¿Minusvaloramos la nueva ley de protección de datos?
Atribuirle un valor secundario o relajar el estado de alerta sería un trágico error
Se nos olvidó el profundo impacto de la legislación nacional en el marco regulador de la protección de datos personales. A fuerza de repetir el carácter uniformador del Reglamento General de Protección de Datos (RGPD) parecemos haber perdido la perspectiva de ciertos elementos fundamentales sin los cuales el abordaje del cumplimiento en esta materia quedará cojo e incompleto. Este olvido, no lo dude el lector, podría tener consecuencias muy graves para el sector privado que se arriesga a un marco sancionador altamente exigente. ¿Y cuáles son esos olvidos?
El primero consiste en perder de vista el profundo significado constitucional del derecho fundamental a la protección de datos. La sentencia número 292/2000 del Tribunal Constitucional configura este derecho como un derecho de naturaleza instrumental que se relaciona con el entero sistema de derechos fundamentales. No existe un derecho aislado a proteger nuestros datos personales, sino un derecho contextualizado en la salud, la banca, el comercio o la administración. Por eso el delegado de protección de datos (DPO) no pueden abordar su trabajo solo desde un enfoque RGPD. El DPO debería tener visión lateral y periférica. Con un enfoque centrado solo en el RGPD sus soluciones serán planas e ineficientes.
En segundo lugar, es indispensable entender que, incluso no existiendo habilitaciones en el RGPD, aunque ciertamente limitado, los Estados tienen cierto margen de apreciación. Es imposible armonizar materialmente a veintiocho Estados, camino de veintisiete, sin reajustar siquiera mínimamente algunos conceptos a la cultura jurídica del país. En el caso de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD) la cuestión es infinitamente más relevante ya que contiene más de 50 remisiones a la legislación nacional. Por ello deberíamos prestar una enorme atención a la nueva LOPD y entender que es una norma estratégica.
Para empezar, una parte significativa de la adaptación del RGPD al lenguaje nacional se encuentra en el ámbito sancionador. En este sentido, las potestades de la Agencia Española de Protección de Datos (AEPD) en el Título VII, el procedimiento de tramitación de expedientes sancionadores en el Título VIII, o la adaptación del marco sancionador por el Título IX, constituyen sin duda referentes aplicativos imprescindibles.
Del mismo modo, existen aspectos materiales del RGPD que requieren de su inserción en nuestro ordenamiento en ámbitos como la legitimación de tratamientos, la responsabilidad por la exactitud de los datos, o los procesos de obtención del consentimiento en menores. La simple omisión del concepto “salud” en el artículo 9 LOPD por sí misma es una revolución en nuestro sistema. Además, configura las capacidades, supuestos y ámbito de actuación del DPO. Modula procedimientos de autorregulación e impulsa la mediación como técnica preventiva de cumplimiento y resolución de conflictos. Y, ofrece pistas cruciales para la protección de datos desde el diseño y por defecto en cuestiones nucleares como el bloqueo de los datos, la geolocalización o la videovigilancia.
Por otra parte, la nueva ley desarrolla generosamente las posibilidades que el propio RGPD le ofrece. De este modo, es imposible que una empresa pueda cumplir adecuadamente con sus responsabilidades en el tráfico ordinario en ámbitos como la morosidad, la publicidad, o las relaciones laborales sin aplicar la LOPD. Y lo mismo sucede con la Administración a la hora de gestionar el procedimiento electrónico, la seguridad o el registro de actividades del tratamiento, entre otras cuestiones.
Pero incluso el tan denostado Título X, sobre derechos digitales, incluye previsiones estratégicas desde el punto de vista de la protección de datos personales para interpretar las condiciones de los tratamientos que afecten a los menores. Asimismo, contiene disposiciones para orientar el análisis de riesgos o las evaluaciones de impacto en el ámbito laboral. Los derechos a la desconexión, a la intimidad y el uso de dispositivos digitales, o de videovigilancia y de grabación de sonidos en el lugar de trabajo afectarán profundamente a esta materia. Y lo mismo sucederá en los servicios de la sociedad de la información respecto del olvido digital, la asistencia al ejercicio de derechos de rectificación o el testamento digital.
Por último, merece la pena señalar la enorme belleza de la interpretación sistemática y del profundo conocimiento que requerirá la protección de datos en organizaciones complejas. La constante banalización de esta materia, la tendencia a rebajar en categoría e intensidad el conocimiento general es un error. La nueva LOPD se proyecta sobre los sectores público y privado. Y, en particular, sobre este último repercutirá de modo muy intenso cuando su modelo de negocio pase por prestar servicios a las administraciones públicas. Créanme, minusvalorar su importancia, atribuirle un valor secundario, relajar nuestro estado de alerta, será un error de trágicas consecuencias.
Ricard Martínez Martínez es director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia.
Pincha aquí para conocer todas las novedades de la nueva LOPD.