Este artículo es fruto del debate producido en la Sesión: “Cuestiones laborales y de protección de datos en la Ley 2/2023 de 20 de Febrero de protección del informante”

El artículo 5 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción señala que el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la ley, además de responsable de la implantación del Sistema interno de información, tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales. Supone pues, una atribución ex legem de la condición de responsable del tratamiento.

No es ocioso recordar que esta figura se define por el Reglamento General de Protección de Datos con contornos muy precisos. «Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

De un lado existe una atribución de roles de índole material basada en la identificación del ente o sujeto con capacidad material de decisión. De otro, cuando la ley toma estas decisiones puede también atribuir a un sujeto concreto la condición de responsable. No es esta una cuestión controvertida. Lo que resulta discutible será si la elección del legislador es acertada. En no pocas ocasiones, con la libertad que nos concede la academia, hemos criticado las soluciones de laboratorio. Y esta sin duda lo es ya que puede llegar a ser ineficiente o problemática por distintos motivos.

El primero, y más elemental nos devuelve al enfoque material. La ley no sólo define los fines y los medios, también impulsa un determinado modelo de gestión. Su artículo 8, al regular la designación y funciones del Responsable del Sistema interno de información, identifica a la persona u órgano colegiado que, desde un estatuto de independencia, tomará las decisiones ordinarias de gestión. Estatuto que, lejos de verse afectado, se hubiera enriquecido de atribuírsele la condición de responsable del tratamiento. Y ello por razones muy diversas.

La primera desde la transparencia y confiabilidad del sistema, y también de su accesibilidad. Habida cuenta de la trascendencia de su decisión lo usual será que el denunciante verifique atentamente la información legal incluidas las políticas de privacidad: ¿Qué va a entender cuando lea que el responsable del tratamiento es un “¿Consejo de Administración”, respecto del que va a plantear cualquier tipo de comunicación? El comunicante no obtuvo la certificación de privacidad de la AEPD y podría entender que el “sistema de información” que iba a proteger su identidad es dirigido por quienes pensaba denunciar. De ser así, nadie en su sano juicio presentaría una denuncia. Y aunque se afirmará que aquello del “sentido común” posee poco valor jurídico o racional, cuando se regula no está de más ponerse en el lugar de las personas que no repararán en estas exquisiteces dogmáticas.

Más absurda resulta todavía la necesidad de diseñar una panoplia de medidas de cumplimiento ordenadas a garantizar la indemnidad del sistema de información. Ni una sola regla en protección de datos señala que pueda vetarse el acceso a un sistema de información al órgano a quien se atribuye la condición de responsable del tratamiento. Y esta es la consecuencia principal de esta construcción jurídica. Ni uno sólo de los miembros del Consejo o de las personas de su equipo debería tener acceso al sistema de información. Y ello, plantea una paradoja cuándo, conforme al artículo 36.4 LOPDGDD, la persona delegada de protección de datos notifique a “a los órganos de administración y dirección del responsable” una potencial infracción en este sistema de información. El DPD no toma decisiones sólo supervisa y el responsable debe indagar y corregir los problemas. Esta actuación puede suponer acceder al sistema de información y a su información. La decisión técnica que incorpora la Ley ubica la capacidad de decidir sobre un tratamiento de datos en un órgano al que bajo ciertas condiciones el acceso a la información le debería estar vedado.

La protección de datos desde el diseño y por defecto no sólo es una tarea de laboratorio jurídico. Exige conocer, o al menos emular los procesos de gestión, aunque fuese en un modelo de diseño no funciona. De haber configurado un mapa de procesos con un esquema claro, difícilmente se hubiera atribuido tal responsabilidad al órgano directivo. El espacio natural para tal tarea corresponde, de modo natural, al órgano de compliance.

Ello obliga a que los delegados de protección de datos deberían a considerar como mínimo dos políticas. La primera, asegurarse de que la información sobre el tratamiento cumpla con una función que se exige a la transparencia la accesibilidad en su dimensión de inteligibilidad. El comunicante debe entender que el “Consejo”, aunque sea el responsable del tratamiento, cuando sea “denunciado”, no accederá a la información. La segunda, diseñar la metodología interna y conformar el diseño del sistema de información que asegure que, para cumplir con el RGPD, no afectamos al deber de confidencialidad de la Ley 2/2023.

Ricard Martínez Martínez

Profesor de Derecho Constitucional de la Universitat de València, director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia y Consejero Académico de FIDE