El delegado de protección de datos, en el punto de mira

A partir de mayo, ciertas empresas están obligadas a nombrar un delegado de protección de datos. Hay bastantes comentarios hechos ya por internet con sus funciones, el problema de su independencia, formación y un largo etcétera. Pero no he visto ningún comentario relativo a la exposición pública a la que se van a ver sometidos los individuos que ocupen esta posición.

Tanto los responsables como los encargados tienen que publicar los datos de contacto de este sujeto, tal y como se dice en el artículo 37.7 del Reglamento:

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control

Además hay que comunicárselos a la autoridad de control. En nuestro caso, a la Agencia Española de Protección de Datos.

El proyecto de Ley Orgánica de protección de datos dice en el apartado IV de su exposición de motivos que “La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Y así lo establece en el punto 4 de su artículo 34:

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

No cabe duda de que es un buen ejercicio de transparencia, a primera vista suena muy bien esto de conocer al sujeto que es el responsable del sistema de protección de datos que tiene en marcha una empresa.

Ahora enlacemos esta bondad del nuevo sistema con la también transparente publicación de las resoluciones sancionadoras por parte de la Agencia Española de Protección de Datos. Como resultado, nuestro afortunado delegado se verá expuesta su competencia o incompetencia profesional ante la opinión pública cuando la empresa en la que desempeña sus funciones sea sancionada.

Cuando este sistema lleve funcionando un tiempo, cualquier departamento de recursos humanos tendrá un elemento más de juicio sobre la eficacia profesional de estos individuos solo con mirar en una página web.

Sí, ya sé que soy muy retorcido; ya sé que hay sanciones que no serán atribuibles directamente al mal ejercicio de la profesión, y que juegan muchas circunstancias… Pero es una situación que se va a presentar,  y creo que debiéramos reflexionar sobre ella.

Por cierto, ¿dónde se dice en el Reglamento que la autoridad de control tenga que publicar los datos del delegado de protección de datos? Porque solo menciona los datos de contacto, que no tienen por qué ser los datos personales del delegado… ¿No está yendo el legislador más allá de lo que toca?

Anteproyecto de ley orgánica de protección de datos

El viernes 23 de junio el Ministerio de Justicia publicó una nota de prensa donde se afirma que el Gobierno impulsa el anteproyecto de Ley Orgánica de protección de datos para adaptar la legislación española al Reglamento 2016/679 antes de que este entre en vigor el próximo 18 de mayo de 2018.

Esperemos que este ejercicio de transposición legislativa se haga mejor que los dos anteriores, ya que tanto la antigua LORTAD, como la vigente LOPD y su Reglamento vieron cómo su articulado terminó en el Constitucional.

Es de destacar que, aunque tanto la directora de la AEPD, como el secretario general técnico del Ministerio de Justicia aseguraron que tendríamos nueva Ley, el ahora diputado socialista d. Artemi Rallo, cuestionó que fuera a aprobarse a tiempo.

La Comisaria europea de Interior de la UE, ¿corrupta o “topo” de EE.UU.?

Corrupción

El fin de semana pasado se publicó una noticia que ha pasado prácticamente desapercibida en el gremio: Cecilia Malmström, Comisaria de Interior de la U.E. en el anterior período legislativo, ha estado colaborando con los norteamericanos en intentar frenar el Reglamento europeo de protección de datos.

La información ha aparecido en el blog del grupo de defensa de los derechos digitales Access. Solicitaron en 2013 acceso a documentación tanto de la Comisión Europea como de los Departamentos de Estado, Justicia y Comercio de EE.UU. El objetivo que tenían era aclarar las presiones “useñas” a la Unión Europea para frenar la aprobación del Reglamento de protección de datos.

El correo electrónico, de 12 de enero de 2012, de un trabajador de la NTIA (National Telecommunications and Information Administration) del Departamento de Comercio, hace referencia al borrador de uno de los documentos que redactó el “lobby” de la administración Obama para influir en la redacción del Reglamento. Eso es lo de menos; lo de más es que indica que el gabinete de Malmström había estado compartiendo información con la misión de EE.UU. en la Unión Europea, incluyendo las fechas apropiadas para publicar el documento de “lobby”, información sobre políticas internas de la Comisión, y sus preocupaciones sobre cómo la propuesta podía provocar un conflicto entre la U.E. y los intereses norteamericanos en la aplicación de ésta.

La susodicha Comisaria fue la encargada de averiguar si EE.UU. había espiado a europeos que estuvieran incluidos en la base de datos de SWIFT, que contiene información sobre transacciones financieras europeas. Cerró el asunto con la afirmación de que EE.UU. le había dado “garantías por escrito” de que no lo había hecho. Como el Parlamento Europeo no quedó satisfecho con la investigación, en marzo de 2014 solicitó la suspensión de las negociaciones para cerrar el Tratado Transatlántico de Comercio e Inversiones con EE.UU. Hasta la fecha, no ha habido reacción de ningún tipo a la petición.

Por cierto, Malmström será nombrada como Comisaria de Comercio si así se aprueba en una sesión plenaria del Parlamento Europeo que se celebrará el 22 de octubre. Digo yo que el nombramiento se hará por sus “buenas relaciones” con los norteamericanos. Resulta que el lunes , en una audiencia de 3 horas previa a su posible nombramiento, se le preguntó por el “asuntillo” y respondió que rechazaba las acusaciones,  porque eran “infundadas” y estaban “basadas en malinterpretaciones y mentiras”.

La respuesta de Access no se ha hecho esperar: la fuente de la información es más que fiable, ya que se trata de un correo electrónico obtenido de forma legal del Departamento de Comercio de EE.UU., y que demuestra de modo claro su implicación.

Bochorno y vergüenza. Es lo único que se me ocurre. Este es el nivel de “nuestros” representantes europeos. Corrupción pura, y negar la mayor cuando la tienen delante.

La noticia, aquí en GigaOm. Actualización de hoy mismo, aquí en Techdirt.