Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 48

La regulación del RGPD contempla el diseño de un nuevo modelo de gobernanza de los datos, en el que, entre otros, la introducción de principios como el de minimización de datos, la privacidad desde el diseño y por defecto, el análisis de riesgos para los derechos y libertades de las personas afectadas y las nuevas metodologías de evaluación de impacto en la protección de datos, exigen la adopción de medidas organizativas y su adaptación al procedimiento administrativo legalmente establecido y los modelos de funcionamiento orgánico de las respectivas administraciones públicas.

A modo de reflexiones finales sobre el marco normativo de aplicación a las Administraciones Públicas en materia de protección de datos y las resoluciones examinadas se exponen las siguientes conclusiones:

a) Es fundamental que las Administraciones Públicas comprendan el nuevo modelo de gobernanza de los datos personales y actúen siempre con la debida base de legitimación que permita su tratamiento, tal y como establece el artículo 6 RGPD, sin considerar que dispone de una especial posición, y siempre aplicando los debidos límites en el uso de los datos para la finalidad para la que fueron recabados tal y como acaba de recordar el Tribunal Supremo, Sala de lo Contencioso en Sentencia 363/2021, de fecha 15 de marzo, dictada en recurso 8288/2019, donde señala que no puede una Administración municipal utilizar para otros fines información fiscal enviada para fines tributarios por la Administración Tributaria.

b) El impacto de las nuevas tecnologías en el desarrollo de la actividad de gestión pública exige repensar cuestiones tales como el acceso indiscriminado a la información disponible en la respectiva entidad por parte de los distintos sujetos, tanto empleados públicos como responsables políticos a través de aplicaciones informáticas, y reforzar las estrategias de formación y capacitación en el respeto a la protección de datos. Como otra dimensión del mismo escenario, la utilización de las redes sociales como medio de comunicación y difusión de información debe ser tratado en el marco del RGPD y LOPDGDD, al mismo nivel que otros medios de comunicación formales y de naturaleza tradicional.

c) Del conjunto de AAPP, se detecta una especial incidencia en el ámbito local desde el punto de vista del ámbito subjetivo de las reclamaciones presentadas, circunstancia que puede obedecer a dos razones. La primera, la proximidad de los sujetos afectados a la actividad realizada por las entidades locales incrementa la posibilidad de conocimiento de las posibles infracciones, y, en consecuencia, su denuncia. La segunda, el infradimensionamiento de medios y recursos personales y materiales en el mundo local dificulta la asunción de nuevas obligaciones y el correcto despliegue del nuevo modelo de gobernanza de datos, ámbito en el que debería fortalecerse el apoyo desde las Diputaciones Provinciales.

d) Debemos apelar al importante rol que corresponde al Delegado de protección de datos que, a modo de Compliance Officer y en el marco de las funciones legalmente atribuidas, puede garantizar el debido cumplimiento del marco legal y obligacional, en particular, en relación a sus funciones de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento y la supervisión del cumplimiento de las obligaciones establecidas, así como supervisar el cumplimiento y ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

De un modo diferenciado, por el impacto que tiene, es preciso señalar que los niveles de incumplimiento normativo en materia de protección de datos personales por parte de las administraciones públicas presentan una marca diferencial respecto al conjunto de los sujetos obligados, que viene determinada por la debilidad expuesta respecto al régimen sancionador, que genera una clara falta de incentivos al cumplimiento. Y es que si lo que pretende el binomio normativo RGPD/LOPDGDD es proteger en plena era de revolución tecnológica de forma mucho más intensa los derechos fundamentales de los ciudadanos mediante un sistema de gestión (tratamiento) de los datos personales exigente, la debilidad de un régimen sancionador limitado a un apercibimiento a la institución y a la publicación del órgano que ha incumplido o, todo lo más, a la difusión del nombre de su titular, no parece que pueda suponer un incentivo suficiente. Como señala JIMÉNEZ ASENSIO, no se trataría de multar a las organizaciones públicas, sino de establecer un mecanismo en el que se depuren responsabilidades individuales, también de los responsables, cuando no de los encargados del tratamiento.

1. Reglamento 2016/679/UE, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE.

2. AEPD, “Listado de cumplimiento normativo” https://www.aepd.es/sites/default/files/2019-11/guia-listado-de-cumplimiento-del-rgpd.pdf.

3. Tal y como apunta JIMÉNEZ ASENSIO, R. si bien con el matiz de que esta publicidad solo se personaliza en los procedimientos que incoe la AEPD, de tal modo que sigue incidiendo en un modelo reactivo y represivo, frente al modelo preventivo y proactivo en el diseño de la política de protección de datos.

4. En la línea del Reglamento Europeo de proporcionar al interesado un mayor control sobre sus datos de carácter personal, aumentar la transparencia y garantizar la capacidad del órgano de control para que pueda adoptar medidas para que cese la vulneración del derecho fundamental a la protección de datos por parte del responsable o encargado del tratamiento. DAVARA FERNÁNDEZ DE MARCOS, L. Régimen sancionador: novedades en su aplicación, en CAMPOS ACUÑA, M.ª C. (Dir). El Consultor de los Ayuntamientos, Wolters Kluwer, 2019.

5. Resolución disponible en el siguiente enlace: https://www.aepd.es/es/documento/ps-00142-2019.pdf.

6. Como la reciente condena, por el Tribunal Supremo, a dos años y medio de prisión a una enfermera que accedió por curiosidad al historial clínico de tres pacientes que no tenía asignados. Fuente: Confilegal https://confilegal.com/20210407-el-ts-condena-a-dos-anos-y-medio-prision-a-una-enfermera-que-accedio-por-curiosidad-al-historial-clinico-de-tres-pacientes-que-no-tenia-asignados/.

7. Acceso a la resolución disponible en el siguiente enlace https://www.aepd.es/es/documento/e-06099-2019.pdf.

8. Resolución disponible en el siguiente enlace https://www.aepd.es/es/documento/ps-00280-2020.pdf.

9. Resolución disponible en el siguiente enlace: https://www.aepd.es/es/documento/ps-00130-2020.pdf.

10. Resolución disponible en el siguiente enlace: https://www.aepd.es/es/documento/ps-00187-2020.pdf.

11. Resolución disponible en el siguiente enlace: https://www.aepd.es/es/documento/ps-00001-2020.pdf.