El Reglamento General de Protección de Datos de la Unión Europea incluye la figura del Delegado de Protección de Datos (DPD). ¿Qué significa esto?
Hay tres tipos de abogados: los que viven de los pleitos, y provocan o avivan los conflictos, los que viven de resolverlos, y los que viven de evitarlos. Estos últimos son los más valiosos, aunque pocas veces se les reconoce el valor que tienen, justamente porque realizan una labor invisible y los conflictos no llegan a estallar. Pero sus clientes lo saben.
Siempre se dice que es mejor un mal acuerdo que un buen pleito y los sistemas de resolución extrajudicial de conflictos suelen ser buenos para ambas partes. Sobre todo, cuando se trata de una empresa y un cliente o ciudadano en general, porque para una empresa inteligente solo hay dos tipos de ciudadanos: los que son clientes y los que todavía no son clientes.
Para una empresa inteligente lo más importante es la confianza de sus clientes, porque, como ya dijimos, todos los negocios son, en realidad, un único negocio, el negocio de la confianza.
La confianza en la gestión de los datos personales
Ya vimos, en el caso de Facebook y Cambridge Analytica que la confianza de los clientes es básica en la gestión de los datos personales. Hasta el punto de que esta semana hemos sabido que ‘Cambridge Analytica’ ha tenido que cerrar, y Facebook ha anunciado medidas para intentar recuperar la confianza de sus clientes, aunque es algo muy difícil de conseguir.
Cuando la confianza se rompe en una relación el que se siente traicionado se vuelve desconfiado y no suele volver a confiar en las palabras de quien le ha engañado; porque, si lo ha hecho una vez, puede hacerlo más. Y ya no le valen las palabras, y lo que quiere son hechos… y transparencia.
Como ya no se fía y para que algún día lo vuelva a hacer, suele ayudar poder contar con una tercera persona de confianza, que vigile lo que hace la empresa y que, en caso de conflicto, haga de ‘mediador’ entre la empresa y sus clientes, y en cierta forma se erija en defensor del cliente, en lo que se refiere a la gestión de sus datos personales.
El Delegado-Mediador de Protección de Datos
Éste es el sentido en que se regula, en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la figura del Delegado de Protección de Datos (DPD). Por un lado, tiene unas funciones mínimas respecto a la empresa y la Agencia Española de Protección de Datos (AEPD), pero también las tiene respecto a los clientes.
Aunque no aparece entre sus ‘funciones’ (art. 39), sino en su ‘posición’ (art. 38) dice el RGPD que: “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.
Y el Proyecto de Ley Orgánica de Protección de Datos de carácter personal, que actualmente se tramita en el Congreso, desarrolla esta función con un nuevo artículo (art. 37) que regula la “Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos” (la AEPD). Novedad de la que no se ha hablado mucho.
En esencia, se trata de que el cliente ‘afectado’ (por un mal tratamiento de datos) podrá, con carácter previo a la presentación de una reclamación ante la AEPD, dirigirse al delegado de protección de datos de la entidad contra la que reclame, y éste le comunicará al afectado la decisión que hubiera adoptado la entidad, en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
Por otra parte, cuando el afectado presente una reclamación ante la AEPD sin haberse dirigido previamente al delegado de protección de datos, aquélla podrá remitírsela, a fin de que éste responda en el plazo de un mes. Y si, transcurrido dicho plazo, no hubiera comunicado la respuesta dada a la reclamación, la AEPD continuará el procedimiento sancionador.
Enmiendas y transacciones
Hay alguna enmienda (núm. 141) presentada a este nuevo artículo de la LOPD, bien fundamentada, en la que se dice que, aunque se utiliza la expresión podrá, parece sin embargo que a esta intervención del delegado de protección de datos quiere dársele un carácter pseudo-obligatorio. Y dice que ello debería preverse solamente cuando se trate de reclamaciones vinculadas al ejercicio de derechos.
Para otro tipo de reclamaciones, vinculadas a infracciones del RGPD o la LOPD, la obligación de acudir al delegado de protección de datos, dice, puede impedir la adopción por la AEPD de las medidas provisionales necesarias, en supuestos que requieran una actuación inmediata, y facilitar la desaparición de evidencias probatorias antes de que la autoridad tenga conocimiento de dicha infracción.
Más allá de estos argumentos y de la necesidad de aclarar el carácter voluntario u obligatorio en cada supuesto, así como de regular mejor este procedimiento, que se parece a una mediación, estamos seguros de que se puede llegar a una enmienda transaccional que resulte beneficiosa para todos: para los ‘afectados’, para las entidades y para la AEPD.
Puede ser beneficiosa para los afectados, porque, a través de dicha mediación, podrían incluso recibir, aparte de una respuesta y una solución a su reclamación, una indemnización por los daños y perjuicios sufridos (art. 82.1 RGPD). Mientras que, si presentan una denuncia ante la AEPD y se llega a imponer una sanción, la cuantía de la multa no va al ‘afectado’, sino al Tesoro.
Puede ser beneficiosa para las entidades, porque, por un lado, dan respuesta y satisfacción a sus clientes y, por otro, haciendo cuentas, seguro que les sale más barato pagar una indemnización a sus clientes que pagar una multa a la AEPD, con el coste añadido del desprestigio mediático. Y puede ser beneficiosa para la propia AEPD, porque, si funciona este sistema de resolución de conflictos, tendrá sin duda menos trabajo.