Alberto Muñoz Hidalgo, abogado con más de 20 años de experiencia, trabaja en Servicios Jurídicos y Consultoría Legal de SENASA desde 2008 y es el Delegado de Protección de Datos (DPO) de la sociedad desde hace más de dos años. En esta entrevista a CONOCE A NUESTRO EQUIPO Alberto Muñoz nos explica la importancia de la protección de los datos personales en el ámbito laboral y la creciente relevancia legislativa de esta área jurídica de la empresa, ya que su cumplimiento concierne a todas las personas físicas y jurídicas.
¿A qué se refieren los datos personales objeto de esta protección?
Cuando hablamos de datos personales nos referimos a cualquier información relativa a una persona física viva identificada o identificable, es decir, son inherentes a los seres humanos, no a las empresas. Entre ellos, y de forma no exhaustiva, encontramos nombre y apellidos, domicilio, número del documento nacional de identidad, la dirección de protocolo de internet (IP), datos biométricos, fecha de nacimiento, geolocalización o identificación del rostro de una persona a través de fotografía o vídeo.
Los datos personales de una u otra forma están presentes en nuestro día a día, ya sea en nuestro entorno laboral o fuera de él, manifestándose, como vemos, de distintas formas.
Para ponernos en contexto ¿de qué manera se protegen jurídicamente esos datos personales?
Para empezar, en España los datos personales están protegidos en la propia Constitución Española, y no en cualquier parte de su articulado, sino en la reservada a los llamados Derechos Fundamentales, que son los cuentan con una máxima protección constitucional, por considerarlos de un valor jurídico superior.
Fruto de esta clasificación de los datos personales como derecho fundamental, su protección normativa de desarrollo ha de llevarse a cabo necesariamente a través de ley orgánica. En este sentido, destaca, por orden de antigüedad, la Ley Orgánica de 1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Un paso fundamental para tratar de armonizar las diferentes legislaciones europeas a través de un marco común, lo constituye el reglamento europeo de protección de datos de 2016, que entró en vigor dos años después. Al ser de aplicación obligatoria en todos los países de la Unión Europea, en el caso de España se promulgó la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Ambas normas han constituido un hito en esta materia por la evolución que han supuesto a la hora de hacer frente a los numerosos retos y riesgos cada vez más latentes en la sociedad actual. Encontramos algunos ejemplos en el aumento de los flujos transfronterizos de datos personales, la globalización, el auge de internet, la evolución tecnológica, las redes sociales y el hecho de que cualquier persona, hoy en día, disponga en tiempo real de una cámara de fotos y vídeo a través de su teléfono móvil, con las implicaciones que ello puede conllevar de un uso demasiado laxo.
La protección en materia de datos personales también alcanza el ámbito penal, por lo que es importante destacar que nuestro Código Penal dedica un capítulo al descubrimiento y la revelación de secretos. Por tanto, en función de cada caso particular, la protección jurídica de los datos personales vulnerados podrá determinarse en vía administrativa, civil e incluso penal.
Finalmente, otro aspecto que parece importante destacar es la publicación, en febrero de 2023, de la ley reguladora de la protección de aquellas personas que informen sobre infracciones normativas y de lucha contra la corrupción, conocida como «Ley de protección al informante». Entre otras cuestiones, conlleva la necesidad de que el DPO —la figura del Delegado de Protección de Datos en la organización— vele porque la empresa adopte las medidas efectivas para preservar la identidad y consiguiente integridad del trabajador o trabajadora que denuncie cualquier irregularidad, infracción o delito cometido en el seno de la empresa, contra sí o terceros, por trabajadores o la propia dirección de la empresa.
Ello ha supuesto internamente la reformulación del canal de denuncias interno, mediante la creación de un buzón al que hacer llegar denuncias, quejas, consultas o sugerencias (de forma anónima o no), siendo obligación de la empresa a través del Comité de Ética y Cumplimiento (CEC), su investigación y resolución proactiva, cuidando al máximo el escrupuloso respeto de los derechos personales de las personas afectadas.
Para dar respuesta al cumplimiento de esta normativa ¿qué función desempeña el Delegado de Protección de Datos en SENASA?
El DPO, en tanto que supone una figura obligada para una empresa como SENASA, es la persona física encargada de informar y asesorar acerca de cómo se tratan los datos personales de una empresa, supervisando y verificando el cumplimiento de lo establecido en la legislación en cuanto a la protección de los mismos. Constituye además el punto de enlace con la Agencia Española de Protección de Datos, que es la máxima autoridad administrativa en la materia a nivel nacional.
Para ello, el DPO mantiene una función transversal en la organización; debe tener acceso a la información que solicite a cualquier departamento con el fin de asegurar el cumplimiento normativo en cada área de la empresa, asesorar y emitir recomendaciones para su mejora o subsanación, así como revisar toda aquella documentación que se le solicite o considere conveniente.
