Con motivo de mi participación en
distintas jornadas de formación sobre el RGPD impartidas en algunas Comunidades
Autónomas, Municipios y Consejos Insulares, he tenido ocasión de conocer cómo se
está viviendo la implantación de la nueva normativa de protección de datos en
la Administración Local. El seguimiento del tema en redes sociales en las que
habitualmente participan funcionarios de estas administraciones, y la
experiencia como Delegado de Protección de Datos de un gran municipio de la
periferia de Madrid, me permiten completar una primera impresión sobre la forma
en que se está desarrollando la implantación del RGPD. Y esta primera impresión
no puede decirse que sea muy positiva puesto que, en general, cabe señalar que
se aprecia una importante demora en la aplicación del Reglamento en la
Administración Local.
¿A qué se debe esta ralentización?
Hay seis grupos de razones que pueden explicarlo:
1.- Exceso de normativa innovadora: Es evidente que las
Administraciones Públicas españolas están viviendo en estos últimos años un
auténtico aluvión de nuevas normas con un importante contenido transformador,
que están siendo muy difíciles de digerir.
Estas normas exigen profundas
transformaciones en temas tan críticos como la relación preferente con los
ciudadanos a través de la tecnología, los esquemas de la contratación pública, la
plena aplicación de políticas de transparencia, o el refuerzo de los modelos de
seguridad en la gestión de la información mucho más exigentes.
La práctica totalidad de estas
nuevas Leyes comparten tres características comunes: En primer lugar, en casi
todos los casos provienen de normativa generada en la Unión Europea, y por
tanto derivada de proyectos que no nacen en los escenarios sobre los que van a
ser aplicadas. En segundo lugar, no imponen a los Gobiernos que tienen que
aplicarlas la obligación de definir cómo financiar los nuevos modelos que se
han de establecer, ignorando que todo proceso de transformación digital
requiere inversión, al menos en una primera fase. Y en tercer lugar, establecen en
algunos casos graves efectos jurídicos sobre los procedimientos que no las
apliquen en el plazo definido. Ya lo estamos viendo en temas concretos, como
los procesos de contratación publica o el registro electrónico.
Como consecuencia de lo anterior,
los responsables de las Administraciones Públicas han de elegir dónde aplicar
sus recursos limitados, y en muchos casos gravemente dañados tras la crisis, y
lo hacen en detrimento de aquellas transformaciones donde, según su parecer, existe
menos riesgo o una menor presión. En este grupo de “menos riesgo” se encuentran
las iniciativas que han de producirse como consecuencia de la entrada en vigor
del RGPD.
2.- Complejidad jurídica y técnica: La complejidad del RGPD no es
un tema menor. La propia “digestión” de la norma europea, que en su versión
española sufre de una traducción mejorable, se hace difícil debido a la
introducción de criterios novedosos y necesitados de estudio.
Además, llega en un momento donde
existe una importante confusión en la sociedad sobre cómo aplicar conceptos que
no siempre están siendo bien entendidos. El ejemplo más claro de esto es la
cuestión del consentimiento y su aplicación como base jurídica para el
tratamiento de datos protegidos en el ámbito de las Administraciones Públicas,
y especialmente en los municipios. En este momento existe, a mi juicio, una generalizada
y errónea interpretación del Reglamento por parte de algunos funcionarios, otorgando
al consentimiento un valor superior a otras bases jurídicas que deberían ser de
aplicación preferente, como el cumplimiento de una obligación legal, o la
atención a una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al Ayuntamiento.
Otros ejemplos de esta
complejidad técnica serían la introducción de las ideas de “análisis de
riesgos”, o “evaluación de impacto”, metodologías que están aún lejos de ser
aplicadas en el mundo municipal español con la debida naturalidad.
3.- Estructuras tecnológicas débiles: La plena y correcta
implantación del RGPD requiere de infraestructuras tecnológicas potentes, en
sus tres niveles de equipos, sistemas y recursos humanos. No es un secreto que
la reciente crisis ha impedido el desarrollo de inversiones sostenibles en
tecnología en los últimos años en muchos municipios, y que esto ha debilitado
sus capacidades para responder a retos tecnológicos tan importantes como los
que se derivan de la aplicación del RGPD.
Creo no exagerar si afirmo que la seguridad tecnológica en muchos
Ayuntamientos está muy lejos de unos niveles aceptables. No es raro que datos
tan delicados como los asociados a violencia de género, sanciones
administrativas, o relativos a menores, - que requerirían niveles adicionales
de protección según el Reglamento-, sean gestionados con un viejo PC, conectado
a internet y con diversos puertos de acceso, y sin más protección que las
claves generales del usuario.
