En un post anterior, esbocé algunos de los problemas que los departamentos TIC de las Administraciones Públicas Locales iban a tener afrontar con extrema urgencia en el horizonte de dos años. Pues bien, otra losa está a punto de materializarse sobre las AA.LL. y, por consiguiente, sobre los profesionales TIC: el ya próximo Reglamento Europeo de Protección de Datos (REPD).
Excepcionales artículos y resúmenes (Twitter: @ricardmm) se están haciendo ya sobre esta materia, incluso programas de radio (Twitter: @tysentidocomun), pero vuelvo sobre el leit motiv de ese anterior post: la verdadera situación en las AA.LL., a las que el REPD va a suponer un mazazo importante.
Lo primero, por el cambio cultural que supone, al pasar de un entorno de responsabilidad de corte calvinista, donde en caso de conflicto no se entraría a ver si se han cumplido una serie de medidas concretas (como ocurre ahora con el Reglamento vigente en España), sino más bien en si se ha sido lo suficientemente diligente a la hora de proteger los datos. Ello, por otro lado, dará lugar a la modulación de las multas, que con el REPD pueden alcanzar cifrar millonarias. No descubrimos ningún secreto al afirmar que nuestro pais no es precisamente modelo en esta manera de enfocar las responsabilidades, y menos aún, en la Administración. Se masca la tragedia.
Una de las claves de la reforma y, a mi entender, la que más problemas va a causar a las AA.LL. es la figura del Delegado de Protección de Datos (DPO), que por su definición y tareas deberá estar situado al más alto nivel jerárquico posible, o externo a la organización. Se le va a exigir unos conocimientos y habilidades que probablemente obliguen a la obtención de titulaciones de postgrado o certificaciones independientes para su ejercicio. Probablemente, un puesto perfecto para que las Diputaciones puedan prestar servicios a los Ayuntamientos en esta materia, ya que en el contexto actual es prácticamente imposible que éstos se doten de su propio DPO.
¿Y no trae nada positivo? Sin ser un experto, no dudo en decir que sí. Pero algunas de las medidas que se van a exigir en caso de robo de información, como la Notificación Obligatoria a los Afectados, es un arma de doble filo. Por un lado, si se es muy transparente y se cumple, se corre el riesgo de ser denostado (imaginen una empresa privada, la falta de confianza en la misma que generará este hecho). Por otro lado, si no se es transparente y no se cumple a rajatabla (algo que algunos políticos verán, a buen seguro, con buenos ojos), se corre el riesgo de la sanción.
En semejante batiburrillo quedaremos, que, muy probablemente, haya partes de la LOPD que sigan en vigor, partes que no, y habrá que definir qué partes del reglamento de desarrollo de la misma pueden seguir siendo utilizadas.
Como digo, el REDP se suma a los cambios en el entorno regulatorio de las TIC locales, ya que entrará en vigor dos años después de su aprobación, que se espera para febrero/marzo de 2016. Por tanto, entre octubre de 2016 y marzo de 2018 hay, al menos, cuatro grandes cambios legales a armonizar y aplicar en las TIC de las AA.LL.:
Si existe el Infierno, muy probablemente sea algo parecido a tener que llevar a buen término todo ello sin recursos. Más se perdió en Cuba ¿no?.
Excepcionales artículos y resúmenes (Twitter: @ricardmm) se están haciendo ya sobre esta materia, incluso programas de radio (Twitter: @tysentidocomun), pero vuelvo sobre el leit motiv de ese anterior post: la verdadera situación en las AA.LL., a las que el REPD va a suponer un mazazo importante.
Lo primero, por el cambio cultural que supone, al pasar de un entorno de responsabilidad de corte calvinista, donde en caso de conflicto no se entraría a ver si se han cumplido una serie de medidas concretas (como ocurre ahora con el Reglamento vigente en España), sino más bien en si se ha sido lo suficientemente diligente a la hora de proteger los datos. Ello, por otro lado, dará lugar a la modulación de las multas, que con el REPD pueden alcanzar cifrar millonarias. No descubrimos ningún secreto al afirmar que nuestro pais no es precisamente modelo en esta manera de enfocar las responsabilidades, y menos aún, en la Administración. Se masca la tragedia.
Una de las claves de la reforma y, a mi entender, la que más problemas va a causar a las AA.LL. es la figura del Delegado de Protección de Datos (DPO), que por su definición y tareas deberá estar situado al más alto nivel jerárquico posible, o externo a la organización. Se le va a exigir unos conocimientos y habilidades que probablemente obliguen a la obtención de titulaciones de postgrado o certificaciones independientes para su ejercicio. Probablemente, un puesto perfecto para que las Diputaciones puedan prestar servicios a los Ayuntamientos en esta materia, ya que en el contexto actual es prácticamente imposible que éstos se doten de su propio DPO.
¿Y no trae nada positivo? Sin ser un experto, no dudo en decir que sí. Pero algunas de las medidas que se van a exigir en caso de robo de información, como la Notificación Obligatoria a los Afectados, es un arma de doble filo. Por un lado, si se es muy transparente y se cumple, se corre el riesgo de ser denostado (imaginen una empresa privada, la falta de confianza en la misma que generará este hecho). Por otro lado, si no se es transparente y no se cumple a rajatabla (algo que algunos políticos verán, a buen seguro, con buenos ojos), se corre el riesgo de la sanción.
En semejante batiburrillo quedaremos, que, muy probablemente, haya partes de la LOPD que sigan en vigor, partes que no, y habrá que definir qué partes del reglamento de desarrollo de la misma pueden seguir siendo utilizadas.
Como digo, el REDP se suma a los cambios en el entorno regulatorio de las TIC locales, ya que entrará en vigor dos años después de su aprobación, que se espera para febrero/marzo de 2016. Por tanto, entre octubre de 2016 y marzo de 2018 hay, al menos, cuatro grandes cambios legales a armonizar y aplicar en las TIC de las AA.LL.:
- La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
- El Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (versión consolidada).
- El próximo Reglamento Europeo de Protección de Datos
Si existe el Infierno, muy probablemente sea algo parecido a tener que llevar a buen término todo ello sin recursos. Más se perdió en Cuba ¿no?.
Comentarios
Publicar un comentario