jueves, 8 de noviembre de 2018

¿Qué está frenando la aplicación del RGPD en los municipios?


Con motivo de mi participación en distintas jornadas de formación sobre el RGPD impartidas en algunas Comunidades Autónomas, Municipios y Consejos Insulares, he tenido ocasión de conocer cómo se está viviendo la implantación de la nueva normativa de protección de datos en la Administración Local. El seguimiento del tema en redes sociales en las que habitualmente participan funcionarios de estas administraciones, y la experiencia como Delegado de Protección de Datos de un gran municipio de la periferia de Madrid, me permiten completar una primera impresión sobre la forma en que se está desarrollando la implantación del RGPD. Y esta primera impresión no puede decirse que sea muy positiva puesto que, en general, cabe señalar que se aprecia una importante demora en la aplicación del Reglamento en la Administración Local.

¿A qué se debe esta ralentización? Hay seis grupos de razones que pueden explicarlo:

1.- Exceso de normativa innovadora: Es evidente que las Administraciones Públicas españolas están viviendo en estos últimos años un auténtico aluvión de nuevas normas con un importante contenido transformador, que están siendo muy difíciles de digerir.

Estas normas exigen profundas transformaciones en temas tan críticos como la relación preferente con los ciudadanos a través de la tecnología, los esquemas de la contratación pública, la plena aplicación de políticas de transparencia, o el refuerzo de los modelos de seguridad en la gestión de la información mucho más exigentes.

La práctica totalidad de estas nuevas Leyes comparten tres características comunes: En primer lugar, en casi todos los casos provienen de normativa generada en la Unión Europea, y por tanto derivada de proyectos que no nacen en los escenarios sobre los que van a ser aplicadas. En segundo lugar, no imponen a los Gobiernos que tienen que aplicarlas la obligación de definir cómo financiar los nuevos modelos que se han de establecer, ignorando que todo proceso de transformación digital requiere inversión, al menos en una primera fase. Y en tercer lugar, establecen en algunos casos graves efectos jurídicos sobre los procedimientos que no las apliquen en el plazo definido. Ya lo estamos viendo en temas concretos, como los procesos de contratación publica o el registro electrónico.

Como consecuencia de lo anterior, los responsables de las Administraciones Públicas han de elegir dónde aplicar sus recursos limitados, y en muchos casos gravemente dañados tras la crisis, y lo hacen en detrimento de aquellas transformaciones donde, según su parecer, existe menos riesgo o una menor presión. En este grupo de “menos riesgo” se encuentran las iniciativas que han de producirse como consecuencia de la entrada en vigor del RGPD.

2.- Complejidad jurídica y técnica: La complejidad del RGPD no es un tema menor. La propia “digestión” de la norma europea, que en su versión española sufre de una traducción mejorable, se hace difícil debido a la introducción de criterios novedosos y necesitados de estudio.

Además, llega en un momento donde existe una importante confusión en la sociedad sobre cómo aplicar conceptos que no siempre están siendo bien entendidos. El ejemplo más claro de esto es la cuestión del consentimiento y su aplicación como base jurídica para el tratamiento de datos protegidos en el ámbito de las Administraciones Públicas, y especialmente en los municipios. En este momento existe, a mi juicio, una generalizada y errónea interpretación del Reglamento por parte de algunos funcionarios, otorgando al consentimiento un valor superior a otras bases jurídicas que deberían ser de aplicación preferente, como el cumplimiento de una obligación legal, o la atención a una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Ayuntamiento.

Otros ejemplos de esta complejidad técnica serían la introducción de las ideas de “análisis de riesgos”, o “evaluación de impacto”, metodologías que están aún lejos de ser aplicadas en el mundo municipal español con la debida naturalidad.

3.- Estructuras tecnológicas débiles: La plena y correcta implantación del RGPD requiere de infraestructuras tecnológicas potentes, en sus tres niveles de equipos, sistemas y recursos humanos. No es un secreto que la reciente crisis ha impedido el desarrollo de inversiones sostenibles en tecnología en los últimos años en muchos municipios, y que esto ha debilitado sus capacidades para responder a retos tecnológicos tan importantes como los que se derivan de la aplicación del RGPD.  Creo no exagerar si afirmo que la seguridad tecnológica en muchos Ayuntamientos está muy lejos de unos niveles aceptables. No es raro que datos tan delicados como los asociados a violencia de género, sanciones administrativas, o relativos a menores, - que requerirían niveles adicionales de protección según el Reglamento-, sean gestionados con un viejo PC, conectado a internet y con diversos puertos de acceso, y sin más protección que las claves generales del usuario.

