Ricard Martínez / Mónica Arenas. Desde su primera norma, la Ley Orgánica 5/1992, de 29 de octubre (LA LEY 3036/1992), de regulación del tratamiento automatizado de los datos de carácter personal, España optó por habilitar autoridades de protección de datos en el ámbito autonómico con competencia sobre los tratamientos de datos de la Administración territorial. La Autoridad Vasca de Protección de Datos fue pionera en este ámbito y acumula una larga experiencia y una sólida trayectoria.
Desde la Revista somos conscientes del impacto positivo del modelo. Por una parte, el sector público ocupa un lugar destacable por volumen y sensibilidad de los datos entre los responsables del tratamiento. De otra, las administraciones operan como espejo y también como transmisor de las políticas proactivas en materia de protección de datos en los marcos de contratación de encargados del tratamiento. Por último, la actividad promocional en el territorio autonómico desde la cercanía y el conocimiento de la sociedad son fundamentales para el impulso de dinámicas positivas en nuestro ámbito.
Hoy las autoridades autonómicas enfrentan el reto de acompañar la transformación digital de las administraciones en un marco normativo en un proceso de innovación legislativa acelerada.
Por ello, desde la Revista, queremos escuchar de primera mano la voz de estas autoridades, en particular cuando, con motivo de un relevo, un nuevo responsable viene a ocuparse de las tareas que la legislación les encomienda y, por añadidura, su mandato se verá afectado por una nueva ley autonómica que regulará su actividad.
En este sentido, el pasado 4 de julio, Unai Aberasturi fue nombrado director de la Agencia (hoy, Autoridad) Vasca de Protección de Datos (Datuak Babesteko Euskal Bulegoa), por Decreto 101/2023, del Consejo de Gobierno Vasco. Sucede en el cargo a la anterior directora del organismo, Margarita Uría.
Aberasturi (Bilbao, 1978) es doctor en derecho por la Universidad del País Vasco (UPV/EHU), con una tesis sobre «Los principios de la protección de datos aplicados en la sanidad» que obtuvo el premio extraordinario de doctorado del año 2011 y el de investigación de la Agencia Vasca de Protección de Datos. Desde 2008 es profesor universitario de Derecho administrativo en la UPV/EHU.
En esta entrevista, hemos querido conocer su visión de la actual situación de la protección de datos, sus planes para el mandato que ahora comienza y sus expectativas sobre el papel de la Agencia Vasca.
Las labores de formación; la transparencia; la adaptación a la nueva Ley vasca de protección de datos y la actuación en sectores sensibles serán, según Aberasturi, los ejes de su mandato.
1. ¿Cómo valora la situación actual de la protección de datos, a nivel de la Comunidad Autónoma Vasca?
Diría que en la práctica la situación es positiva. Considero que, en términos generales, la sociedad vasca está más concienciada que hace años sobre la importancia de proteger sus datos de carácter personal, tal como demuestran los datos recogidos en las memorias de la Agencia (número de denuncias y reclamaciones de tutela de derechos recibidas), y que los entes públicos, en general, tratan los datos de las personas respetando la normativa vigente.
Es cierto que se siguen cometiendo infracciones y que, en algunos casos, todavía a día de hoy, nos encontramos, de manera puntual, con cierta falta de colaboración por parte de algunos entes. También es cierto que nos enfrentamos a nuevos retos, como los que plantea la ciberdelincuencia, teniendo en cuenta que el número de ciberataques ha ido aumentando en los últimos años. Sin embargo, considero que, en términos generales, el derecho a la protección de datos de carácter personal está salvaguardado en el sector público de Euskadi.
2. ¿Cuáles son sus objetivos estratégicos prioritarios como nuevo responsable de la Agencia Vasca?
Los objetivos marcados en el plan estratégico para los próximos años ponen el foco en cuatro ejes fundamentales: 1. en la actividad preventiva que la Agencia puede desarrollar, impulsando labores de formación, investigación, sensibilización y asesoramiento; 2. en la transparencia, entendida en un sentido amplio, para dar mayor visibilidad a la Agencia en la sociedad, en general, y en el sector público, en particular, para ser más accesibles y transparentes, teniendo en cuenta que somos una Administración independiente; 3. en la adaptación de la organización y funcionamiento de la Agencia a lo dispuesto en la nueva Ley Vasca de Protección de Datos y de la Autoridad Vasca de Protección de Datos [que se aprobará a finales de diciembre de 2023] y, 4. en la actuación sobre sectores concretos, estratégicos, especialmente sensibles, que plantean retos específicos, como puede ser el sanitario, el de seguridad o el de educación.
