Profesional Privacidad | Universo LOPD: tu blog de protección de datos

Leyendo el borrador de Reglamento de Protección de Datos de la UE, me planteo varias cuestiones sobre la implementación de esta figura en el ámbito de las Administraciones públicas -y no precisamente respecto a sus funciones, que todos podemos imaginarnos cuales son-, ya que en las mismas será obligatorio la citada implementación.

En primer lugar, algunas Administración públicas ya cuentan con esta figura –más bien, un servicio o subdirección, como puede ser el Excmo. Ayuntamiento de Madrid-, pero teniendo en cuenta la estructura y funcionamiento de las mismas habrá que determinar:

-¿Creación de un Cuerpo específico para tal fin? ¿Grupo A? ¿Grupo B? Mientras se crea dicho grupo, ¿Quién asume dichas funciones? ¿Cuerpo de Administración General, ya sea Grupo A o B? ¿Cuerpo de los TIC’s (dónde exista)?

-Ligado al punto anterior, se exige que esta figura sea un experto en la materia y tenga unas habilidades al respecto. ¿Existe en la actualidad personal en las AAPP con este perfil? La respuesta, en la mayoría de los casos, será un “no”. ¿Puede ejercer este puesto un empleado público que tenga un curso de protección de datos? Pues por poder…pero si queremos dignificar tanto la profesión del profesional de la privacidad, como esta nueva figura, la respuesta de nuevo tendría que ser no.

-Otra opción sería acudir a un contrato de servicios, de manera que se subcontrate la figura. Aquí el problema estriba que del texto del borrador de Reglamento se desprende que el DPO tiene que ser una persona física, con lo cual dejaría fuera de la contratación a las personas jurídicas. Craso error desde mi punto de vista, ya que por ejemplo, una misma empresa se podría encargar de realizar esta función en varias AAPP, por lo que creo que para la adaptación de esta figura a nuestro ordenamiento jurídico debe interpretarse su regulación de forma flexible.

Conectado al primer punto, según el borrador de Reglamento, esta figura no sólo es independiente, sino también en lo referente a su cese, ya que el nombramiento sería por un período de dos años sólo pudiendo ser cesado en el caso de no cumplir con sus responsabilidades.

Recordemos que en el ámbito de las Administraciones públicas, un empleado público puede ser cesado discrecionalmente, por lo que habría que dotar a esta figura, en el caso de que fuese ejercida por un empleado público, con un estatus específico que garantizase su independencia e inamovilidad.

Por otra parte, como he comentado antes no hay que perder de vista la estructura administrativa. Así, nos podemos encontrar que el responsable de todos los ficheros sea una Consejería o cada una de las Direcciones Generales (por ejemplo, a nivel autonómico). ¿La diferencia? En el primer caso, un sólo “Responsable de protección de datos”; en el segundo, uno por cada una de las Direcciones Generales. Pero es que incluso, no todas las Direcciones Generales realizan el mismo volumen de tratamiento de datos, así que unas podría ser indispensable esta figura, y en otras, excesiva o de nula utilidad.

Siguiendo con este punto, en un Ayuntamiento mediano o pequeño ¿Un “Responsable de protección de datos” para cada una de las Concejalías? Pongamos como ejemplo el Excmo. Ayuntamiento de Madrid o el de Alcobendas, tienen un servicio de protección de datos que coordina todas las actuaciones en esta materia a nivel municipal.

Obviamente, no se discute la existencia de esta figura en un Hospital, pero, ¿Cómo se articula en los Servicios Sociales que se caracterizan por la dispersión de centros existentes? ¿Serían necesario un responsable en cada uno de los centros? Por ejemplo, Concejalía o Consejería de Servicios Sociales con Centros de Día, Atención a Inmigrantes, Atención a Mujeres Maltratadas…etc…En este caso, influye la concepción de “centralización-descentralización” en la declaración del fichero: puede ser que se haya declarado en la Concejalía, o bien, cada uno de los Centros mencionados tenga su respectivo fichero.

