Julián Valero Torrijos.
Catedrático de Derecho Administrativo
Universidad de Murcia
Transcurridos ya casi cuatro años de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016) (en adelante RGPD), parece llegado el momento de valorar su aplicación práctica en el sector público y, de cara al futuro más inmediato ofrecer pautas y criterios de utilidad para afrontar el efectivo respeto al derecho fundamental a la protección de datos de carácter personal en el proceso de transformación digital que se está viviendo en este ámbito.
La principal virtud del RGPD (LA LEY 6637/2016) radica, al menos en mi opinión, en que se trata de regulación abierta y flexible. En efecto, aun cuando de una parte podría pensarse que dicha caracterización plantea evidentes riesgos desde la seguridad jurídica, sin embargo, se trata de una aproximación regulatoria que facilita la aplicación de sus previsiones a entornos complejos y dinámicos, como el actual contexto de transformación digital, donde las tecnologías innovadoras y disruptivas —blockchain, inteligencia artificial…— están llamadas a jugar un relevante protagonismo.
Tradicionalmente se ha reprochado al Derecho que su respuesta se limite a reaccionar frente a los avances tecnológicas y posiblemente sea una crítica fundada, al menos con carácter general. Ahora bien, no puede admitirse sin más el prejuicio de que, de admitirse la regulación de dichas tecnologías en un momento inicial de su desarrollo, se vaya a frenar la innovación, ya que en cualquier Estado de Derecho que se precie es imprescindible que prevalezcan la protección de los derechos e intereses más legítimos, no sólo de los particulares sino también el interés público. Desde estas premisas, las garantías del RGPD (LA LEY 6637/2016) se sustentan fundamentalmente en el establecimiento de obligaciones formales —declaración de impacto, proactividad, registro de actividades de tratamiento…—, así como en principios y conceptos generales —miminización, privacidad por diseño y por defecto, seguridad adecuada…—, de manera que el principal reto jurídico consiste en su aplicación práctica al caso concreto.
Así pues, las autoridades de control y, de manera especial, la Agencia Española de Protección de Datos están llamadas a jugar un papel decisivo a la hora de concretar el alcance de disposiciones del RGPD (LA LEY 6637/2016). En efecto, los términos generales de su regulación requieren de una concreción de las mejores condiciones de cumplimiento normativo, por lo que sus recomendaciones y documentos institucionales —en particular, los formalizados— pueden ayudar a fijar el estándar necesario para hacer frente a las obligaciones que corresponden a los encargados y responsables de los tratamientos, lo que resulta singularmente relevante a la hora de precisar el alcance de la tipificación de las conductas prohibidas por las infracciones. En concreto, la trascendencia práctica de estas normas de soft law debería llevar a que se sigan procedimientos adecuados para su elaboración teniendo en cuenta las exigencias del Gobierno Abierto—sobre todo la transparencia y la participación— así como la colaboración institucional, también a nivel internacional, de manera que tanto la sociedad civil como las propias entidades públicas afectadas puedan participar adecuadamente, sin perjuicio de que la correspondiente autoridad de control ejerza sus competencias con absoluta independencia.
En el ámbito de las Administraciones Públicas no suele plantearse la gestión de los riesgos que origina la incertidumbre regulatoria, lo que conduce con frecuencia a una posición negacionista de la iniciativa o proyecto innovador
Por lo que se refiere específicamente al sector público, se trata de un modelo regulatorio que suscita importantes desafíos. De una parte, en el ámbito de las Administraciones Públicas no suele plantearse la gestión de los riesgos que origina la incertidumbre regulatoria, lo que conduce con frecuencia a una posición negacionista de la iniciativa o proyecto innovador: «es que la protección de datos no lo permite», suele escucharse con frecuencia. Este planteamiento conduce a una exigencia de concreción en la regulación, alternativa que no siempre será viable teniendo en cuenta la caracterización del entorno digital antes esbozada: una excesiva reglamentación sí que se convertirá en un freno a la innovación tecnológica, especialmente dada la falta de incentivos para impulsar los cambios en el sector público.
De otra parte, no puede pasar desapercibida la inexistencia de consecuencias prácticas relevantes en los supuestos de incumplimiento del RGPD (LA LEY 6637/2016) para las Administraciones y resto de entidades del sector público. En efecto, como es sabido, el artículo 77 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018) (en adelante LOPDPGDD (LA LEY 19303/2018)), contempla el apercibimiento como única sanción posible para las infracciones cometidas por dichas entidades, sin perjuicio de la comunicación oportuna al Defensor del Pueblo —o instituciones análogas en el ámbito autonómico—y, en su caso, la publicación en la página web de la Agencia Española de Protección de Datos. Aunque se establece asimismo la derivación de responsabilidad disciplinaria, lo cierto es que en la mayor parte de los casos no procederá esta vía por cuanto las decisiones adoptadas o el incumplimiento normativo dependerán de autoridades y personal directivo, supuesto en el que correspondería una mera amonestación que simplemente se publicaría en el correspondiente diario oficial. No obstante, aun cuando se contemple en la regulación legal que la resolución que dicte la autoridad de control competente establezca las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción, lo cierto es que se trata de una herramienta que no se utiliza con la contundencia necesaria, en particular por lo que se refiere a las medidas de seguridad.
Precisamente, con relación a esta última exigencia normativa se puede constatar una preocupante falta de cumplimiento de las obligaciones legales. En efecto, la disposición adicional primera LOPDPGDD (LA LEY 19303/2018) remite a las medidas que contempla el Esquema Nacional de Seguridad; previsión que también es de aplicación a las entidades privadas que, en su condición de encargadas del respectivo tratamiento, presten servicios en régimen de concesión, encomienda de servicios o mediante el correspondiente contrato. Sin embargo, a pesar de la inobservancia de dicha obligación legal, el uso de medios electrónicos se ha convertido ya en el único soporte de la actividad administrativas con carácter general, de manera que el impulso de la modernización tecnológica se está llevando a cabo sin que en muchas ocasiones se adopten las necesarias medidas de seguridad. Se trata de un problema de gran importancia, puesto que en el contexto digital el efectivo cumplimiento de las normas técnicas constituye precisamente la premisa elemental para el respeto de las garantías jurídicas.
En definitiva, uno de los principales retos que han de abordarse en el ámbito del sector público consiste en superar una aproximación «defensiva» a la regulación basada en el mero cumplimiento de las obligaciones normativas, en particular las de carácter formal. En concreto, el potencial de las tecnologías más disruptivas, sobre todo la inteligencia artificial, sólo puede ser aprovechado si se parte de una elemental exigencia: que se cumpla la regulación desde una perspectiva sustantiva y, en última instancia, se integre dicha exigencia en la cultura y la práctica de las Administraciones Públicas pues, de lo contrario, no podrá garantizarse el respeto del derecho fundamental a la protección de datos de carácter personal. Sólo desde el compromiso efectivo y el liderazgo del sector público en este ámbito podrá asegurarse el sometimiento de la innovación tecnológica al Derecho, exigencia que, más allá del respeto de los derechos y libertades fundamentales, adquiere una singular transcendencia desde la perspectiva del interés general.