¿Quién responde de las infracciones a la seguridad de la LOPD en la Generalitat Valenciana?

Ricard Martínez Martínez.

Se acaba de publicar en el DOGV el DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat. [2012/8152], cuyo contenido resulta francamente interesante. El interés de la norma reside en que define de arriba abajo todos y cada uno de los perfiles funcionales vinculados al tratamiento de la información y al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y su reglamento de desarrollo, la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El objetivo, ciertamente logrado por la norma es establecer «el marco organizativo de la seguridad de la información».

Se trata de una iniciativa ciertamente encomiable pero que presenta algunas sombras cuya clarificación resultará necesaria en un periodo breve o, de lo contrario, con toda seguridad está llamada a generar “ruido sindical” y a generar rechazo entre los propios perfiles profesionales implicados. Como es sabido por cualquier profesional del sector la adopción de decisiones en relación con el cumplimiento normativo de la LOPD exige un conocimiento altamente especializado. A esto no se puede dedicar “cualquiera”, por mas que los asesores del copiar-pegar y el cuestionario tipo se esfuercen en tratar de demostrar lo contrario.

La Propuesta de Reglamento General de Protección de Datos, de la Comisión Europea nos da una buena pista de ello el artículo 35.5 cuando señala.

«El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento».

Además su perfil funcional resulta ciertamente complejo:

Artículo 37

Tareas del delegado de protección de datos

1. El responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas:

a) informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas;

b) supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento;

d) velar por la conservación de la documentación contemplada en el artículo 28;

e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32;

f) supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34;

g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;

h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

 Puesto que la propuesta prevé precisamente el nombramiento de un delegado por las Administraciones Públicas, que además gozará de independencia podemos llegar a dos conclusiones iniciales:

● Ninguno de los perfiles de la norma autonómica encaja de modo exacto con esta figura, sin perjuicio de que parte de sus funciones se les atribuyan.

● Prospere o no la propuesta de la Unión Europea, muchas de las funciones que establece el Decreto requieren de un conocimiento especializado.

Habida cuenta que las políticas de ampliación de plantilla brillarán por su ausencia en los próximos años será necesario garantizar una profunda formación del personal al que se asignen funciones en esta materia. Esta última opinión no es en absoluto inocente, al menos en el caso de dos perfiles funcionales concretos: el responsable de la información y el responsable del servicio. Ello se debe a que, aun intenso perfil funcional que a continuación se reproduce, se añaden dos proposiciones ciertamente severas en cuanto a su perfil de responsabilidad:

Artículo 7. Responsable de la Información

1. El Responsable de la Información tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. Es responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o integridad, y establece los requisitos de seguridad de la información.

(…)

3. Las funciones principales son las siguientes:

a) Aprobar los niveles de seguridad requeridos por la información establecidos en el Esquema Nacional de Seguridad, informando al Responsable del Servicio.

b) Aprobar los principales riesgos residuales asumidos por la organización, junto al Responsable del Servicio.

c) Aprobar el código tipo para la adopción de buenas prácticas en la gestión de la información de carácter personal y en su protección.

d) Proponer mejoras sobre la política y la organización de la Seguridad de la información de la Generalitat.

 

Artículo 10. Responsable del Servicio

1. El Responsable del Servicio tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad del servicio.

Establece los requisitos de seguridad de los servicios, generalmente a partir de la información que tratan y otros requisitos derivados del contexto interno y externo de la Administración de la Generalitat.

(…)

3. Las funciones principales son las siguientes:

a) Establecer los requisitos de los servicios en materia de seguridad, en el marco del anexo I del Esquema Nacional de Seguridad, equivale a la potestad de determinar los niveles de seguridad requeridos en cada dimensión del servicio.

b) Asegurar que la prestación de un servicio siempre deba atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de la misma, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.

La atribución de responsabilidad no ya por una negligencia, sino por cualquier error cabe entender que no culpable, que afecte a la confidencialidad, integridad o disponibilidad de la información plantea severas dudas interpretativas. En primer lugar, porque de algún modo una norma de rango infralegal tipifica una conducta que, ya sea en el contexto del Estatuto Básico del Empleado Público, y en el contexto de la regulación de la Función Pública Valenciana, podría llevar aparejada una sanción disciplinaria.

Por otra parte, porque la propia LOPD abre el campo a integrar ese tipo infractor cuando su artículo 46.2 señala que « el órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas». En lenguaje llano, el director de la Agencia Española de Protección de Datos puede solicitar la apertura de un expediente disciplinario. Sin embargo, es conocido que sólo ante comportamientos verdaderamente graves se ordenaría tal apertura.

A mayor abundamiento, resulta cuando menos sorprendente que el Decreto de la Generalitat cuando se ocupa en el artículo 9 de regular la figura del responsable del fichero o del tratamiento y definir sus funciones no incluye cláusula de responsabilidad alguna. Al parecer serán responsables de fichero o tratamiento «la persona titular del órgano al que correspondan las funciones establecidas en el artículo 69 de la Ley del Consell en cada Conselleria y del órgano de carácter directivo que tenga atribuidas las competencias sobre los servicios comunes de cada entidad autónoma». Pues bien estos órganos directivos parecen ser, según la citada Ley Subsecretarios. Por tanto, personal nombrado bajo criterios de confianza, al que no se le incluye la atribución expresa de responsabilidad que si se establece respecto de personas que pueden depender directamente de ellos.

Esta situación plantea, al menos teóricamente dos dudas:

● ¿Qué ocurrirá cuando el responsable del fichero adopte una decisión que deba ejecutar un responsable de la información o un responsable del servicio? Es obvio que no se trata de una organización militar donde quepa invocar necesariamente el principio de obediencia debida. Por otra parte, si como más arriba se subrayó, estos profesionales poseen la formación debida difícilmente podrían invocar el principio de confianza legítima cuando su criterio  técnico probablemente se encuentre más formado que el del propio responsable del fichero. Y teniendo en cuenta que la palabra independencia no aparece ni una sola vez en el Decreto, la cuestión es como mínimo peliaguda.

● La segunda duda, tiene que ver con la atribución de responsabilidad. La Agencia Española de Protección de Datos, al menos hasta hoy, no suele sancionar “al responsable de seguridad”, declara una infracción del responsable del fichero. Y ello, evidentemente en una suerte de razonamiento circular, nos devuelve al art. 46.2 LOPD. Podría darse el caso que una norma muy concreta y ordenada a la garantía de los derechos fundamentales no atribuye responsabilidad directa a ningún usuario o responsable del sistema y una disposición reglamentaria lo haga. El responsable del fichero, en definición que el propio Decreto copia, decide sobre la finalidad, contenido y uso del tratamiento, de ahí que sea en última instancia responsable de lo que en el mismo sucede.

Para finalizar, es fundamental tener en cuenta un aspecto práctico. En organizaciones complejas como las administraciones públicas, muy jóvenes en algunos casos en su incorporación a la seguridad, con un volumen de tratamientos de carácter mixto (automatizado y no automatizado), y con grandes volúmenes de información que se comparte internamente entre distintas unidades y con otras administraciones el riesgo se multiplica de modo exponencial.

Definir un perfil funcional como el del responsable de información o el responsable del servicio y atribuirles la responsabilidad última de cualquier “error”, mientras que no se fija un régimen equiparable para otros perfiles funcionales tan relevantes o más, puede ser una opción que genere resultados negativos. Es altamente probable que en un futuro inmediato tratamientos que pueden ser muy necesarios se paralicen por estos funcionarios obligados, por Decreto, a adoptar estrategias ultradefensivas en la gestión de la información.