Por Miguel Ángel Ballesteros, Miembro del Comité Operativo del Data Privacy Institute y colaborador de ISMS Forum.

Hoy se celebra el día internacional de la protección de datos y aunque parezca mentira, yo siento nostalgia. Algunos de los que lean este escrito habrán nacido siendo la protección de datos una legislación vigente y conocida no entendiendo que hubo un antes donde se podía hacer cualquier cosa con nuestros datos personales.

Pero no es así. Hace ya más de veinticinco años, que empezó el tema de la protección de datos en España y algunos ya estábamos por ahí haciendo otras cosas cuando mi director, en el verano de 1994, me comenta que ha visto un anuncio en el periódico donde dice no sé qué de inscribir unos ficheros y que te enteres de que va eso. Como podéis comprobar un comienzo de lo más académico y romántico con esta materia que tanto me apasiona.

Del anuncio descubro que existe una Agencia Española de Protección de datos que se había creado el año anterior y que hay una ley del año 92, la LORTAD que simplemente conseguir decir el nombre completo, “ley orgánica de regulación del tratamiento automatizado de los datos de carácter personal”, era un logro.

Pues bien con estos mimbres y como se trata de ficheros es la dirección de sistemas de información, en la que yo estaba, quien toma la batuta y me pongo a ello. La primera decisión acertada fue presentar ficheros lógicos en vez de físicos lo que hizo que fueran un número menor pero como dábamos servicio a todas las empresas del grupo hubo que hacerlo para todas ellas lo que implicó una buena cantidad de ficheros. La segunda decisión, esta vez menos acertada fue que la presentación se realizara en formularios de papel en vez de usar la posibilidad de formularios electrónicos en disquete lo que implicó gran cantidad de documentación y muchos desplazamientos al Registro de la Agencia que en aquel entonces residía en un edificio a la altura de Emilio Castelar.

Pasó el verano y las aguas volvieron a su cauce porque teóricamente y digo teóricamente no hubo nada urgente que hacer aunque sin embargo empezamos  a confeccionar los primeros procedimientos internos para que cada empresa del grupo supiera que hacer ante la aparición de nuevos ficheros o la desaparición de alguno existente.

En éstas estábamos, con cierta apariencia de tranquilidad, cuando en 1999 aparece el Reglamento 994 donde ya se establecían medidas concretas relacionadas con la seguridad de los ficheros. Hasta ese momento no se había hecho mucho hincapié en esto de la protección de datos pero quedaba claro que había venido para quedarse y de qué manera.

Como se trataba de medidas de seguridad, de nuevo nuestra dirección de sistemas toma la batuta aunque nunca la había dejado y nos ponemos manos a la obra. Al ser la misma dirección la que se encargaba de decir lo que había que hacer y hacerlo, apenas hubo problemas, sobre todo porque muchas de las medidas realmente estaban ya implantadas. Otra cosa es cuando tenían que tomar medidas o hacerse algo fuera de nuestra dirección, a lo que la mayoría de las veces nos respondían con la famosa frase de un conocido político: ¡Qué coñ. es eso de la protección de datos! En ese momento empezó la cruza de hacer entender y comprender a la Organización los deberes que esta materia implicaba. La comprensión fue total como os podéis imaginar. Las frases como “me cuesta más dinero lo que me dices que haga que la posible multa que nos impongan”, “vienes a entorpecer al negocio” o la famosa “¿me dices que no puedo lanzar esta acción de marketing” las escuché en más de una ocasión. Ya veis que esta cruzada todavía no se ha terminado de ganar al infiel que dice que los datos son suyos y hace lo que le da la gana con ellos, aunque hay que reconocer que cada vez quedan menos soldados infieles, tal vez sea por las multas del último Reglamento Europeo.

No nos habíamos repuesto de la aparición del reglamento cuando finalizando ese año aparece la segunda ley orgánica derogando la anterior. Esta ley ya os sonará a muchos de los jóvenes que estéis leyendo este escrito porque ha estado vigente hasta hace año y poco. Tenía la dudosa virtud de nacer sin exposición de motivos con lo que las interpretaciones había que hacerlas en base a la anterior, pero sobre todo la peculiaridad más importante fue que ya se ocupaba de los ficheros no automatizados.

Desde la primera ley hasta su reglamento transcurrieron casi siete años y ahora que ya teníamos reglamento nos aparece  esta ley que en teoría y digo en teoría lo deroga. Pero no fue así dado que nuestro legislador fue muy astuto y mediante la disposición transitoria tercera lo mantuvo en vigor. El problema que se nos presentaba a los que estábamos en el ajo era que ahora que tenemos que ocuparnos de los ficheros no automatizados teníamos un reglamento que no los contemplaba. ¡Qué no cunda el pánico!, nuestro sabio legislador nos dio, nada menos que doce años, repito doce años, para su adecuación, eso sí a contar desde octubre de 1995. Con lo fácil que hubiera sido dar un plazo de ocho años. En cualquier este legislador se daba un plazo holgado  para sacar el nuevo reglamento y encima aunque por poco, un mes, le pilló el toro.

