La AEPD va a ser “muy garantista” en relación a la propaganda electoral
“Los partidos políticos saben que es ilegal elaborar perfiles ideológicos de los ciudadanos”
21/02/2019: “La situación actual no faculta a los partidos políticos a elaborar perfiles ideológicos individuales de los ciudadanos y, si un ciudadano recibe propaganda electoral por un medio digital y ‘sospecha’ que un partido político puede tener su perfil ideológico, debe denunciarlo ante la Agencia Española de Protección de Datos porque los partidos saben que eso es ilegal y vamos a ser muy garantistas”, afirmó ayer Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en respuesta a la preocupación manifestada por uno de los asistentes a la cuarta sesión de ‘Espacio Compliance’, dedicada en esta ocasión a hablar sobre ‘El Delegado de Protección de Datos en el Sector Público’.
Durante la ponencia de inauguración del evento celebrado en la Comisión Nacional de los Mercados y la Competencia (CNMC), Mar España destacó la importancia que tiene que organismos reguladores como la AEPD y la CNMC trabajen de manera conjunta dado el nuevo marco normativo que ha creado en nuestro país la nueva Ley Orgánica de Protección de Datos, aprobada el pasado 5 de diciembre, y el nuevo Reglamento Europeo de Protección de Datos (REPD), de plena aplicación en España desde finales de mayo de 2018.
El Delegado de Protección de Datos (DPD)
La directora de la AEPD aseguró que “todos los organismos públicos, sin excepción, deben de tener un Delegado de Protección de Datos (DPD)”, y añadió que “la AEPD está haciendo una labor importante de formación de esta nueva figura en el sector público”. Asimismo, destacó que la actividad desarrollada por los organismos públicos en materia de protección de datos “es clave, porque una ‘brecha’ de seguridad puede suponer la pérdida de la reputación para las administraciones públicas, además de las posibles sanciones administrativas o las responsabilidades penales que se pudieran derivar”, y aconsejó que los futuros DPD utilicen el servicio INFORMA, accesible desde la página web de la AEPD, para trasladar sus dudas o consultas en materia de protección de datos.
En relación a las sanciones económicas que pueda poner la AEPD por no respetar la privacidad en materia de protección de datos, Mar España afirmó que “cuando tengamos que ser serios lo vamos a ser, como lo hemos sido con Facebook imponiéndole una multa de 1,2 millones de euros antes del escándalo de Cambridge Analytica; pero también queremos ser comprensivos y acompañar en la adaptación a la nueva normativa a las organizaciones españolas, públicas o privadas, que lo necesiten”. En este sentido, animó a empresas privadas y organismos públicos a usar la herramienta FACILITA, que “es gratuita y ayuda a los DPD en el ejercicio diario de sus funciones”.
Finalmente, destacó que “hay muchas reclamaciones que llegan a la AEPD que podrían resolverse mediante la conciliación fuera del ámbito administrativo o penal”, y que esta posibilidad “supone muchas ventajas para todos los implicados, aunque no impida que la AEPD pueda ejercitar su potestad sancionadora”.
Por su parte, los invitados que participaron en la mesa redonda que se celebró tras la intervención de Mar España, todos DPD de importantes organismos públicos, debatieron sobre el papel de esta nueva figura en el sector público español, su independencia dentro de la organización y los canales de denuncia como mecanismos de control que pueden utilizarse en materia de protección de datos para denunciar ‘brechas’ de seguridad.
DPD: ¿interno o externo?
Juan José Pérez Rodríguez, DPD de la CNMC, afirmó que “para la Administración Pública contratar a un DPD externo debería de ser la última opción” y abogó “por que sea interno por el valor que aporta el que sea alguien de la ‘casa’ que conoce bien los procedimientos y el funcionamiento de ese organismo público concreto”.
Mar Rubio Conteras, DPD de la Comisión Nacional del Mercado de Valores (CNMV), apoyó sus palabras afirmando que “el DPD es un mecanismo de resolución de conflictos amistoso que, si bien se puede externalizar en algunos casos, en el sector público es mejor que sea alguien de dentro por su cercanía y conocimiento de la organización”.
En relación a la independencia de esta figura clave en materia de privacidad y a la posibilidad de que esta responsabilidad recaiga en un cargo directivo o intermedio, Juan José Pérez Rodríguez afirmó que “no es lo más adecuado ni favorece su independencia, puesto que ocupar un cargo directivo le fuerza a alinearse con la doctrina y estrategia de la organización”, y concluyó su intervención asegurando que “lo importante es que se trate de un perfil que genere confianza y que tenga comunicación directa con la alta dirección”.
Mar Rubio añadió que, como asesor, “su independencia se basa en el conocimiento que tenga de la organización para saber dónde poner los controles y dónde están los posibles riesgos”, y que es fundamental que el DPD “conozca el negocio o la actividad de su empresa ‘desde abajo’ y que esté convenientemente acreditado para ejercer su función con estándares de calidad”.
“Hay muchas reclamaciones que llegan a la AEPD que podrían resolverse mediante la conciliación fuera del ámbito administrativo o penal”, afirma Mar España, directora de la AEPD.
Canal de denuncias y Protección de Datos
En lo que respecta a la implementación de mecanismos de control como son los canales de denuncia en materia de protección de datos, Lluís Sanz Marco, DPD del Ayuntamiento de Barcelona, aseguró que “nuestro canal de denuncias no es interno, es externo, y está abierto a la ciudadanía para denunciar conductas que no sean éticas garantizando el anonimato y la confidencialidad de los datos que se aporten en la denuncia”, y concluyó asegurando que su funcionamiento en el Ayuntamiento de la Ciudad Condal está siendo “todo un éxito”.
José López Calvo, vocal de la Asesoría Jurídica y DPD del Consejo Superior de Investigaciones Científicas (CSIC), puntualizó que “las denuncias tienen que ser siempre investigadas, sean anónimas o no, por la propia seguridad de los responsables de la organización, en este caso de la Administración Pública”.
Juan José Pérez Rodríguez cerró su intervención añadiendo que es importante que la nueva Ley Orgánica de Protección de Datos haya incorporado el anonimato del denunciante, “aunque nuestro canal en la CNMC es confidencial, no anónimo”, puntualizó, y avivó el debate en el último momento añadiendo que “lo que no tengo tan claro es que sea conveniente que exista un canal de denuncias interno que reciba únicamente denuncias relacionadas con protección de datos, con lo cual se entiende que en ese canal de denuncias genérico debe de haber siempre un ‘filtrado’ que involucre necesariamente al DPD”.
“Lo que no tengo tan claro es que sea conveniente que exista un canal de denuncias interno que reciba únicamente denuncias relacionadas con protección de datos”, afirmó Juan José Pérez Rodríguez, DPD de la CNMC.
A modo de broche para clausurar el evento, todos coincidieron en que las partidas presupuestarias con las que cuentan en estos momentos los organismos públicos de los que son DPD se están dedicando, fundamentalmente, a capacitar y formar a funcionarios públicos en materia de privacidad y protección de datos, especialmente a los que trabajan en atención al público, y destacaron la importancia de contar con una herramienta de gestión que facilite el trabajo del DPD en la Administración Pública.
Yolanda del Valle