¿Sirve para algo la Agencia Vasca de Protección de Datos?

Se habla mucho de los «chiringuitos» de la Comunidad de Madrid en los que estuvo Santiago Abascal antes de crear Vox. Pero se menciona pocas veces que uno de ellos era la Agencia Madrileña de Protección da Datos, que ahora todos afirman que no servía para nada pero que tiene una versión vasca. ¿Sirve para algo?

Se debe responder desde dos perspectivas distintas:

• Una global, que trasciende a las fronteras de Euskadi y que tiene más relación con la necesidad en sí misma de proteger los datos personales de manera institucional.
• Una local, de componente mucho más técnico, donde hay que analizar si Euskadi tiene suficientes competencias diferenciadas en esta materia como para necesitar una agencia especial y, como se ha propuesto recientemente, una ley propia.

El primer aspecto es relativamente controvertido. La protección de datos personales es un concepto relativamente moderno que establece limitaciones a las amplias posibilidades de intercambio de este tipo de información que facilitan las nuevas tecnologías.

Está directamente relacionada con el derecho a la privacidad, más antiguo pero tampoco universal. Es decir que no todo el mundo tiene las mismas necesidades de protección de su información personal, lo que dificulta establecer normas generales.

Por una parte, porque una gran parte de los jóvenes dan por hecho que sus fotos o sus datos van a circular libremente por Internet, sin que eso les incomode lo más mínimo. Por otra, porque no todos los países han creído conveniente establecer esta protección.

Así, mientras Europa ha aprobado un reglamento, el conocido RGPD, que establece unas pautas especialmente restrictivas, EE.UU. no tiene regulación alguna. La normativa de la UE trata de garantizar a todos los ciudadanos un nivel equivalente de protección en un mundo donde sus datos están disponibles en un instante de la mano de Internet.

De que esa norma se cumpla se encargan después una serie de agencias públicas generamente de carácter estatal. De hecho, es la española, con sede en Madrid, la que tiene la competencia exclusiva sobre los tratamientos de datos por parte de empresas y particulares.

¿Y entonces qué pinta la agencia vasca? A priori, puede parecer que sus 16 trabajadores o sus 2 millones de presupuesto anual son un simple adorno. Pero lo cierto es que su competencia sobre las administraciones públicas no es ninguna tontería.

Por una parte, realiza una labor de formación y divulgación sobre las obligaciones que supone la legislación de protección de datos. Por otra, atiende solicitudes de asesoramiento (1.000 al año), redacta informes de legalidad sobre normas que se están tramitando y emite dictámenes sobre temas de mayor interés, generalmente a raíz de una consulta de una administración local.

Finalmente, atiende denuncias contra entidades públicas que han podido infringir la regulación de protección de datos. Un caso muy habitual es de accesos no autorizados a historiales clínicos personales o la remisión de correos electrónicos a múltiples personas sin copia oculta, tal y como hizo recientemente Osakidetza o el año pasado la UPV.

Otros casos interesantes en los que ha intervenido la Agencia Vasca de Protección de Datos afectan al portal Justizia.eus, que permitía consultar el estado de los trámites con un simple DNI, o a la Hacienda Foral de Bizkaia, que recabó datos de personas pertenecientes a clubes privados. También se cita en la memoria de 2018 la información filtrada por la Delegación de Vivienda de Bizkaia a un bloguero socialista en relación a una VPO alquilada en Airbnb por un ex concejal de Bildu.