_
_
_
_
En colaboración conLa Ley
Protección de datos
Tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Autoridades independientes, no irresponsables

Los criterios de la Agencia Española de protección de Datos, cuando son excesivos, gravosos o irrealizables, deben poder ser objeto de control

Mar España, directora de la AEPD.
Mar España, directora de la AEPD.EFE

Días antes de redactar estas líneas, en los cenáculos de delegados de protección de datos se discutía el sentido último de un determinado pronunciamiento de la autoridad de protección de datos. Más allá de la exégesis, algún asistente, cual profeta, interpretaba reverentemente las palabras del demiurgo. El Reglamento General de Protección de Datos atribuye a las autoridades de protección de datos "promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento" de sus datos y la sensibilización de los responsables y encargados sobre sus obligaciones. Esta función promocional, esencialmente descriptiva, se está convirtiendo en prescriptiva.

La participación de la autoridad en procesos normativos es determinante. Forma parte de ciertas comisiones y el criterio de sus informes previos despliega una influencia decisiva en el legislador. ¿Pero qué sucede con los meros pronunciamientos? Mi refranero abuelo decía que cada vez que alguien habla sube el precio del pan. El enforcement de las autoridades de protección de datos convierte cada frase de sus documentos en un elemento de cuya interpretación puede depender un sector. Añádase que muchos de esos documentos se basan en producción propia, licitada o conveniada con expertos, sin ningún proceso de debate público o información pública previa.

En la práctica, el régimen sancionador opera como elemento de disuasión, y una nota de prensa se aplica como derecho positivo. Una inspección de la Agencia Española de Protección de Datos (AEPD) implica costes fuera del alcance de muchas entidades, incluido el recurso ante la Audiencia Nacional. No es rentable recurrir una sanción menor y criterios aparentemente discutibles nunca son revisados, y asumir el riesgo de una multa millonaria es impensable.

Por otra parte, en virtud de la doctrina del interés del denunciante, cuando un ciudadano denuncia ante la administración su interés reside exclusivamente en impetrar la acción administrativa. Hoy, la AEPD opina que en el marco de un examen universitario el consentimiento no puede legitimar una grabación. En 2013 consideró lícito subir pruebas orales de inglés grabadas por menores de edad a servidores de internet.

Más información
¿Es legal que un establecimiento tome la temperatura a sus clientes?
Vuelta al trabajo: ¿es legal solicitar un pasaporte sanitario a los trabajadores?

Resulta evidente cómo una nota de prensa puede producir efectos fuera del alcance de muchas normas. Así, la autoridad define si se toma o no la temperatura, cuál será la política pública futura en casos de pandemia, cuándo no se admite la iniciativa de operadores privados en una determinada materia, qué es y qué no es confiable, e incluso cómo debería desplegarse una tecnología emergente. Nada escapa al tamiz de la autoridad, que intermedia el proceso de protección de datos desde el diseño y por defecto predeterminando las decisiones de los responsables. Y eso se hace autónomamente, en el ámbito nacional, realizando propuestas cuyo alcance es global sin acudir a los mecanismos de cohesión que define el propio reglamento.

Este estado de cosas sitúa materialmente a la AEPD en una posición que desborda el marco constitucional asignado a una autoridad independiente. No se defiende aquí una autoridad silenciosa. Lo que se reivindica es que cuando aconseje o promocione, adecúe su lenguaje y aquilate los efectos de sus pronunciamientos. Que cuando proponga condiciones de cumplimiento lo haga desde procesos participativos y colaborativos, porque si es consensuado y anclado en la realidad, será más eficaz.

Y, finalmente, que cuando fije criterios utilice instrumentos susceptibles de recurso. Porque si son excesivos, gravosos, irrealizables o afectan a la competencia, deben poder ser objeto de control. Las autoridades de protección de datos son autoridades independientes, no autoridades irresponsables.

Ricard Martínez es director de la Cátedra Microsoft de Privacidad y Transformación Digital de la Universidad de Valencia

Archivado En

_
_