En este sentido, la oferta de las
empresas tecnológicas que habitualmente prestan servicios a los municipios
tampoco parece haber entendido esta situación. Centradas en la cuestión del
expediente electrónico, y en urgencias como las asociadas a la implantación de
la nueva normativa de contrato públicos, no están siendo capes de construir
propuestas tecnológicas y financieras atractivas, que inciten a los
Ayuntamientos para apoyarse en ellas en el proceso de implantación del RGPD.
4.- Bajo compromiso de Diputaciones Provinciales y Comunidades
Autónomas: Las anteriores circunstancias impactan especialmente sobre el
pequeño y mediano municipio, en los que se acrecientan las limitaciones de recursos
tecnológicos potentes y de empleados públicos preparados y formados para asumir
esta normativa. Este es un ejemplo claro en el que estas limitaciones deberían
ser suplidas con decisión a través de servicios de apoyo instrumentados por las
Diputaciones Provinciales y las Comunidades Autónomas uniprovinciales. Sin
embargo, esto no está sucediendo. Al menos, no de forma generalizada.
Son muy escasos los ejemplos en
los que se aprecian iniciativas decisivas y potentes de las instituciones
citada apoyando la implantación del RGPD en pequeños y medianos municipios. Ni
siquiera en una cuestión tan nítida, como es el caso del apoyo para la
designación de Delegados de Protección de Datos, muchas Diputaciones
Provinciales y Comunidades Autónomas uniprovinciales están proponiendo
soluciones. Incluso, desde alguna de ellas se sugiere la contratación de estos
servicios con agentes privados externos, figura admitida por el Reglamento,
pero que a mi juicio es muy desaconsejable. Al menos tanto como contratar el
control financiero municipal con una empresa externa.
Es igualmente cierto que se están
desarrollando algunas acciones de formación sobre esta cuestión dirigidas a empleados
municipales. Pero estas medidas son insuficientes. Sin el apoyo decidido por
parte de Diputaciones Provinciales y Comunidades Autónomas uniprovinciales, la
implantación del RGPD en estos entornos se demorará muchos años.
5.- Insuficiente implicación de los funcionarios: Los anteriores
elementos definen un escenario en el que los funcionarios se ven muy poco
motivados a involucrarse. Además, no se percibe claramente que el propio
Reglamento busca una responsabilidad y un compromiso directo e inmediato de
cada uno de los empleados que gestionan datos protegidos, debiendo ser cada uno
de ellos capaz de aplicar los criterios y límites derivados del RGPD en los
distintos expedientes que gestionan o de los que son responsables. En definitiva,
la cuestión de la protección de datos personales se ve en muchos casos como
algo ajeno, de lo que debe encargarse el Delegado de Protección de Datos, si
está nombrado, y que no va a ser objeto de atención mientras no “haya ruido”.
Como consecuencia de ello, el
esquema básico de la “responsabilidad proactiva” basada en los principios de
protección de datos desde el diseño y de protección de datos por defecto, no es
aplicado, -y en muchos casos ni conocido-, en muchos Ayuntamientos, casi seis
meses después de la aplicación plena del Reglamento.
6.- Escaso liderazgo político: Finalmente, aunque no es un tema en
absoluto menor, creo no equivocarme mucho si afirmo que la cuestión de la
protección de los datos personales en los Ayuntamientos no está entre las prioridades
de los responsables políticos municipales. Me atrevería a decir que ni siquiera
está en su agenda.
Como consecuencia, no están
definidas propuestas para su implantación, ni asignados recursos financieros, tecnológicos
o humanos para ello.
Aquí aparece una labor de concienciación
de los responsables políticos municipales que debería ser liderada por varias
instituciones clave: por un lado, por la Federación Española de Municipios y Provincias,
ejerciendo su papel influyente sobre los Alcaldes. Pero también, mediante el
impulso de iniciativas valiosas por parte de los responsables políticos de
Diputaciones Provinciales y Comunidades Autónomas uniprovinciales, asumiendo
que, sin su apoyo, se va a ralentizar enormemente la aplicación del Reglamento en
el mediano y pequeño municipio.
Como concusión, seis meses después
del inicio de la plena aplicación del RGPD, parece evidente que se está
produciendo una preocupante demora en su implantación en el mundo municipal. En
las líneas anteriores se describen seis grupos de razones que producen esta
situación. Es la presencia concurrente de varias o de todas ellas la que está
produciendo este resultado, que solo va a poder superarse eficazmente con la aplicación
de distintas de iniciativas, desde distintos orígenes.
Ante esta situación sin duda está
llamada a actuar la propia Agencia Española de Protección de Datos, que debe
crear y disponer de una unidad especializada que de apoyo a los municipios, realice
el seguimiento de la implantación del Reglamento en estos escenarios, y estimule,
- con todos los recursos a su alcance-, iniciativas en los Ayuntamientos para lograr
su aplicación efectiva.
