Эта статья является результатом дебатов, проведенных на Сессии: «Вопросы труда и защиты данных в Законе 2/2023 от 20 февраля о защите осведомителейe

Статья 5 Закона 2/2023 от 20 февраля, регулирующая защиту лиц, сообщающих о нарушениях нормативных требований, и борьбу с коррупцией, гласит, что административный орган или руководящий орган каждой организации или органа, требуемого по закону, в дополнение к ответственности за внедрение внутренней информационной системы, будет иметь статус лица, ответственного за обработку персональных данных в соответствии с положениями положения о защите персональных данных. Это предполагает, таким образом, атрибуцию бывший легем статуса контроллера данных.

Нелишне вспомнить, что эта цифра определяется Общим регламентом по защите данных с очень четкими контурами. «Ответственный за лечение» или «контролер»: физическое или юридическое лицо, государственный орган, служба или другой орган, который самостоятельно или совместно с другими определяет цели и средства лечения; если законодательство Союза или государства-члена определяет цели и средства обработки, контролер или конкретные критерии его назначения могут быть установлены законодательством Союза или государства-члена;

С одной стороны, происходит распределение ролей материального характера на основе идентификация объекта или субъекта, обладающего существенной способностью принимать решения. С другой стороны, когда закон принимает эти решения, он также может приписать конкретному субъекту состояние ответственного. Это не спорный вопрос. Спорным будет вопрос о том, правилен ли выбор законодателя. Во многих случаях, со свободой, которую предоставляет нам академия, мы критиковали лабораторные решения. И это, несомненно, потому что он может стать неэффективным или проблематичным по разным причинам.

Первый и самый элементарный возвращает нас к материальному подходу. Закон не только определяет цели и средства, но и способствует определенная модель управления. Его статья 8, регламентируя назначение и функции лица, ответственного за внутреннюю информационную систему, определяет лицо или коллегиальный орган, который на основании закона о независимости будет принимать обычные управленческие решения. Статут, который не только не пострадал, но и обогатился бы, если бы ему был присвоен статус контроллера данных. И это по многим разным причинам.

Первый со времен прозрачность и надежность системы, а также ее доступность. Учитывая важность его решения, обычно заявитель тщательно проверяет юридическую информацию, включая политику конфиденциальности: Что вы поймете, когда прочитаете, что ответственным за лечение лицом является «Совет директоров», в отношении которого вы будете вести любые виды связи? Звонивший не получил сертификат конфиденциальности от AEPD и мог понять, что «информационная система», которая собиралась защитить его личность, управляется теми, кого он намеревался разоблачить. Если да, то никто в здравом уме не подаст жалобу. И хотя будет утверждаться, что то, что «здравый смысл» имеет мало юридической или рациональной ценности, когда оно регулируется, стоит поставить себя на место людей, которые не заметят этих догматических изысков.

Еще более абсурдной является необходимость разработки ряда мер соответствия, призванных гарантировать возмещение убытков информационной системы. Ни в одном правиле защиты данных не указано, что на доступ к информационной системе может быть наложено вето со стороны органа, которому присвоен статус контроллера данных. и это Главное следствие этой правовой конструкции. Никто из членов Правления или людей в вашей команде не должен иметь доступа к информационной системе. И это вызывает парадокс когда в соответствии со статьей 36.4 LOPDGDD лицо, делегированное для защиты данных, уведомляет «административные и управленческие органы ответственного лица» о потенциальном нарушении в этой информационной системе. DPD не принимает решений, он только контролирует, а ответственное лицо должно расследовать и исправлять проблемы. Это действие может включать доступ к информационной системе и ее информации. Техническое решение, которое содержит Закон, позволяет принимать решения об обработке данных в органе, которому при определенных условиях должен быть запрещен доступ к информации.

La защита данных по замыслу и по умолчанию — это не только задача юридической лаборатории. Это требует знания или, по крайней мере, имитации процессов управления, даже если это было в проектной модели, это не работает. Если бы карта процесса была настроена с четкой схемой, было бы трудно возложить такую ​​ответственность на руководящий орган. Естественное пространство для такой задачи соответствует, естественно, комплаенс орган.

Это вынуждает делегатов по защите данных учитывать как минимум две политики. Во-первых, убедитесь, что информация о лечении выполняет функцию прозрачности, доступности в его измерении понятности. Коммуникатор должен понимать, что «Совет», даже если он отвечает за обращение, когда об этом «сообщают», не получит доступ к информации. Во-вторых, разработать внутреннюю методологию и сформировать дизайн информационной системы, которая гарантирует, что в целях соблюдения GDPR, мы не влияем на обязанностьfideнациональность Закона 2/2023.

Рикард Мартинес Мартинес

Профессор конституционного права Университета Валенсии, директор кафедры конфиденциальности и цифровой трансформации Microsoft-Universitat de Valencia и научный советник FIDE