¿Por qué podría fracasar GDPR en la Administración Pública Española?

Se habla mucho del Reglamento General de Protección de Datos, hasta el hartazgo. Proliferan cursos de todo pelaje y existe una aparente inquietud en muy distintos sectores respecto del impacto de la norma en la operativa diaria y en los riesgos vinculados al incumplimiento. A ello no debería ser ajeno el sector público y sin embargo, como ya sucedió en otras ocasiones existe un conjunto de indicios que deberían preocuparnos de un modo significativo, y que deberían ser tenidos muy en cuenta. Es necesario preguntarse “¿Por qué podría fracasar el RGPD?

▪ ¿Triunfó alguna vez la protección de datos?

La protección de datos personales pasó por la Administración, pero la administración no pasó por la protección de datos. La materia se sigue abordando como “el nuevo Reglamento”. Todas y cada una de las medidas “novedosas” y de las que tanto se habla deberían formar parte del acervo experiencial del sector público. La LORTAD, la LOPD, el ENS, debería haber preparado para ello. Y sin embargo, cada ocasión ha sido una oportunidad perdida. ¿Por qué debería ahora ser diferente?

▪ Carencia de liderazgo y planificación.

El RGPD se concibe como “una obligación más”. No forma parte de las líneas estratégicas de acción de los altos directivos de la Administración, ni del equipo político. Sencillamente es un riesgo reputacional sobre el que conviene actuar “controlando daños”. Y si bien es cierto que eso confiere una capacidad de acción mayor al delegado de protección de datos, no lo es menos que supone luchar contra molinos de viento.

▪ No existen incentivos disuasorios.

Es muy difícil convencer a un alto responsable administrativo cuando informado sobre GDPR pregunta ¿y esto cuanto me va a costar? ¿Hay multas? La respuesta corta es “no”. La larga consiste en un sencillo cálculo de riesgos. Para empezar, es altamente improbable que se dé la circunstancia de un ciudadano concienciado que presente una denuncia.

Una vez esta presentada el denunciante se enfrenta a una carrera de obstáculos que impone la propia autoridad. Las cifras no engañan, el archivo previo sistemático es la regla, y la prueba se le exige al denunciante con un nivel de certeza particularmente exigente. La respuesta del regulador en ocasiones es sencillamente insospechada, aplicando por ejemplo la doctrina del consentimiento “libre” a la relación entre menores de edad y sus profesores.

¿Y si finalmente sancionan? En tal caso, lo que sucede es una mera declaración de infracción. No hay consecuencias, dos titulares de prensa que aguantar estoicamente y a otra cosa. Es sencillamente sorprendente, supuestamente vulnerar un derecho fundamental suele ser una infracción muy grave de los deberes de una persona funcionaria. Pero cuando es el derecho fundamental a la protección de datos sencillamente no hay consecuencias.

▪ Delegado a coste cero.

El delegado de protección de datos deberá implantarse a coste cero. No aparecerán nuevos perfiles de funcionario con estas funciones. Esto en la práctica conducirá a escenarios escasamente eficientes:

a.-La metodología THT: te ha tocado. Se nombrará a alguien que pasaba por allí, al comité de seguridad, a un concejal… Se convertirá un deber en una mera formalidad.

b.-Hay que externalizar. Puesto que es posible que el DPO sea externo se procederá a contratar “fuera”. El presupuesto es aquí disponible y puede ser una solución adecuada. Pero sólo si se hace bien. Para empezar, externalizar puede suponer un incremento de costes de hasta el 50% cuando se trate de un Delegado a tiempo completo. Existe además un riesgo añadido en aquellos casos en los que entes como las diputaciones abandonen su responsabilidad y dejen la cuestión a la responsabilidad de pequeños municipios. En tales casos, vayan Vds. multiplicando por 6.000.-€ el coste medio por año para estos ayuntamientos. Lo peculiar del caso, es que parece poco, pero si en la provincia hay 100 ayuntamientos la cosa sale por 600.000, cuando con menos de la mitad la diputación podría tener tres funcionarios dedicados.

Y no es el único problema. La experiencia demuestra que la práctica común es la de un asesoramiento remoto o epidérmico, sin conocer el sector, sin una presencia física real, con alta rotación del personal, y sin un apoyo interno cuando se trate de “ejercer funciones públicas”.

Externalizar no es el problema. Hacerlo sin rigor, sin objetivos claros y sin un diseño adecuado si lo es.

▪ La banalización de GDPR.

Asistimos a un discurso sorprendente que podría resumirse con la expresión “el RGPD è facile e divertente”. Cualquiera puede ser delegado incluso certificado, con 185 horas de formación en la Academia Hermanos lo que sea y un examen de la certificadora SL. No hay que tener una profunda formación jurídica y conocimientos técnicos o al revés. No se necesitan estudios superiores.

Se confunde tranquilidad con relativización. Todo va ser fácil, todo va ser posible. Y es razonable, que podamos entenderlo así en un ayuntamiento de menos de 5000 habitantes. Pero en cuanto pasamos de ahí, en cuanto se prestan servicios sociales, existen funciones policiales, o entra en juego prestaciones asociadas a la salud, la cuestión ya no es tan sencilla. Además, la inteligencia artificial, el Internet de los Objetos y la analítica de datos van a permear de la mano de la administración electrónica y las Smart Cities, hasta el más pequeño municipio en menos de 10 años.

Podríamos extender este post con razones adicionales, son sobradamente conocidas. Cada una de las aquí aducidas es significativa y debería hacernos meditar. ¿Vamos a perder otra oportunidad?