3. Además de su papel como guardián de los derechos de los ciudadanos en el ámbito autonómico ¿cree que la agencia puede jugar también un factor de transformación e impulso de la economía digital?
Como autoridad de control independiente, no creo que corresponda a la Agencia adoptar ese papel. Es cierto que, en cierta medida, nuestra actividad puede condicionar o, mejor, orientar el uso de determinadas tecnologías hacia buenas prácticas en materia de protección de datos, pero no creo que en términos generales pueda decirse que nuestra misión esencial sea erigirse en un factor de transformación e impulso de la economía digital, debido a que no es ese nuestro objetivo fundacional.
No obstante, debemos recordar que el Reglamento Europeo de Protección de Datos nace también con una vocación de recuperar el mercado digital europeo, afectado por la desconfianza de los ciudadanos del tratamiento de sus datos personales en internet. En este sentido, no cabe duda de que la existencia de autoridades garantes del derecho fundamental puede generar una mayor confianza ciudadana e indirectamente favorecer el impulso de la economía digital.
4. Se ha criticado frecuentemente el hecho de que, de acuerdo con la ley, los organismos públicos incumplidores de la normativa de protección de datos no pueden ser sancionados económicamente ¿Cree que esta circunstancia puede desincentivar el cumplimiento de esta normativa, en el sector público?
No lo creo. Más allá de cuestiones teóricas sobre si es o no conveniente que los entes públicos puedan ser sancionados económicamente, que es un debate que viene de lejos, no creo que este hecho desincentive el cumplimiento de las normas de protección de datos. Por un lado, porque los entes públicos están concienciados, en general, sobre la importancia de cumplir con las normas de protección de datos. Por otro, porque, en la actualidad, la legitimidad social de dichos entes públicos pasa, en gran parte, porque actúen respetando los derechos de las personas. La ciudadanía exige a las administraciones una mayor transparencia, mayor eficacia, mayor participación en la gestión de lo público. Los entes públicos, más allá de que puedan ser sancionados económicamente o no, cumplen con las normas de protección de datos, porque son conocedores de que la ciudadanía es cada vez más exigente en este sentido y valora positivamente que las administraciones respeten sus derechos.
5. ¿Cree que su capacidad sancionadora es la adecuada, a estos efectos?
Considero que sí. Hay que tener en cuenta que, hasta ahora, el ámbito en el que la Agencia podía ejercer sus funciones era muy limitado, centrado en el control de los tratamientos de datos que se llevan a cabo para el ejercicio de potestades de derecho público por entes públicos, y que la gran mayoría de procedimientos sancionadores se resolvían, en todo caso, con un apercibimiento. Con la aprobación de la nueva Ley de la Autoridad Vasca de Protección de Datos nuestro ámbito de acción crece y llegará al sector público de Euskadi, incluyendo a entes a los que se les aplica el derecho privado, con lo que se ampliará nuestra potestad sancionadora.
6. A nivel de cooperación interna, en el ámbito del Estado y con otras CCAA, y transfronteriza, en el ámbito europeo e internacional ¿cómo valora este nuevo marco?
El nuevo marco del RGPD introduce mecanismos que implican la cooperación entre las autoridades de protección de datos. En cualquier caso, esa cooperación absolutamente necesaria se ha venido manteniendo tradicionalmente entre las autoridades de control desde antes de la aprobación del Reglamento y estoy seguro que así continuará. No obstante, es necesario resaltar que la complejidad jurídica generada por los procedimientos transfronterizos y la necesidad de una respuesta común que exige el reto tecnológico obliga a una cooperación activa
7. ¿Cómo valora el nuevo panorama europeo del dato, a la luz del nuevo marco que constituyen, además del RGPD, las recientes Leyes europeas del Dato y de Gobernanza del Dato, además de las de servicios y mercados digitales?
