicas. “Eso hace que nos encontremos con malas praxis en este tipo de organismos, donde la privacidad no es prioritaria y lo consideran como algo superficial. Eso se observa en las contrataciones que hacen de estos servicios muy por debajo de los precios de mercado”.

Otra cuestión que preocupa a Sáiz es que “aún faltan muchos DPO por nombrar en al Administración Pública. Deben las autoridades de control de nuestro país promover alguna iniciativa para que crezca la implantación de estos profesionales en este tipo de entidades. Deben nombrarlo con la dedicación y las responsabilidades que la norma prevé y no salir del paso con cualquier profesional que se contrate”.

Según Sáiz, se observa que “en estos cinco años de implantación de RGPD hay un cumplimiento irregular de la norma en las diferentes administraciones. Hay entidades pequeñas que apenas hacen nada, otras hacen más cosas, se lo toman más en serio realizan inversiones y contratan a buenos profesionales. Aquí hay que hacer una labor de concienciación y de cultura porque hablamos de algo fundamental en un contexto de transformación digital y de transformación electrónica”

A juicio de este experto, “en todo este escenario que se avecina el trato de los datos personales es fundamental. Ahora, con la IA y las herramientas que se desarrollan hay que tener en cuenta su sistema de aprendizaje y la tecnología, lo que es el data center, alimentado por la gran cantidad de datos que hay en las administraciones. Pero si no hay una buena base de cumplimiento de protección de datos será difícil cumplir la normativa de IA que se avecina”.

Carlos Saiz y Mar España en un evento de ENATIC. (Foto: ENATIC)

Sensación de impunidad

Para Marcos Judel, presidente de la Asociación Profesional Española de la Privacidad (APEP) y otro de los ponentes de evento organizado por ENATIC, “efectivamente las sanciones de la AEPD y otras autoridades de control contra las administraciones públicas no llevan aparejadas multas económicas, y por mucho que se publiquen y se comuniquen al defensor del pueblo no es bastante para lograr el cumplimiento de la normativa”.

En su opinión, “más bien al contrario, existe una cierta sensación de impunidad, vulnerar los derechos y libertades de los ciudadanos no tiene consecuencias reales contra sus responsables”.

A su juicio, “esta situación supone un grave agravio comparativo con el sector privado, sobre el que también se publican las resoluciones y que les supone un grave daño reputacional y económico. Un sector, por cierto, que tiene más delegados de protección de datos nombrados que la administración pública y que invierte en seguridad y protección de datos para estar bien asesorado y cumplir con la normativa”.

Desde su punto de vista “vulnerar la protección de datos, vulnerar los derechos y libertades de las personas, no puede tener una gran repercusión en las empresas y apenas ninguna en la Administración Pública”.

Este experto reconoce que “cada vez hay más voces que reclaman un régimen sancionador más duro contra las Administraciones Públicas, incluyendo que sus dirigentes tuvieran algún tipo de responsabilidad directa, como por ejemplo ceses o despidos si se sigue con el criterio de que no haya sanciones económicas”.

“En cualquier caso, no todo se consigue con multas, sino también con concienciación y con cultura en la importancia de proteger datos personales, es decir, a las personas” destaca.

Marcos Judel, presidente de APEP. (Foto: APEP)

También es importante que las administraciones se doten de buenos profesionales, formados y capacitados, pero especialmente que lo hagan en base a planteamientos de servicio acordes a sus necesidades, no para cubrir el expediente, a su juicio

Al final, lo que se requiere es “inversión y presupuestos adecuados. Nombrar un DPD por 300 euros al año sólo puede ser garantía de que no se hará lo necesario para cumplir con la responsabilidad activa del reglamento”.

En este congreso, otros temas que se abordaron fueron la regulación de la Inteligencia Artificial (IA) y el papel del DPO en ponencia impartida por Leonardo Cervera, director del Organismo Supervisor Europeo de Protección de Datos, donde el desarrollo de esta tecnología disruptiva abre un campo de retos importantes para estos profesionales.

En otra mesa redonda se profundizó en el papel de los delegados de Protección de Datos, su responsabilidad profesional, posibles malas praxis y riesgos para los responsables de tratamientos. En la misma intervinieron Julián Prieto, subdirector general de Promoción y Autorizaciones de la AEPD; Marcos Judel, Daniel García, managing director de ISMS Forum. Fueron moderados por Belén Arribas, vicepresidenta de ENATIC.