por qué no cumplir realmente con la protección de datos
Respecto al borrador del manifiesto ético leído, destaco que lo primero que debe preservarse es el cumplimiento de la protección de datos (Reglamento General de Protección o RGPD y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales o LOPDGDD).
Para ello, deben destinarse medios adecuados y formar pertinentemente al personal. Ello exige contar con personal específicamente dedicado a la materia y lograr que el conjunto del personal tenga unos conocimientos básicos en la materia.
No existe LOPD/RGPD a coste cero. La protección de datos es una exigencia a nivel comunitario. Su cumplimiento nos sitúa en el centro de la Europa del siglo XXI. Sin embargo, no puede lograrse un cumplimiento satisfactorio ni por azar ni por disposición espontánea.
En estas latitudes el nivel de concienciación en materia de privacidad podría no haber sido hasta ahora equiparable a lo exigido por estándares comunitarios. La entrada en vigor y aplicación del RGPD no habilita automáticamente ese cumplimiento pendiente sino que supone un desafío todavía mayor. A ello hay que sumar el proceso de digitalización que no cesa de evolucionar exponencialmente y con él los riesgos asociados al mismo.
En este sentido, no resulta complicado imaginar riesgos de actuaciones que no cumplirían con la ética en el manejo de datos (tampoco con el ordenamiento de la protección de datos):
- Contratar servicios de marketing digital para promoción de turismo y no asegurarse de que luego la empresa contratada no use los datos para fines de publicidad propia o los venda a otras empresas
- Obtener resultados para una política sanitaria en base a una investigación sobre salud asegurando a pacientes que su participación es confidencial y anónima pero luego conservar sus datos sin ningún tipo de disociación y compartiéndolos con cualquier profesional vinculado a las personas inicialmente autorizadas a tratar datos
- Llevar a cabo un estudio científico sobre movilidad urbana o de otro tipo en el marco smartcity sin informar a las personas afectadas de que se van a tratar sus datos de domicilio, matriculación de vehículos o diversos localizadores de carácter digital
Más allá de supuestos particulares, cualquier entidad pública debe preguntarse qué medios se destinan a cumplir el RGPD, qué nivel de conocimientos y concienciación tiene el personal, que políticas y prácticas en la materia sigue este personal, cómo se ha elaborado el Registro de Actividades de Tratamiento de Datos y cómo va a actualizarse, entre otras cuestiones.
Respecto a lo anterior, expondré un detalle llamativo en relación con la Ley Foral 11/2019, de 11 de marzo, de la Administración de la Comunidad Foral de Navarra y del Sector Público Institucional Foral. Esta ley foral no cita en ningún momento el Reglamento General de Protección de Datos (norma comunitaria de base) y sí cita en cambio una LOPD (la 15/1999) ya derogada cuando se publica la ley (artículo 96).
Además de la protección de datos, cabe plantearse otras cuestiones éticas sobre las consecuencias de su tratamiento. Por ejemplo, si se va a hacer un estudio de movilidad urbana debe tenerse en cuenta si la publicación de su resultado provocaría un cambio en las políticas de alquiler en determinados barrios.
En todo caso, quiero plantear que cualquier administración destina un sinfín de recursos a tareas no obligatorias legalmente pero justificadas en base a discutibles motivos de conveniencia administrativa. ¿Por qué no destinamos algún recurso (más) para cumplir RGPD y LOPD?