Читать книгу Anuario de Derecho Administrativo 2017 - Miguel Ángel Recuerda Girela - Страница 72

En nuestra opinión, el nuevo Reglamento obliga a las organizaciones que traten datos de carácter personal a realizar un diagnóstico de situación respecto de sus cláusulas de consentimiento, información facilitada al efecto, gestión del ejercicio de derechos por parte de los interesados, principios aplicados en el tratamiento, ficheros titularidad de la organización, cesiones dentro del grupo empresarial o a terceros, evaluaciones de riesgos realizadas y medidas de seguridad vigentes. Entendemos que tendrán que revisarse los registros existentes para que permitan acreditar las actuaciones por parte de la organización en cada una de esas materias. A partir de ahí debería llevarse a cabo una labor de diseño y planificación de las acciones que hagan posible la adaptación a 25 de mayo de 2018. Estos trabajos tienen un componente principalmente jurídico (recordemos que el DPO debe designarse en atención a «sus conocimientos especializados del Derecho») que, no obstante, debe ir acompañado de un análisis técnico y organizativo para que puedan formularse soluciones integrales y que puedan llevarse a la práctica de forma óptima en función de las características propias de cada organización.

El proceso de adaptación y la operativa a partir de la aplicación del nuevo Reglamento entendemos que plantea unas connotaciones relevantes desde la perspectiva del Derecho Administrativo nacional, en lo que respecta principalmente a las siguientes cuestiones:

1. Las autoridades de control nacionales tienen reconocidas unas facultades de interpretación, asesoramiento, recomendación, elaboración de guías, etc., tan amplias y en tantas materias que, en la práctica, pueden entenderse que constituyen potestades análogas a las de un legislador. Su contenido, límites, efectos, revisión y anulación se sujetan al Derecho Administrativo, por lo que este será el régimen que permitirá preservar los derechos de los afectados frente al ejercicio de tales prerrogativas.

2. En el caso de España existen a día de hoy tres autoridades de control: la AEPD, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos. Las cuestiones competenciales y las eventuales divergencias se resolverían también en el marco del Derecho Administrativo.

3. Las autoridades nacionales de control tienen unas facultades decisoras (i.e. aprobación de las normas corporativas vinculantes; de códigos de conducta; de sistemas de certificación; etc.) cuyo ejercicio impacta en las organizaciones y que es revisable de acuerdo con el Derecho Administrativo.

4. El Reglamento reconoce unas potestades de investigación a las autoridades de control que, a simple vista, parece que les atribuyen un acceso ilimitado a la información de la organización (establecimientos y aplicaciones incluidos). Sin embargo, los derechos de los afectados pueden constituir límites invocables a través de los procedimientos administrativos correspondientes.

5. El Reglamento atribuye unas potestades de corrección a las autoridades de control que les permiten ordenar prácticamente cualquier actuación o cesación en relación con los datos personales. Nuevamente el uso razonable de estas facultades, la suspensión de sus efectos, su revisión o su anulación se controlarán a través de la vía administrativa con arreglo a las normas que le son propias.

6. El régimen de responsabilidad patrimonial de las Administraciones Públicas entendemos que resultará aplicable para reclamar una compensación por los daños que las actuaciones de las autoridades causen a los afectados y que no tengan el deber jurídico de soportar (i.e. por uso inadecuado de sus facultades).

7. El régimen sancionador se ve notablemente agravado para los responsables y encargados en atención a las cuantías de las multas previstas en el Reglamento. Además, la tipificación de infracciones en esta norma es bastante genérica. Por tanto, los principios y exigencias propias del Derecho Administrativo sancionador resultarán clave en los procedimientos que se incoen para depurar este tipo de responsabilidades.

8. Los mecanismos de cooperación y coherencia previstos en el Reglamento regulan las relaciones jurídico-administrativas entre las autoridades nacionales de control y entre estas y el Comité. Se trata de sistemas complejos que van a requerir un enfoque especializado para las organizaciones que traten datos en más de un país de la Unión Europea.

9. La implantación del principio de responsabilidad proactiva, desde el diseño, entendemos que llevará a las organizaciones a un análisis y diagnóstico regulatorio global de sus actuaciones, riesgos y medidas de seguridad en materia de protección de datos, más allá de la revisión concreta de las cláusulas informativas y de obtención del consentimiento, o de los contratos entre el responsable y los encargados.

En definitiva, entendemos que estamos ante una nueva cultura de compliance o cumplimiento, a través de la cual se pretende que las organizaciones adopten medidas que minimicen el posible impacto negativo de sus actuaciones y puedan demostrarlo. La vinculación de este tipo de programas de compliance a las amplias facultades de las autoridades de control y la aplicación del nuevo régimen sancionador introduce elementos clave del Derecho Administrativo con los que será imprescindible contar para abordar estas tareas.