Miguel Ángel Ballesteros Miembro del Comité Operativo del Data Privacy Institute.

28 de Enero, Día de la Protección de Datos en Europa.   Mañana, 28 de enero, celebramos el Día Internacional de la Protección de Datos personales, aspecto que, para la mayoría de los mortales en un aspecto general pasa desapercibido porque todos los días se celebra internacionalmente algo, pero sin embargo sirve para que de una forma u otra no nos olvidemos de que la protección de nuestros datos personales constituye un derecho al que no debemos renunciar y exigir en todo caso. En este día, los medios de comunicación hacen noticia de este hecho, sin necesidad como otras veces, de que ocurra algún delito tipo que un hacker consigue las cuentas bancarias de mucha gente o que una multinacional ha perdido las direcciones de correo electrónico de millones de clientes. También Organismos Oficiales, como la Agencia Española de Protección de Datos (AEPD), aprovechan para celebrar este día con sesiones, conferencias, etc., donde exponen la trayectoria que de esta materia se ha llevado durante el último año.

Los que nos dedicamos a esto, estamos de suerte de hallarnos en un país donde la protección de datos personales está en un nivel muy alto comparado con países de nuestro entorno y siendo modelo para otros muchos países tanto de las nuevas incorporaciones en la Unión Europea como del entorno Iberoamericano. Pero para llegar hasta aquí han tenido que pasar muchas cosas y hemos tenido que sufrir muchos sinsabores, tanto por parte de las entidades internas en las que hemos prestados nuestros servicios como de las públicas externas que no ayudaban, una porque hacía cumplir a base de sanciones y otras que no cumpliendo se nos ponían de ejemplo, como que tal o cual ministerio u organismo público tampoco cumple y no pasa nada.

Para explicar lo que acabo de decir, voy a tratar de contar mis vivencias en esta materia, puesto que me dedico a ella desde el comienzo. Muchos de mis colegas de profesión lo conocen pero hay muchos otros jóvenes que han empezado hace poco a dedicarse a la protección de datos y el desarrollo de este artículo les hará sonreír. Insisto en que son mis vivencias y apreciaciones personales por lo que si alguno no está de acuerdo le pido disculpas, pero es lo que he vivido y pienso.

Aunque nuestra primera ley, la LORTAD, data del año 1992 no es hasta 1994, año en el aparece la AEPD, en el que se dan los primeros pasos. Éstos consisten en inscribir los ficheros en el Registro General de Protección de Datos (RGPD), creado a tal fin por la AEPD. Nos enteramos porque se inserta un anuncio en la prensa donde se dice que se deben inscribir y comienzan nuestras primeras dificultades y primeras decisiones. ¿Qué es un fichero con datos personales?; ¿a qué nivel se llega: lógico o físico?;  ¿los presentamos en formato papel o disquete? Algo que ahora está totalmente superado, supuso una reunión de los responsables de informática (no digo de sistemas de información porque antes era solo de informática) de diferentes empresas del rango de a la que yo pertenecía, y decidieron que en papel y lógicos. El verano del 94 lo pasé presentado ficheros de todas las empresas del grupo (más de treinta). Tardaba más tiempo en preparar, fotocopiar, recabar firmas de responsables y presentar los ficheros que la el RGPD en contestar con la inscripción.

Esta inscripción fue el comienzo de saber que existía una ley (la LORTAD) y lo que implicaba. Ley que me aprendí de memoria y mantengo guardada y subrayada para enseñársela a mi nieto cuando sepa leer. Si os dais cuenta una de las decisiones más importantes de esta materia se tomó sin apenas darnos cuenta. ¿Quién toma las riendas de esta materia en las entidades? ¿Informática o Asesoría Jurídica? La respuesta ya la tenéis.

Ya hemos dado el primer paso, hemos inscrito los ficheros ¿y ahora qué? Otra decisión que hubo que tomar: ¿Se encarga la matriz de la protección de datos de todas las empresas del grupo?; ¿se encarga cada empresa por si sola? Ahora la decisión sería fácil pero en aquel momento suponía una decisión importante. Se decidió por lo segundo y preparamos un dosier para que las empresas del grupo supieran lo que tenían/debían hacer.

