La LOPD es el patito feo de la Administración Local
En mis años de experiencia en la Administración Local (en un Cabildo y en un Ayuntamiento) he comprobado algo que, por lo que veo en otras administraciones similares, es una práctica habitual: tomarse la protección de datos personales como algo muy accesorio y siempre desde una actitud reactiva (cuando pasa algo, se actúa).
Aunque mi formación y los puestos que he ocupado han estado relacionados con las funciones propias de un cuerpo superior de tecnología (A1), lo cierto es que siempre me ha atraído este tema que está a caballo entre lo legal y lo tecnológico. La gestión de la LOPD es habitual verla asociada al departamento de informática/tecnología o incluso a alguno del tipo Organización o Asuntos Generales, nunca he visto la gestión de la LOPD como una función propia de los Servicios Jurídicos, normalmente más centrados en otros asuntos más importantes.
¿Y cómo acaba un informático gestionando la LOPD? Muchas veces por imposición. Dado que en la Ley aparece mucho la palabra «fichero» enseguida nos viene a la mente un concepto informático, se habla de datos, de medidas de seguridad, de accesos, de almacenamiento, de permisos , de registros,… claro, es normal que todo esto sea más cosa de los tipos de informática. ¡Pues que lo hagan ellos!. Yo he visto cómo esas funciones de gestión de la LOPD recalaban en varias personas, todas de perfil técnico informático, de distintas categorías, hasta hubo en tiempo que yo mismo era el responsable, pero todo decidido de aquella manera, unos lo llevaban porque les tocaba y otros, como en mi caso, porque además, me gustaba mucho el tema.
Cuando tienes entre manos la gestión de LOPD en una Administración Pública, si no sabes lo que estás haciendo, tienes un problema. Y si sabes lo que estás haciendo, entonces tienes un marrón de los buenos. Pero claro, lo normal es que cuando te toca no es que dediques tu jornada de trabajo a realizar estas funciones, suele ser un añadido como cuando te dicen, «ah!, a partir de ahora te toca, al llegar a la oficina, abrir la ventana del fondo para que se ventile la oficina«… y les aseguro que las tareas que conlleva esa gestión no son triviales, ni mecánicas.
La mayoría de los compañeros de mi rama detestan estas labores (las ven muy engorrosas y excesivamente jurídicas) y cuando hablas con la parte jurídica compruebas que, o no tienen ni idea, o lo ven como algo informático y les parece igualmente engorroso. Al final, o encuentras un perfil transversal para que se ocupe de esta gestión o lo acaba llevando alguien por obligación y con desgana. En algunos casos, como los que he vivido personalmente, acabas subcontratando un asesoramiento legal especializado en protección de datos, un recurso que bien utilizado puede suponer un avance importante que viene a cubrir una necesidad real con personal especializado. Pero esto no deja de ser pan para hoy hambre para mañana, tiene que haber personal interno que gestione de forma eficiente la LOPD.
Creo que, en muchos casos, la Administración no tiene esa conciencia de privacidad y asocian (erróneamente) la LOPD a esas cláusulas informativas (en algunos casos un par de líneas) al final de los formularios en papel, y con suerte hasta puede que las veas en formularios online. Eso, y tener declarados los ficheros ante la Agencia Española de Protección de Datos. Todo un clásico eso de decir que se cumple la LOPD porque «tengo declarados los ficheros«. Pues muy bien, majete, eso no solo es algo que tienes que hacer por obligación (hasta dentro de unos meses que venga el huracán RGPD), sino que solamente es el comienzo de algo mucho más grande y que tendrás que gestionar de por vida… aunque una vez declarados los ficheros, ahí se quedan de por vida (como los funcionarios).
Yo me he comido alguna revisión completa de ficheros, nuevas altas, modificaciones y supresiones, publicaciones en boletines oficiales, cambios de finalidad, cambios de titularidad, homogeinización, y muchas reuniones de revisión de procedimientos para ver el flujo de los datos personales. Cuando te acercas a un departamento para ver cómo gestionan los datos personales te puedes encontrar con gente que apenas ha oído hablar de ello (y en algunos casos les da igual) o que te ven como su salvador para resolver aquellas dudas que tenían al conocer la LOPD y no saber cómo aplicarla correctamente.
Es curioso ver como la LOPD suele ser uno de los temas comunes que entran en todos los temarios de oposiciones, sobre todo en los cuerpos superiores, pero después queda relegada en una esquina, muy por detrás de la ley de contratos o la ley de procedimiento administrativo (sí, con leyes nuevecitas).
