Gallardón y las cargas burocráticas de la reforma europea de protección de datos.
La semana pasada se reunieron los Ministros de Justicia e Interior de los países de la Unión Europea para debatir la propuesta de reglamento de protección de datos, que tanto está trayendo de cabeza a más de uno por esa lucha entre los defensores del texto y lo que vamos a llamar la “sección lobby”.
Durante la reunión, y según ha aparecido en la prensa, el Ministro de Justicia Gallardón, manifestó que si bien está de acuerdo con proteger la privacidad habría que eliminar las llamadas cargas burocráticas.
Pero, ¿A qué cargas burocráticas se refiere el Ministro? Creo que debemos partir de una doble interpretación de las “cargas burocráticas” de manera que podemos distinguir lo siguiente:
– De carácter interno: dentro del propio responsable o encargado del tratamiento. Sirva como ejemplo, el artículo 28 relativo a la “documentación” que ambos deben elaborar y conservar.
– De carácter externo: aquellos actos sometidos a autorización o comunicación ante la Autoridad de Control.
Analizando la propuesta de Reglamento, podemos hacer la siguiente clasificación de las cargas burocráticas que aparecen (o no) en el mismo:
Cargas burocráticas de primer nivel (previas y consustanciales al tratamiento):
Aquí entraría la eliminación de la creación, modificación y supresión de ficheros, así como su posterior notificación para su inscripción en el Registro correspondiente al que nos hemos referido anteriormente.
También estaría, además de lo citado del artículo 28, cualquier obligación que para el cumplimiento de la propuesta deben llevar a cabo responsable y encargado (derechos ARCO, consentimiento, información…etc). A ello habría que añadir las relativas a medidas de seguridad en el caso, por ejemplo, de tener que elaborar un documento de seguridad, pero la propuesta no detalla las medidas sino que se remite a las facultades otorgadas a la Comisión para su desarrollo.
Cargas burocráticas de segundo nivel (en determinadas circunstancias):
De manera que no necesariamente tenga lugar en todos los tratamientos de datos personales. Podrían formar parte de este grupo:
– La obligación de notificar las brechas de seguridad a la Autoridad de Control, que regula el apartado 1 del artículo 31, en un plazo máximo de 24 horas. Este precepto ya ha sido criticado por la representación española en el llamado grupo DAPIX, instando a eliminar que cualquier brecha se comunique de manera que sólo afectaría a aquellas de carácter grave, ya que de lo contrario podría colapsar la carga de trabajo de las Autoridades de Control. En similares términos se ha manifestado el Grupo del Artículo 29. También se ha propuesto aumentar el plazo de 24 horas para comunicar ya que se considera que es demasiado breve.
– Notificación de la designación del Delegado de Protección de Datos, en aquellos supuestos en que sea obligatoria esta figura, o bien, aunque no lo sea la organización haya decidido contar con su presencia (artículo 35.9).
– Autorización para transferencias internacionales de datos pero sólo en el caso del artículo 42.2.d) (cláusulas elaboradas por responsable y encargado), y en el caso de las BCR’s deben haber sido aprobadas por la Autoridad de Control (artículo 43).
– Evaluaciones de Impacto (artículo 33): las incluyo en este apartado porque si bien a primera vista podrían parecer excepcionales, dado que se contemplan múltiples supuestos (evaluación de la situación económica o salud, biometría, videovigilancia a gran escala) creo que se darán con más frecuencia.
Cargas burocráticas de tercer nivel (excepcionales):
En este caso, incluyo los supuestos contemplados en el artículo 34 –excepto el referente a las transferencias internacionales-, en los que hay que consultar a la Autoridad de Control y solicitar su autorización, y que serían los siguientes:
– Tras la evaluación de impacto (que no es obligatoria, sólo en determinados supuestos) el resultado dé que para el tratamiento exista riesgos específicos para los interesados.
– Operaciones de tratamiento con riesgo para los derechos y libertades de los particulares. A tal efecto la Autoridad de Control elaborará un lista, que será pública, con los supuestos que deben ser objeto de consulta obligada.
Cargas burocráticas de cuarto nivel (potestativas):
Estaría formado por la parte bautizada como “buenas prácticas”, es decir, los Códigos de Conducta (artículo 38), que serán sometidos a dictamen de la Autoridad de Control, y Certificaciones (artículo 39). No obstante, en este último caso el texto de la propuesta no menciona a las Autoridades de Control, probablemente por no realizar una doble función, inspectora y certificadora, pero lo normal es que participen de alguna forma, aunque sea vía meramente consultiva (piénsese en una Autoridad de Certificación donde exista un representante de la Autoridad de Control correspondiente).
¿Eliminación de cargas burocráticas?
Como se puede comprobar la burocracia, ya sea interna o externa sigue existiendo. Obviamente, buena parte de la misma está dentro de lo que hoy en día se llama “compliance”.
Obviamente, es difícil adivinar a qué tipo de cargas se refería el Ministro. No obstante, una pista sobre ello ya la publicamos en este blog bajo el título “España pide flexibilizar el contenido del Reglamento de la UE”, donde ya se criticaba, entre otros, la obligación de documentación del artículo 28.
Otra parte, podría (es mera hipótesis, pero visto lo visto) por la parte del consentimiento (volver a lo de siempre, expreso y tácito), y probablemente con implicaciones hacia el problema actual de información y consentimiento, ¿expreso o implícito?, de cookies.
Recordemos, por último, que el Ministro de Justicia se ha manifestado por aquellos elementos que son potestativos: certificaciones y códigos de conducta.