Después de esto y hasta la aparición del Reglamento de Medidas de Seguridad (RMS) surge un periodo de calma solo roto por la aparición de la Instrucción 1/1996 sobre los ficheros de acceso a los edificios. En este momento comienza otra andadura para el responsable de protección de datos consistente entre lo que el “pesado de la protección de datos” dice que hay que hacer y los responsables de poner en marcha las medidas correspondientes quieren hacer. No entienden que no se pueda guardar más de treinta días la información de quien ha entrado en el edificio y además el cartel con la información del artículo 5 queda muy feo en una entrada tan bonita del edificio. Además el responsable mencionado siempre insiste en que en ningún otro edificio en los que ha estado, incluido los oficiales, está el dichoso cartel. Este dilema entre lo que hay que hacer y lo que los responsables de los negocios quieren hacer, se perpetua hasta hoy. Al responsable de la protección de datos siempre le parece poco y a ellos siempre les parece mucho.

En el año 1999 aparece el RMS y la pareja antes mencionada (responsable de protección de datos y responsables de negocio) se convierte en trío con la inclusión del personal de informática en cuanto a la implementación de las medidas de seguridad que el RMS determina. Afirmaciones del tipo “cuestan más las medidas que dices que hay que implementar que la posible sanción por no tenerlas” se oyen a menudo y la apreciación de “pesado” pasa a ser de “muy pesado”. Pero en esta guerra, gracias a Dios, ya no estamos solos puesto que la unidad de Auditoría cobra vida y nos ayuda con las recomendaciones de sus auditorías. Una vez estudiado el nuevo RMS, surge la primera dificultad que consiste en el documento de seguridad. En primer lugar su diseño, en segundo lugar su alcance, en tercer lugar, ¿qué hacemos con él?; ¿cómo conseguimos mantenerlo actualizado si prácticamente nadie nos hace caso?; ¿cómo conseguimos su difusión, puesto que si el documento que hemos conseguido desarrollar se lo pasamos a los usuarios que manejan datos personales, los asustamos más que los concienciamos? La solución viene de la mano de la Unidad de Organización que para que los usuarios no tengan que conocer la legislación ni estudiarse el documento de seguridad, ayuda a preparar procedimientos y normas para explicar de una forma más compresible lo relacionado con las obligaciones que la legislación sobre protección de datos exige. De esta forma entramos en la siguiente etapa de nuestro desarrollo como futuro DPO y es la concienciación. Llegado este punto damos presentaciones y cursillos a todo el que se mueve y aunque les intentamos convencer que como persona física que es, le conviene conocer sus derechos, a veces se nos olvida hacerle hincapié que además y lo que es más importante son las obligaciones que tiene como usuario que maneja datos de otras personas físicas.

Como todo tiene capacidad para empeorar, aparece la nueva y actual ley 15/1999 que aunque en lo referente a los ficheros automatizados apenas introduce cambios si lo hace en lo referente a los ficheros no automatizados y por lo tanto “si éramos pocos parió la abuela”. ¿Qué es un fichero no automatizado?; ¿qué criterio tiene que tener un fichero no automatizado para que esté afectado por la legislación sobre protección de datos? Menos mal que nos dieron doce años para adecuarnos. Estuvimos once años y medio sin hacer nada y luego carreras durante seis meses. Durante ese tiempo estuvimos usando un reglamento de una ley derogada esperando la llegada del siguiente reglamento que corrigiera los errores del anterior y, sobre todo, nos diera las medidas a incorporar a los ficheros no automatizados. El primer borrador lo vimos en el curso de verano que la AEPD impartió en la UIMP en 2005 con una expectación inusual y aunque corregía dudas anteriores, introdujo un nuevo montón de dudas dada su extensión. Tantas eran que no se pudieron solucionar en la última sesión del curso y se tuvo que establecer un sistema para recogerlas, eliminar duplicidades y pasárselas a la AEPD para que las contestara y sobre todo le sirvieran para posibles correcciones del borrador. El curso del año siguiente (2006) también fué sobre el nuevo reglamento. Aprovecho este momento para agradecer a la AEPD estos curso de verano por lo fructíferos que eran dado que fueron un foro tanto interno del propio curso como los debates que los asistentes teníamos fuera del curso. La mayoría de los asistentes éramos profesionales del tema y lo que pretendíamos y conseguíamos era resolver dudas, sobre todo de interpretación.