Dado que en mayor o menor medida todos los profesionales de SENASA gestionan datos personales en su trabajo diario, el DPO no sólo asesora a los responsables y departamentos de la empresa en materia de protección de datos personales, sino a todas y cada una de las personas que formamos la empresa. Es fundamental conocer qué se puede hacer y qué no se debe hacer, las medidas de precaución que han de tomarse, y en cada caso concreto cómo conjugar el desarrollo de la actividad laboral, comercial o sindical con conceptos como privacidad, sigilo, secreto profesional, confidencialidad, intimidad…
El DPO es una figura independiente dentro de la organización; el rigor y la objetividad ha de presidir su actuación a la hora de emitir informes, responder cualesquiera consultas o tramitar quejas o denuncias, debiéndose respetar y colaborar con su fiscalización.
¿Cuál es la situación actual de SENASA en materia de política de protección de datos personales?
Desde hace meses, tanto desde la web de SENASA como nuestro portal interno ALDIA, está disponible el Protocolo de Actuación ante el Ejercicio de los Derechos de Protección de Datos Personales, aplicable a cualquier persona que tenga o haya tenido algún tipo de vinculación contractual (laboral, mercantil, formativa…) con SENASA, por ser la entidad responsable del tratamiento de estos datos personales. Asimismo, revisamos y mantenemos actualizada de forma habitual la política de privacidad de la sociedad.
Dada su importancia global, la protección de datos personales también está presente en la elaboración de importantes documentos como la Estrategia de Seguridad de la Información 2022-2026, la Política de Seguridad de la Información, el Código Ético de SENASA, el Manual de Prevención de Riesgos Penales y en el Sistema Interno de Información (el citado Procedimiento de Gestión del Buzón de Denuncias, Quejas, Consultas y Sugerencias) a raíz de la ya mencionada «ley de protección al informante», que afecta también al ámbito laboral como protección a denunciantes de cualesquiera irregularidades, infracciones o delitos.
A ello hay que añadir la elaboración del Documento de Seguridad de Encargado de Tratamiento de Datos Personales de Ficheros de la Agencia Estatal de Seguridad Aérea (AESA), principal cliente de SENASA y para el que actuamos en materia de protección de datos personales como encargados del tratamiento de estos, en base a los numerosos encargos anuales suscritos.
Toda esta documentación está disponible en la web de SENASA y en la intranet para su personal, accesible a todas las personas, ya que su cumplimiento y observancia atañe a todos los profesionales que formamos la empresa.
¿Qué posible evolución podremos encontrar en SENASA en materia de política de protección de datos personales?
En un futuro no lejano han de ver la luz documentos como las Normas de Seguridad de la Información de Empleados o el Protocolo frente a Brechas de Seguridad, en vías de aprobación en la actualidad. En este sentido, la certificación de SENASA en el Esquema Nacional de Seguridad, más aún por tratarse de una empresa del sector público, constituirá un importantísimo hito en materia de seguridad y protección de la información dentro nuestros sistemas y alcance.
Igualmente, en estos años el número de consultas que me llegan ha ido aumentando paulatinamente. Diferentes áreas y trabajadores me van mostrando su preocupación por trabajar correctamente desde el punto de vista de la protección de datos personales, quieren saber qué pueden y que no deben hacer, cómo pueden proceder a actuar, pero de forma adecuada, pues ello redunda también en su beneficio.
No obstante, sería deseable adoptar una aun mayor conciencia colectiva, a todos los niveles de la organización, pararse a reflexionar y valorar antes de actuar si lo que se pretende realizar afecta de alguna manera a la protección de datos personales y a la seguridad de la información que pueda conllevar efectos internos o externos (fuga de información / brecha de seguridad). Es importante sobre todo por las posibles implicaciones jurídicas que ello pueda conllevar y conflictos con los distintos públicos (clientes, alumnos, proveedores, e incluso los propios trabajadores), pues no ha de perderse de vista que, detrás de conceptos como «datos personales», «seguridad de la información» o «brecha de seguridad», hay personas.
Con respecto a esa concienciación, es esencial que entre todos generemos un clima y cultura de protección de datos personales, tanto en lo referente a aspectos estrictamente laborales, como en nuestras relaciones personales. En este campo la prevención y la prudencia es más que aconsejable, y afortunadamente estamos ante un área jurídica que está adquiriendo socialmente la importancia propia de su regulación normativa.
Acceder a todo ello no es complicado, ya que cualquier persona que desee resolver dudas, o enviar una sugerencia, consulta, queja o denuncia relacionada con los datos personales, su tratamiento y protección, puede hacerlo a través de diversos canales de comunicación disponible, muy accesibles e intuitivos, tanto a través del correo electrónico del DPO o desde el apartado de Política de Privacidad la web de SENASA y el portal interno. Igualmente, aun cuando se denuncien ante el CEC todo tipo de cuestiones, cualquier puede tener la seguridad de que el propio DPO velará porque se cumplan las premisas procedimentales relativas a la privacidad y tratamiento de sus datos personales, con la máxima confidencialidad de dichas comunicaciones.