Por último, habría que establecer también cuál es la relación entre esta figura y la Autoridad de Control correspondiente, ya que su nombramiento debe ser comunicado a esta última. Entre ambos tiene que fraguarse una estrecha colaboración y cooperación en aras de garantizar el derecho a la protección de datos de los ciudadanos. Sobre este tema, me interesa la relación entre ambos referida a los posibles procedimientos sancionadores contra el responsable, ya que del texto filtrado se desprende que el DPO tiene un marcado perfil de asesor. No obstante, el mencionado texto ya apunta a que el DPO podría ser el canal de comunicación en dichos procedimientos no sólo en las brechas de seguridad, sino también cuando dice que “debe contestar los requerimientos de la Autoridad de Control”.

En resumen, aplaudo la figura, aunque en el ámbito de las AAPP veo tremendas dificultades en articular el “quién” y “dónde”.

¿Qué hacemos con el ficherito de la comunidad de vecinos?

Published octubre 6, 2011 Profesional Privacidad 4 Comments
Etiquetas: AEPD, fichero, LOPD, Profesional Privacidad

Empezamos…pero vamos a hacerlo de manera diferente, tanto con éste como con el siguiente post (ya preparado, pero lo dejaremos para la semana que viene, que mañana es viernes y hay que darle al “off”). Las discusiones jurídico-masónicas ya vendrán para más adelante. Así dice este post…

No, no se asusten. Este primer post no es para analizar si el responsable del fichero es la comunidad o el administrador sino cómo actuar en la reunión de vecinos…así que expongamos el caso:

Uno acude a la reunión de vecinos (a regañadientes porque son un auténtico coñazo) y por “deformación profesional” siempre tiene por la cabeza lo de registrar el ficherito de la comunidad, el documento de seguridad..etc.

Hasta que un día, el administrador saca el tema: “hay que registrar el ficherito que si no viene la AEPD y nos mete tal sanción que uno tiene que vender la casa”. Y nos cuenta el presupuesto que le han ofrecido para ello (conozco un caso que era de 3.000 euros por sólo el citado registro).

A partir de aquí, y siguiendo con la “deformación profesional” se abre un abanico de posibilidades que podemos resumir en dos:

a.- Me ofrezco para encargarme. Total, si se crea una comisión para ello, ya que en las comunidades de vecinos es muy frecuente la creación de comisiones para todo, sólo voy a estar yo porque el resto no tiene ni idea. Esta vez me toca a mí “pringar”.

b.- Paso del tema, que pague la comunidad, no quiero que nadie sepa a qué me dedico, así que me “auto-aplico” el deber de secreto y confidencialidad.

Después de mucho pensar, elegimos el punto “a.-“. Y entonces uno se plantea lo siguiente:

a.- Me identifico como profesional de la privacidad. Además, los vecinos son clientes potenciales, tendrán sus empresas, y puedo ganar un dinerillo.

b.- Le doy vueltas y empiezo a pensar que como elija lo primero, a la salida me rodean los vecinos y voy a cambiar la llamada al timbre del sábado a las 5 de la tarde, en plena siesta, en la cual un vecino me espeta “Se me ha acabado la cebolla, ¿me puedes dejar una para cocinar? por el “Oye, ¿esta cesión se puede hacer?”.

Añade el “Hombre, somos vecinos, cómo me vas a cobrar”. Total, que van a ser más molestias que otra cosa. Así que lo mejor es decir un “Tengo algún conocimiento, me han dado un curso”.

Yo elegí la opción B. Y pese a todo, cuando acabó la reunión tenía a tres personas haciéndome preguntas. Dos me preguntaban si tenía que inscribir el fichero de recursos humanos en la AEPD, y otro que si trabajaba en no sé qué empresa acabada en “data”. Y eso que dije que había hecho un cursillo con CEAC.

Y vosotros, ¿Qué hacéis?

Universo LOPD: tu blog de protección de datos

Archive for the 'Profesional Privacidad' Category

El Responsable de Protección de Datos (DPO) en las AAPP.

¿Qué hacemos con el ficherito de la comunidad de vecinos?

Twitteando

¿De qué hablamos?

Actualizate!

Watch TV