Categorías
Administración Pública LOPD

La LOPD es el patito feo de la Administración Local

En mis años de experiencia en la Administración Local (en un Cabildo y en un Ayuntamiento) he comprobado algo que, por lo que veo en otras administraciones similares, es una práctica habitual: tomarse la protección de datos personales como algo muy accesorio y siempre desde una actitud reactiva (cuando pasa algo, se actúa).

Aunque mi formación y los puestos que he ocupado han estado relacionados con las funciones propias de un cuerpo superior de tecnología (A1), lo cierto es que siempre me ha atraído este tema que está a caballo entre lo legal y lo tecnológico. La gestión de la LOPD es habitual verla asociada al departamento de informática/tecnología o incluso a alguno del tipo Organización o Asuntos Generales, nunca he visto la gestión de la LOPD como una función propia de los Servicios Jurídicos, normalmente más centrados en otros asuntos más importantes.

¿Y cómo acaba un informático gestionando la LOPD? Muchas veces por imposición. Dado que en la Ley aparece mucho la palabra «fichero» enseguida nos viene a la mente un concepto informático, se habla de datos, de medidas de seguridad, de accesos, de almacenamiento, de permisos , de registros,… claro, es normal que todo esto sea más cosa de los tipos de informática. ¡Pues que lo hagan ellos!. Yo he visto cómo esas funciones de gestión de la LOPD recalaban en varias personas, todas de perfil técnico informático, de distintas categorías, hasta hubo en tiempo que yo mismo era el responsable, pero todo decidido de aquella manera, unos lo llevaban porque les tocaba y otros, como en mi caso, porque además, me gustaba mucho el tema.

Cuando tienes entre manos la gestión de LOPD en una Administración Pública, si no sabes lo que estás haciendo, tienes un problema. Y si sabes lo que estás haciendo, entonces tienes un marrón de los buenos. Pero claro, lo normal es que cuando te toca no es que dediques tu jornada de trabajo a realizar estas funciones, suele ser un añadido como cuando te dicen, «ah!, a partir de ahora te toca, al llegar a la oficina, abrir la ventana del fondo para que se ventile la oficina«… y les aseguro que las tareas que conlleva esa gestión no son triviales, ni mecánicas.

La mayoría de los compañeros de mi rama detestan estas labores (las ven muy engorrosas y excesivamente jurídicas) y cuando hablas con la parte jurídica compruebas que, o no tienen ni idea, o lo ven como algo informático y les parece igualmente engorroso. Al final, o encuentras un perfil transversal para que se ocupe de esta gestión o lo acaba llevando alguien por obligación y con desgana. En algunos casos, como los que he vivido personalmente, acabas subcontratando un asesoramiento legal especializado en protección de datos, un recurso que bien utilizado puede suponer un avance importante que viene a cubrir una necesidad real con personal especializado. Pero esto no deja de ser pan para hoy hambre para mañana, tiene que haber personal interno que gestione de forma eficiente la LOPD.

Creo que, en muchos casos, la Administración no tiene esa conciencia de privacidad y asocian (erróneamente) la LOPD a esas cláusulas informativas (en algunos casos un par de líneas) al final de los formularios en papel, y con suerte hasta puede que las veas en formularios online. Eso, y tener declarados los ficheros ante la Agencia Española de Protección de Datos. Todo un clásico eso de decir que se cumple la LOPD porque «tengo declarados los ficheros«. Pues muy bien, majete, eso no solo es algo que tienes que hacer por obligación (hasta dentro de unos meses que venga el huracán RGPD), sino que solamente es el comienzo de algo mucho más grande y que tendrás que gestionar de por vida… aunque una vez declarados los ficheros, ahí se quedan de por vida (como los funcionarios).

Yo me he comido alguna revisión completa de ficheros, nuevas altas, modificaciones y supresiones, publicaciones en boletines oficiales, cambios de finalidad, cambios de titularidad, homogeinización, y muchas reuniones de revisión de procedimientos para ver el flujo de los datos personales. Cuando te acercas a un departamento para ver cómo gestionan los datos personales te puedes encontrar con gente que apenas ha oído hablar de ello (y en algunos casos les da igual) o que te ven como su salvador para resolver aquellas dudas que tenían al conocer la LOPD y no saber cómo aplicarla correctamente.

Es curioso ver como la LOPD suele ser uno de los temas comunes que entran en todos los temarios de oposiciones, sobre todo en los cuerpos superiores, pero después queda relegada en una esquina, muy por detrás de la ley de contratos o la ley de procedimiento administrativo (sí, con leyes nuevecitas).