En este sentido, la oferta de las empresas tecnológicas que habitualmente prestan servicios a los municipios tampoco parece haber entendido esta situación. Centradas en la cuestión del expediente electrónico, y en urgencias como las asociadas a la implantación de la nueva normativa de contrato públicos, no están siendo capes de construir propuestas tecnológicas y financieras atractivas, que inciten a los Ayuntamientos para apoyarse en ellas en el proceso de implantación del RGPD.


4.- Bajo compromiso de Diputaciones Provinciales y Comunidades Autónomas: Las anteriores circunstancias impactan especialmente sobre el pequeño y mediano municipio, en los que se acrecientan las limitaciones de recursos tecnológicos potentes y de empleados públicos preparados y formados para asumir esta normativa. Este es un ejemplo claro en el que estas limitaciones deberían ser suplidas con decisión a través de servicios de apoyo instrumentados por las Diputaciones Provinciales y las Comunidades Autónomas uniprovinciales. Sin embargo, esto no está sucediendo. Al menos, no de forma generalizada.

Son muy escasos los ejemplos en los que se aprecian iniciativas decisivas y potentes de las instituciones citada apoyando la implantación del RGPD en pequeños y medianos municipios. Ni siquiera en una cuestión tan nítida, como es el caso del apoyo para la designación de Delegados de Protección de Datos, muchas Diputaciones Provinciales y Comunidades Autónomas uniprovinciales están proponiendo soluciones. Incluso, desde alguna de ellas se sugiere la contratación de estos servicios con agentes privados externos, figura admitida por el Reglamento, pero que a mi juicio es muy desaconsejable. Al menos tanto como contratar el control financiero municipal con una empresa externa.

Es igualmente cierto que se están desarrollando algunas acciones de formación sobre esta cuestión dirigidas a empleados municipales. Pero estas medidas son insuficientes. Sin el apoyo decidido por parte de Diputaciones Provinciales y Comunidades Autónomas uniprovinciales, la implantación del RGPD en estos entornos se demorará muchos años.

5.- Insuficiente implicación de los funcionarios: Los anteriores elementos definen un escenario en el que los funcionarios se ven muy poco motivados a involucrarse. Además, no se percibe claramente que el propio Reglamento busca una responsabilidad y un compromiso directo e inmediato de cada uno de los empleados que gestionan datos protegidos, debiendo ser cada uno de ellos capaz de aplicar los criterios y límites derivados del RGPD en los distintos expedientes que gestionan o de los que son responsables. En definitiva, la cuestión de la protección de datos personales se ve en muchos casos como algo ajeno, de lo que debe encargarse el Delegado de Protección de Datos, si está nombrado, y que no va a ser objeto de atención mientras no “haya ruido”.

Como consecuencia de ello, el esquema básico de la “responsabilidad proactiva” basada en los principios de protección de datos desde el diseño y de protección de datos por defecto, no es aplicado, -y en muchos casos ni conocido-, en muchos Ayuntamientos, casi seis meses después de la aplicación plena del Reglamento.

6.- Escaso liderazgo político: Finalmente, aunque no es un tema en absoluto menor, creo no equivocarme mucho si afirmo que la cuestión de la protección de los datos personales en los Ayuntamientos no está entre las prioridades de los responsables políticos municipales. Me atrevería a decir que ni siquiera está en su agenda.

Como consecuencia, no están definidas propuestas para su implantación, ni asignados recursos financieros, tecnológicos o humanos para ello.

Aquí aparece una labor de concienciación de los responsables políticos municipales que debería ser liderada por varias instituciones clave: por un lado, por la Federación Española de Municipios y Provincias, ejerciendo su papel influyente sobre los Alcaldes. Pero también, mediante el impulso de iniciativas valiosas por parte de los responsables políticos de Diputaciones Provinciales y Comunidades Autónomas uniprovinciales, asumiendo que, sin su apoyo, se va a ralentizar enormemente la aplicación del Reglamento en el mediano y pequeño municipio.

Como concusión, seis meses después del inicio de la plena aplicación del RGPD, parece evidente que se está produciendo una preocupante demora en su implantación en el mundo municipal. En las líneas anteriores se describen seis grupos de razones que producen esta situación. Es la presencia concurrente de varias o de todas ellas la que está produciendo este resultado, que solo va a poder superarse eficazmente con la aplicación de distintas de iniciativas, desde distintos orígenes.

Ante esta situación sin duda está llamada a actuar la propia Agencia Española de Protección de Datos, que debe crear y disponer de una unidad especializada que de apoyo a los municipios, realice el seguimiento de la implantación del Reglamento en estos escenarios, y estimule, - con todos los recursos a su alcance-, iniciativas en los Ayuntamientos para lograr su aplicación efectiva.