Ahora viene un periodo en que como la legislación está estable, los que nos dedicábamos a esto hacíamos camino al andar y las anécdotas eran de otra índole.

Recuerdo el primer curso de verano en El Escorial en julio de 2004 donde nos juntamos alrededor de cien profesionales y donde lo más importante no fueron las clases sino el intercambio de experiencias entre nosotros y la cercanía a los integrantes de la Agencia lo que nos permitía realizar consultas.  Era una puesta en común de las diferentes soluciones que cada uno había llevado a cabo. En el desayuno, en la comida, en la cena y después hasta altas horas estábamos hablando de lo mismo. Daros cuenta de que como cada uno por separado había ido tomando decisiones,  era el momento ideal para comprobar como en la mayoría de los casos se había llegado a las mismas soluciones. Todavía mantengo contacto y amistad con compañeros que conocí en ese curso y posteriores. Hablando de posteriores los dos siguientes 2005 y 2006 se dedicaron al futuro reglamento, el del 2005 en Santander “hacía un nuevo reglamento…” y el de 2006 de nuevo en El Escorial “El reglamento de desarrollo….”. Lo que el nuevo reglamento, ahora ya antiguo y derogado dio de sí.

Se nos dijo que en el curso de Santander se nos iba a dar el texto del borrador y por lo tanto estábamos todos ansiosos por conocerlo pero pasaban los días del curso sin que llegara. Me imagino que la Agencia temía que si nos entregaba el texto con antelación les íbamos a freír a preguntas y nos lo entregó el jueves por la tarde al terminar las clases (los cursos son de lunes a viernes aunque los viernes era solo por la mañana y prácticamente era para entregar los diplomas y conferencia de despedida). Pues bien nos lo leímos esa tarde noche y al día siguiente nos presentamos en clase cada uno con un montón de preguntas armándose un revuelo considerable. Se tuvo que proponer un procedimiento de forma que uno de nosotros recogía todas las preguntas, quitaba las repetidas, las trasladaba a la Agencia y la contestación de todas ellas nos la trasladaba a cada uno.

Finalmente, en el año 2007 y con algún retraso, se aprobó el reglamento 1720 en diciembre de 2007. Este era un reglamento más completo puesto que no solo hablaba de las medidas de seguridad como el anterior, sino que venía a responder como se debían hacer el resto de las obligaciones. También contaba con las medidas de seguridad que había que adoptar a los ficheros no automatizados que si recordáis en el año 1999 nos daban doce años a contar a partir del 24 de octubre de 1995 por lo que tenían que estar antes de que se publicara el nuevo reglamento. Menos mal que con las diferentes versiones de borradores que íbamos consiguiendo, adelantábamos las correspondientes medidas.

Otro hito importante durante ese tiempo fue la aparición de certificaciones privadas para profesionales de protección de datos lo que venía a avalar, en el entorno en el que te movías, que de lo qué hablabas sabías. La primera “CDPP” fue la de ISMS en la primera mitad del año 2010. Yo la obtuve en mayo de 2010. La siguiente fue la de la APEP en 2011. Hubo alguna otra certificación muy local pero las más importantes y a nivel nacional son estas dos. Ahora, como sabéis, ya tenemos la certificación oficial de delegados de protección de datos de la Agencia.

En este momento tenemos el reglamento europeo y la nueva ley orgánica que con el añadido de los derechos digitales es tan difícil de nombrar como la pionera LORTAD. Pero como comentaba en lo relacionado con la certificación oficial, ya estoy hablando en presente y eso ya no forma parte de mi nostalgia.

Queridos delegados de protección de datos actuales, en este momento tenéis una sección en el reglamento europeo y un capítulo en la ley orgánica donde se dice como debéis ser, cuáles deben ser vuestras habilidades, vuestras funciones, vuestros derechos. Contáis con un reglamento con 99 artículos y 173 considerandos, una ley con 97 artículos, una barbaridad de disposiciones y un buen preámbulo y un extenso número de informes jurídicos y resoluciones pero como acabo de exponer no siempre fue así.

Quisiera que este escrito sirviera de homenaje a todos aquellos pioneros en la protección de datos, que de una forma u otra, han/hemos contribuido a llegar al nivel en el que se encuentra la protección de datos en España.