Poco más de dos semanas es el plazo del que dispone el Ejecutivo valenciano para implantar en la Generalitat una suerte de oficina que se encargue de garantizar la protección de datos personales que obran en poder de la administración autonómica. La obligación viene dada por un reglamento europeo que entrará en vigor el próximo 25 de mayo. Más de 500 ficheros con miles de datos personales de todo tipo (historias clínicas, menores, visitantes, solicitantes de becas, etc) están registrados en las diferentes conselleries desde hace años. La Unión Europea ha dispuesto una serie de medidas para reforzar la seguridad de esta información y garantizar los derechos de la ciudadanía.
Se trata de una serie de actuaciones, de obligado cumplimiento para empresas privadas y administraciones, y cuyo objetivo es
garantizar la seguridad tecnológica y evitar fugas que violen la privacidad de la ciudadanía.
La tarea resulta titánica habida cuenta de las exigencias de esta normativa que, sin opción de prórroga, estará plenamente vigente antes de que acabe el mes. El Consell ha tenido más de dos años de plazo para cumplir con la directiva de la Unión Europea y prepararse y adaptarse a lo que está por venir, pero el Ejecutivo valenciano tendrá que ponerse las pilas si quiere llegar a tiempo. Por lo pronto, sigue sin cumplir una de las primeras exigencias: el nombramiento de la persona que ejerza de delegada de protección de datos.
No se parte de cero, pero el Consell ha tardado bastante tiempo en reaccionar. El pleno del Gobierno del pasado viernes decidió asignar a la Conselleria de Transparencia la competencia. El departamento que dirige Manuel Alcaraz lleva desde principios de año trabajando en este proyecto y ha mantenido diferentes reuniones técnicas, pero no ha sido hasta ahora cuando formalmente ha adquirido el encargo, por lo que, aunque hay faena avanzada (desde la subsecretaría se han organizado al menos ocho reuniones de trabajo), cumplir en tiempo y forma no será fácil.
Cabe apuntar, además, que la Agencia Estatal de Protección de Datos ha dejado claro que ya no habrá más prórrogas y las administraciones que no cumplan pueden ser apercibidas. De momento, y tras la asignación formal de la competencia a Transparencia, el primer deber ineludible es el nombramiento de un delegado o delegada de protección de datos, un profesional independiente, que, según la normativa europea, deberá tener profundos conocimientos jurídicos y tecnológicos.
El departamento que dirige Alcaraz tiene previsto asignar la competencia a un funcionario, que adquirirá rango de subdirector general. Con todo, esta delegación no será unipersonal en el sentido de que, dadas las tareas asignadas, será necesario que exista un personal de apoyo. La propuesta de Transparencia es crear dos jefaturas; una que se encargue de supervisar los registros asignados a las conselleries y otra para que aborde los ficheros que también existen en el sector público y que se suman a los 536 registros declarados en la Generalitat. La oficina además requerirá dos trabajadores de apoyo. Se trata, apuntan en Transparencia, de una infraestructura mínima, sobre todo si se compara con las actuaciones de otras comunidades. Así, en Cataluña y País Vasco se han creado organismos específicos, es decir, agencias autonómicas de datos.
La persona encargada de esta delegación de protección de datos debe además tener listo antes del 25 de mayo un plan de actuación sobre el manejo de los cientos de registros. La hoja de ruta incluye elaborar el registro de actividades de tratamiento con especial atención a los datos sobre menores.
Además de revisar las bases jurídicas de los tratamientos de datos, se deberá efectuar un análisis de riesgo y sobre esta base implantar medidas técnicas y organizativas.
En principo, la normativa europea considera a la persona responsable una suerte de defensor del ciudadano ya que cuando existe una queja deberá defender al vecino frente a la administración. De ahí su carácter independiente. La Agencia Estatal de Datos seguirá siendo quien resuelva, pero podría decirse que se descentraliza. Desde el punto de vista administrativo, se deberán adecuar los formularios, los requisitos e implantar políticas de protección de datos.