Aún no conozco a ningún Responsable de Seguridad en la Administración Local, tal y como lo establece la LOPD (nombrado como tal), y hablamos de una Ley de hace 18 años y de un Reglamento regulador de hace 10. No veo la más mínima preocupación política ni directiva por un tema que debería preocupar (y mucho). Al fin y al cabo la gestión de la LOPD no da visibilidad, es de esos trabajos que hay que hacer (pero solo lo mínimo). Hasta que ocurre algo grave, como expedientes con datos personales perdidos en contenedores a la vista de todos o fugas de datos en pen drives olvidados en una cafetería. Pero ni con esas, al no haber sanciones económicas para la Administración tampoco es algo que resulte muy grave para el político de turno, como mucho acaba en un buen rapapolvo o en el cambio de la persona que gestiona la LOPD, pero sin más responsabilidades ni mayores medidas paliativas.

Y ya no te cuento lo que se nos viene con la nueva regulación europea. Algunos venimos hace casi dos años siguiendo la pista de lo que se nos viene en mayo de 2018. Algunos hasta hemos advertido de todo lo que hay que hacer para que se produzca una transición suave… pero como quien escucha cantos de sirena. Lo malo es que los sueños pueden convertirse en pesadillas. Voy a ver muchos cuentos del lobo cuando entre en vigor el nuevo Reglamento Europeo de Protección de Datos y la nueva LOPD (que se estima que entre en vigor por la misma época). Habrá prisas «por cumplir», pero este RGPD deja mucha más libertad (y proactividad) para su cumplimiento, y otra cosa no se, pero proactiva proactiva no suele ser la Administración. Veremos cómo se encaja un DPO dentro de la estructura organizativa de la Administración (acabará siendo un contrato jugoso para muchas consultoras). Los departamentos de Recursos Humanos también tienen mucho que decir en esto, hay que repartir responsabilidades, habrá que crear nuevos puestos y probablemente nuevas unidades orgánicas, con personal formado (por ejemplo siguiendo el itinerario propuesto por la AEPD y la ENAC).

Reconozco que es un tema que me apasiona (junto con la Transparencia), pero tiene tan poco apoyo que al final desconectas. Sabes que las cosas no se están haciendo bien, lo reportas, pero no se hace nada. Sin consecuencias tangibles por incumplimientos todo seguirá igual. Espero equivocarme.

 

Categorías
LOPD

Cómo consultar el Registro de la Agencia Española de Protección de Datos

La Ley 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su normativa asociada es la que regula en España el tratamiento de los datos personales en cualquier formato (papel y/o electrónico).  El primer requisito que debe cumplir cualquier «ente» que trate con datos personales es comunicar su existencia a la Agencia Española de Protección de Datos, que es el «Gran Hermano» que vela porque la LOPD se cumpla, y en caso de no hacerlo, apercibir o incluso penalizar económicamente a aquellos responsables de ficheros que infrinjan la normativa.  En realidad, esta comunicación debería hacerse previamente a recabar cualquier tipo de dato personal, pero también es cierto que casi nadie lo cumple (primero recaban los datos y después los comunican).

De cualquier forma, existe un Registro de consulta pública en el que podemos conocer que ficheros y que datos personales tienen registrados cualquier empresa privada, profesional (sí, sí, a los autónomos también afecta) o Administración Pública (también asociaciones, colegios profesionales, federaciones, cooperativas, comunidades de vecinos, etc.).  En este registro público podemos ver los ficheros inscritos y que tipos de datos almacenan (nombre, apellidos, DNI, dirección, etc.), la finalidad para la que han sido creados, los datos de identificación del responsable del fichero, los datos necesarios para ejercer los derechos de los interesados, las cesiones de datos en caso de que las haya e incluso si existe una transferencia internacional de estos datos.

Aquí te dejo con el vídeo de cómo consultar este registro público.

¿Te animas a buscar a cualquier empresa o profesional que conozcas y que trate con datos personales?  Puedes buscar por su NIF/CIF y por su nombre o denominación social. Prueba a buscar cualquiera de las Administraciones Públicas con las que tratas habitualmente.

¿Sabías que la sanciones que impone la Agencia Española de Protección de Datos por incumplir la medidas de seguridad (incluido no declarar los ficheros) tienen una cuantía mínima de 900 euros y una máxima de 600.000 (estos últimos serían casos muy graves)?

Estar en este registro no implica que se cumpla la LOPD, simplemente es un requisito más que hay que cumplir (en realidad, el primero). Cumplir la LOPD es mucho más complejo que declarar esos ficheros ante la Agencia Española de Protección de Datos, también hay que elaborar (y mantener actualizado) un documento de seguridad, poner en práctica las medidas de seguridad exigidas y establecer un protocolo para el acceso, rectificación, cancelación y oposición por parte de los interesados.

En fin, ya se que a las empresas (y profesionales) esto de la LOPD se la trae un poco «al pairo», pero no por ello debes mirar para otro lado. Cumplirla al 100% ya te digo que es prácticamente imposible, pero sí se puede poner mucho empeño y hacer que los datos personales que almacenas se traten de la mejor forma posible (o como dice la Ley que se haga).  🙂