De inicio, es positivo que se establezca un marco jurídico unificado en el ámbito de la UE para aportar unos criterios comunes sobre cómo utilizar los datos para crear valor a través de ellos, con las garantías debidas. Establecer quién y cómo, y a través de qué procesos, se pueden utilizar los datos, tanto obrantes en los sistemas de información de los entes públicos como en los de los privados, es positivo, teniendo en cuenta que pueden utilizarse para múltiples fines de interés social. Sin embargo, es necesario que todos esos tratamientos se desarrollen con las garantías debidas.
8. Como experto en datos de salud ¿cómo valora el futuro nuevo marco europeo de espacios de datos de salud? ¿lo considera adecuado para las finalidades que persigue?
Es difícil hacer una valoración general de este nuevo marco todavía, sin saber cuáles serán los efectos prácticos de su aplicación, sobre todo del que será el nuevo Reglamento UE para crear el Espacio Europeo de Datos Sanitarios. Sin embargo, parece coherente con lo que ya se venía trabajando desde la aprobación de la Directiva relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza. La valoración general tiene que ser positiva, pues, de partida, disponer de un marco regulatorio básico común en el ámbito de la UE aporta cierta seguridad jurídica a los operadores que desarrollan diferentes funciones (asistenciales, de investigación, de prevención, etc.) en el ámbito sanitario.
Considero que es positivo, sobre todo, en lo que se refiere a la creación de sistemas de información para cumplir con las denominadas finalidades primarias, esencialmente la asistencial. En todo caso, tal como han puesto de manifiesto entes como el Supervisor Europeo de Protección de Datos o el Comité Europeo de Protección de Datos, será necesario, desde las autoridades de control, aportar criterios sobre cómo aplicar el nuevo marco jurídico para que los tratamientos de datos derivados de su aplicación, especialmente los destinados a cumplir finalidades secundarias, se lleven a cabo con las debidas garantías, de tal manera que las personas tengan salvaguardada su capacidad de control de lo que sucede con sus datos sanitarios
9. ¿Cómo cree que impactará este nuevo marco normativo en la carga de trabajo de la Agencia Vasca?
En 2022 se han atendido decenas de consultas, dictámenes e informes de legalidad. Por otro lado, se han resuelto 30 procedimientos de tutela de derechos, 72 denuncias y 23 procedimientos de infracción. Además, el servicio de atención multicanal anualmente proporciona respuesta a casi un millar de consultas telefónicas o remitidas por correo electrónico.
Lo cierto es que la práctica demuestra que en el momento en que se aprueban nuevas normas, vengan del ámbito territorial que vengan, la carga de trabajo de la Agencia aumenta, en la medida en que el número de consultas crece y la labor de interpretación de las nuevas disposiciones es más compleja. De hecho, ya tenemos encima de la mesa alguna que otra consulta vinculada a la aplicación de ese nuevo marco normativo, por ejemplo, en el ámbito sanitario.
De todos modos, en nuestro caso, el cambio que más nos afectará, sin duda, será la aprobación de la nueva Ley de la Autoridad Vasca de Protección de Datos, que afectará, directamente, a la organización y funcionamiento de la autoridad de control, teniendo que adaptarnos a lo dispuesto en dicha norma
10. Ante el impacto generado en la Agencia por ese nuevo marco normativo y la transformación digital que vivimos, ¿la solución pasar por incrementar sus recursos o existen otros factores a tener en cuenta?
La aprobación del nuevo marco normativo, esencialmente, como he indicado, en el ámbito autonómico, implicará, probablemente, una mayor carga de trabajo, sobre todo porque se amplía el ámbito a controlar por la Autoridad. A ello debe sumarse la voluntad de fortalecer áreas de trabajo como la acción exterior o la formación. Lógicamente, debe hacerse una valoración sobre el alcance que todo ello tendrá sobre la organización y funcionamiento de la Autoridad Vasca de Protección de Datos, pero, a priori, parece lógico pensar que puede ser necesario incrementar los recursos de la autoridad, tanto humanos como materiales.
En todo caso, hay otros factores que serán determinantes a la hora de desarrollar nuestras funciones, a saber: fortalecer la colaboración con otros entes públicos (sean las demás autoridades de control, sean los entes que componen el sector público de Euskadi y sus Delegadas/os de Protección de Datos) y, por ejemplo, con los medios de comunicación; incidir en la importancia de la transparencia en el desarrollo de las funciones de la Autoridad Vasca de Protección de Datos; fomentar la investigación en materia de protección de datos, por ejemplo, en las universidades que componen el sistema universitario vasco...