Aún no conozco a ningún Responsable de Seguridad en la Administración Local, tal y como lo establece la LOPD (nombrado como tal), y hablamos de una Ley de hace 18 años y de un Reglamento regulador de hace 10. No veo la más mínima preocupación política ni directiva por un tema que debería preocupar (y mucho). Al fin y al cabo la gestión de la LOPD no da visibilidad, es de esos trabajos que hay que hacer (pero solo lo mínimo). Hasta que ocurre algo grave, como expedientes con datos personales perdidos en contenedores a la vista de todos o fugas de datos en pen drives olvidados en una cafetería. Pero ni con esas, al no haber sanciones económicas para la Administración tampoco es algo que resulte muy grave para el político de turno, como mucho acaba en un buen rapapolvo o en el cambio de la persona que gestiona la LOPD, pero sin más responsabilidades ni mayores medidas paliativas.
Y ya no te cuento lo que se nos viene con la nueva regulación europea. Algunos venimos hace casi dos años siguiendo la pista de lo que se nos viene en mayo de 2018. Algunos hasta hemos advertido de todo lo que hay que hacer para que se produzca una transición suave… pero como quien escucha cantos de sirena. Lo malo es que los sueños pueden convertirse en pesadillas. Voy a ver muchos cuentos del lobo cuando entre en vigor el nuevo Reglamento Europeo de Protección de Datos y la nueva LOPD (que se estima que entre en vigor por la misma época). Habrá prisas «por cumplir», pero este RGPD deja mucha más libertad (y proactividad) para su cumplimiento, y otra cosa no se, pero proactiva proactiva no suele ser la Administración. Veremos cómo se encaja un DPO dentro de la estructura organizativa de la Administración (acabará siendo un contrato jugoso para muchas consultoras). Los departamentos de Recursos Humanos también tienen mucho que decir en esto, hay que repartir responsabilidades, habrá que crear nuevos puestos y probablemente nuevas unidades orgánicas, con personal formado (por ejemplo siguiendo el itinerario propuesto por la AEPD y la ENAC).
Reconozco que es un tema que me apasiona (junto con la Transparencia), pero tiene tan poco apoyo que al final desconectas. Sabes que las cosas no se están haciendo bien, lo reportas, pero no se hace nada. Sin consecuencias tangibles por incumplimientos todo seguirá igual. Espero equivocarme.
Buenos días.
Coincido contigo en que en la administración local, el cumplimiento de la normativa en materia de LOPD tiene que contar, aún más que en la empresa privada, con una conciencia interna arraigada. He tenido la oportunidad de participar en mucho proyectos LOPD en ayuntamientos y siento decir, que la motivación en el 90% de los casos (hay loables excepciones) era más buscar una justificación para el departamento de IT y reclamar competencias que creían perdidas que no el propio cumplimiento de una ley.
Sobre los responsables de seguridad, esta figura la han asumido muchas veces los secretarios municipales, pero con la carga de trabajo que llevan, al final se queda arrinconada y cuando les preguntas por sus funciones, generalmente ni se acuerda de que alguien les dijo que iban a ser «responsables de no se que…».
Un pena, pero es lo que hay. De todas formas, seguimos peleando.
Tiene sentido lo del responsable de seguridad en los Secretarios, aunque ellos ni lo sepan 😉
No puedo estar más de acuerdo contigo.
Soy un asesor externo de ayuntamientos pequeños (muy pequeños). De los que no tienen ni dinero ni personal…
Añadiendo a lo que comentas, me gustaría añadir la firma de convenios con Diputaciones, Gobiernos autonómicos u otros entes, donde se ceden datos de los vecinos del pueblo, sin contar con su consentimiento ni estar contemplada su cesión bien por la Ley de Bases de Régimen Local o la LOPD.
Los políticos (ni muchas veces los secretarios) se los suelen leer, aunque hoy en día introduzcan cláusulas del tipo «el ayuntamiento, para la cesión de de los datos deberá contar con la autorización expresa del interesado…», algo que, evidentemente, ninguno tiene… De esta forma, la culpa de la cesión siempre la tiene el Ayuntamiento..
O los servicios subcontratados con empresa externas a las que se les da la libertad total sobre los datos que recojan y traten, aunque lo hagan en nombre de los propios Ayuntamientos o que los datos sean de nivel alto y de menores de edad (p.ej. integración de menores en la sociedad)…
Lo triste del caso es que estás prácticas van a ser muy difíciles de cambiar, incluso con la entrada del RGPD, sobre todo en los muy pequeños.
Cierto, qué poca conciencia con la privacidad, triste. 🙁
[…] y no será porque no se haya insistido desde distintos departamentos. La LOPD no mola, como ya dije en otro post. Y por supuesto, muy relacionado con lo anterior, el Esquema Nacional de Seguridad nos vino a […]