Antes de la publicación de este nuevo reglamento la AEPD nos obsequia con otra Instrucción, la 1/2006 sobre videovigilancia y nos vuelve a remover las aguas que ya habíamos conseguido calmar y si antes el aviso del artículo 5 de entrada al edificio no pegaba en la entrada del mismo, ahora los carteles anunciando la videovigilancia alrededor del mismo, todavía menos. Ni que decir tiene que lo de no de guardar las imágenes más de treinta días y que las cámaras no enfoquen fuera del edificio fue una batalla dura y que no estoy seguro de haberla ganado.

Como regalo de navidad del año 2007 aparece le reglamento actual, con exposición de motivos (vaya detalle) y ya tenemos medidas de seguridad para los ficheros no automatizados por lo que podemos empezar a pensar en práctica las mismas y de entrada a pedir armarios. El “super pesado” (otro grado) de la protección de datos ataca de nuevo y tiene que escuchar la frase “si este es un despacho cerrado, ¿para que tengo que colocar armarios?”. Después de explicarles que confunden locales con dispositivos, viene la segunda derivada de que no deben dejar las llaves puestas, todo un logro. Pero si esto es difícil, lo de explicarles a los que tienen ficheros de nivel alto, por ejemplo las historias clínicas, y el mecanismo para identificar los accesos a la información, entra en el terreno de lo sublime. Casi tan imposible, como la política de mesas limpias para los usuarios que manejen documentos con datos personales.

Cuando la legislación, por fin, nos da un respiro surge la tecnología, para ayudarnos, y aparece el “cloud computing” y se vuelve a liar con los responsables de sistemas de información, que además de gustarles estar a la última externalizan todo lo que se mueve. Llegado este punto y dado que la AEPD saca las recomendaciones cuando ya ha transcurrido algún tiempo, tienes que tomar  decisiones, normalmente conservadoras para evitar posibles sanciones. Por ello indicas que se deben establecer con claridad las posibles transferencias internacionales, que en caso de haberlas, se debe solicitar su autorización a la AEPD y no poner la información en la “nube” antes de haber obtenido las mismas. Os podéis imaginar lo que piensan estos responsables de SI de los que nos encargamos de la protección de datos.

En la actualidad se habla de la privacidad en Internet, Big Data, Smart Cities, etc., pero no me voy a referir a estos temas porque el artículo trata de vivencias y esto es actualidad. Sin embargo, si voy hacer referencia al futuro con la  posible publicación del nuevo Reglamento Europeo y ojalá se publique. Imaginaros cuando vayáis al  Responsable de vuestra Entidad y les digáis que os tienen que nombrar oficialmente DPO, que os tienen que dar competencias y que os tienen que hacer caso; al Responsable de Negocio le decís que tiene que hacer un análisis de impacto antes de poner en marcha la nueva iniciativa que se le ha ocurrido; al Responsable de SI le contáis que tiene que hacer privacy by desing; etc. Yo para alegría mía y envidia de algunos, veré los toros desde la barrera puesto que me he jubilado y ahora la tarea más importante y gratificante que tengo es jugar con mi nieto.

Tal vez lo escrito, visto desde la perspectiva actual, pueda parecer exagerado pero quiero recalcar que todas las ayudas que ahora existen, incluidas las proporcionadas por la propia AEPD (informe jurídicos, modelos de documentación, etc.), antes no existían y se fueron creando poco a poco, por los qué como yo iniciamos esta andadura. Hicimos camino al andar.

En cualquier caso, OS DESEO UN FELIZ DÍA INTERNACIONAL DE LA PROTECCIÓN DE DATOS y sobre todo una feliz andadura en la consecución de la protección de datos en vuestras entidades.

¡Ánimo!