El ¿inútil? Registro General de Protección de Datos.

Preguntar sobre la conveniencia o no del deber de inscripción registral de los ficheros no es precisamente algo banal. Y por ello las respuestas, sean estas afirmativas o negativas, deberían ser muy matizadas. Vivimos en un país muy dado a enterrar con honores al enemigo, -¡qué buena persona era!-, y arrinconar al amigo en el ángulo oscuro.

Antes de formarse una opinión convendría ir al fondo de las cosas, al porqué del instituto jurídico y a su significado material. El RGPD no es un capricho del legislador surge en un contexto muy determinado y con funciones muy específicas. La Directiva 95/46/CE establece el llamado deber de notificación a las autoridades de control y lo alinea en el Considerando 25 con los principios de protección de datos. Lo sitúa en el plano de las obligaciones del responsable junto a la calidad de los datos, la seguridad técnica y las circunstancias en las que se puede efectuar el tratamiento. De este modo, establece un entorno protector dual articulado a través de un catálogo de deberes y esas “facultades” que el Tribunal Constitucional (STC 292/2000) considera que integran el contenido esencial del derecho fundamental a la protección de datos.

Este derecho posee una naturaleza prestacional de modo que concebir sus obligaciones como mera burocracia resulta extraordinariamente aventurado. En realidad cada uno de los deberes del responsable opera como una obligación-garantía con una función muy específica de protección del derecho. Desde este punto de vista pudiera parecer que el deber de registro se mueve en la periferia de estas obligaciones. La verdad es que nada más lejos de la realidad.

El deber de registro sólo puede ser entendido en conexión con el artículo 14 de la Ley Orgánica 15/1999 que regula el derecho de consulta. Este derecho, tan frecuentemente olvidado salvo por ciertas empresas corruptas que lo usan para la amenaza, permite que cualquier persona pueda conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. Dicho de otro modo, puedes acudir al RGPD cuando en este país ocurre algo tan infrecuente y extraordinariamente raro como que te llame una empresa que no conoces, que recibas un mensaje de correo electrónico no deseado, o que en un impreso o web no exista la menor política de privacidad.

Y esta conexión funcional la señaló expresamente la Directiva que atribuyó a los procedimientos de notificación a la autoridad de control la finalidad de «asegurar la publicidad de los fines de los tratamientos y de sus principales características a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva». Por tanto, el RGPD posee un sentido muy preciso dentro del esquema de garantías de los derechos.

Pero, la lectura debe ir más allá. Hoy en día constituye infracción leve «solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos». En la primera redacción de la LOPD además se consideró infracción grave el «no inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos». El Registro ciertamente nunca ha operado como un requisito de naturaleza constitutiva sino más bien declarativa. Por ello en este país, tan impresentable en esto como en tantas otras cosas, la inscripción nunca ha precedido al uso como debería ser natural sino más bien a la inversa.

Y ésta última cuestión apunta a un aspecto de orden práctico. Como se ha abordado en otro artículo, es más que posible que en España existan hasta dos millones de ficheros no inscritos sólo considerando el entorno empresarial. Y para muchas entidades el deber de inscripción registral, “que alguien pueda ver que no estoy y me denuncie”, es la única razón que impele al cumplimiento de la Ley.

Para finalizar el examen del contexto del RGPD, hay que señalar cómo el legislador europeo apostó por una cierta simplificación burocrática. Primero permitiendo establecer exenciones o simplificaciones de la notificación para los tratamientos «que no atenten contra los derechos y las libertades de los interesados, siempre y cuando sean conformes a un acto adoptado por el Estado miembro en el que se precisen sus límites». En segundo lugar, permitiendo estas exenciones «cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales», el actual delegado. Pero además, no bastaba con ello el DPO estaba obligada a la llevanza interna de un sistema registral propio, un «registro de los tratamientos efectuados por el responsable del tratamiento», equivalente al público y con la información enumerada en el apartado 2 del artículo 21 de la Directiva.

El Registro desaparecerá cuando se apruebe la Propuesta de Reglamento general de protección de datos. ¡Congratulémonos! Muerte a esa burocracia infame que ahoga a las empresas. Pero, ¿es esto cierto? La realidad es muy distinta, el deber general de “accountability” y algunas de sus manifestaciones más precisas, lejos de flexibilizar o relajar el sistema lo complican. El deber de documentación sustituye al de registro y no lo hace minorando precisamente los requisitos. Por otra parte, las distintas notificaciones previas a la autoridad atan los cabos sueltos, ciertos tratamientos riesgosos, ciertas transferencias internacionales, ciertas políticas de seguridad…

Sin embargo, hay algo que no heredamos de la vieja y ya tan añorada Directiva: el DPO alternativo obligatorio con carácter general. Así que lo que tal vez deberíamos preguntarnos son dos cuestiones más precisas y por ello más complejas. La primera sería ¿crees que el nivel de cumplimiento normativo se mantendrá con la desaparición del deber de Registro si el DPO es sólo obligatorio en algunos casos? La cuestión nuclear no es que es, o cuan pesado sea el deber de inscripción, sino su naturaleza funcional. Y su función secundaria no es otra que la de promover el cumplimiento normativo.

Y la segunda, no es otra que plantearse si la desaparición del deber de Registro podría afectar de algún modo a la garantía de los derechos de las personas. Los profesionales de la privacidad tendemos a abordar nuestra tarea desde un cierto ombliguismo que nos hace perder de vista cuál es la finalidad última de la regulación: proteger un derecho fundamental. El RGPD, al facilitar el derecho de consulta, es una institución menor pero que bien usada puede contribuir de modo significativo a equilibrar la manifiesta asimetría existente en el mercado de la privacidad. Al operar como un elemento disuasorio ordenado a promover el cumplimiento contribuye a evitar ciertas tentaciones, y facilita en muchos casos el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento.

Por último es conveniente manejar los datos antes de opinar. Con el odioso Registro en vigor resulta que la mitad de las PYME no cumplen, porque, seamos sinceros, quien no registra “no cumple nada o casi nada”. Por otra parte, la capacidad de trabajo de la autoridad está al límite o más allá y la publicidad registral opera también como primera barrera para los querulantes profesionales.

Así que dibujemos para finalizar el escenario: en España con un DPO no obligatorio para la mayoría de las organizaciones, sin deber de registro… ¿Es posible que el cumplimiento normativo se limite a copiar-pegar políticas de privacidad? ¿Es previsible que muchos opten por un cumplimiento aparente de la legalidad en esta materia? ¿Echaremos de menos al Registro General de Protección de datos?