La reunión CRUE de Secretarías Generales que acoge la Universidad de La Laguna esta semana fue inaugurada oficialmente hoy, jueves 22 de noviembre, en la antigua Aula Magna de Filosofía, un espacio del Edificio Central de la institución académica recientemente restaurado y reabierto al público para la ocasión. La primera sesión de trabajo consistió en una mesa redonda sobre la protección de datos en el ámbito de los centros de educación superior.
Previamente, se celebró el acto oficial de inauguración de las jornadas, presidido por el rector de la Universidad de La Laguna, Antonio Martinón, y con la presencia del viceconsejero de Educación del Gobierno de Canarias, David Pérez; el vicepresidente adjunto de CRUE, Salustiano Mato; y el presidente de CRUE Secretarías Generales, José Antonio Mayoral.
Antonio Martinón, se refirió a la historia de sala en donde se celebran las jornadas, pues en ella de debatíó en su día un proyecto de estatuto de autonomía para el archipiélago canario cuando las islas aún carecían de él. Ya mas centrado en la actividad de CRUE Universidades Españolas, señaló que está poniendo mucho énfasis en la necesidad de un nuevo cambio de ley universitaria, pero él cree que “los universitarios deben decir algo más, deben detallar qué contenidos debe tener esa nueva ley”.
Recordó que en una reciente reunión de los Consejos Sociales celebrada en Las Palmas de Gran Canaria ya se habló de algunos de estos cambios legales, poniendo énfasis en la empleabilidad. Martinón cree necesario poner más énfasis en crear buenos ciudadanos que no se limiten a reaccionar ante un futuro incierto, sino que sean capaces de crear ese futuro. “Falta que la propia universidad diga qué universidad queremos y trabaje para lograrla, antes de que sean otros los que nos digan cómo debe ser la institución”.
El rector de la Universidad de La Laguna también mencionó que se habla frecuentemente de la necesidad de lograr una “flexibilidad» de las leyes universitarias, pero matizo que él prefiere hablar de una “simplificación” de las mismas, para evitar duplicidades. “Necesitamos unas normas que sean entendidas por todos”.
José Antonio Mayoral explicó que CRUE Universidades Españolas la ha cambiado su esquema de trabajo porque la sociedad y la tecnología han impuesto un ritmo más ágil que obliga no solo a reaccionar, sino a ser proactivos para afrontar los cambios normativos que están por venir y, así, no repetir la situación vivida con la implantación de la nueva ley de contratos públicos, que supuso un reto para todas las instituciones académicas.
Señaló que el programa de estas jornadas afecta prácticamente todos los ámbitos de las universidades, desde las tecnologías de la comunicación hasta los seguros escolares, pasando por cuestiones puramente gerenciales y académicas. “Casi todas las sectoriales de CRUE acaban, en algún momento, apoyándose en la de Secretarias Generales, por eso su trabajo es imprescindible”.
David Pérez, habló de la pertinencia de un pacto de estado sobre educación que abarque también a las universidades y fomente su modernización y transparencia. Recordó la petición que, en ese sentido, fue realizada desde la conferencia de Consejos Sociales que también menciono el rector, que abogaba por superar un marco legal “obsoleto” que impide el desarrollo de las universidades.
Salustiano Mato explicó que su cargo es fruto de una reciente modificación del modelo de gestión de CRUE Universidades Españolas, que ahora cuenta con un presidente general y tres vicepresidencias adjuntas para ejecutar las políticas de la organización de una manera más ágil y efectiva. También mencionó la próxima implantación un nuevo modelo de transferencia de conocimiento universitario que irá más allá de la solicitud de patentes o la creación de empresas sin-off.
Protección de datos
Tras la inauguración formal de las jornadas, se celebró la primera mesa redonda del programa, titulada “Cumplimiento del Reglamento General de Protección de Datos por las universidades”, en la que participaron José Luis Rodríguez, delegado de Protección de Datos de la Universidad Complutense de Madrid; Gloria Rodríguez Mármol, delegada de Protección de Datos de la Fundación Universitaria CEU San Pablo; y Pedro Colmenares, subdirector de Inspección de la Agencia Española de Protección de Datos.
José Luis Rodriguez contextualizó el asunto mencionado el reglamento europeo 2016/679 de protección de datos, que daba dos años a los estados para adaptase a él, es decir, hasta mayo de 2018. Es obligatorio para todos los socios de la UE, que no derogó las leyes nacionales pero las desplazó al ser de rango superior. Ello obligó a los estados a reformar sus normas nacionales, lo cual en España se hizo, a su juicio, con bastante retraso, pues se envió la ley a cortes en noviembre de 2017, tras una “alambicada” tramitación, hubo de ser aprobada en Cortes por decreto ley en mayo y justamente ayer terminó su aprobación en el Senado.
Rodríguez explicó algunos aspectos de esta ley referidos al modelo de cumplimiento, que es novedoso porque se basa en un principio jurídico anglosajón para el que ni siquiera existe una traducción literal, “accountability”, que en el texto español ha sido transformado en “responsabilidad proactiva”. Es decir, que no solamente hace falta cumplir la legislación, sino que se debe estar en condiciones de demostrar que lo ha cumplido.
La ley obliga a cambiar la filosofía, de modo que la protección de datos se tenga en cuenta desde el inicio de los procesos, no al final, como se venía haciendo hasta ahora. El reglamento también obliga a aplicar medidas de seguridad suficientes para prevenir los posibles riesgos. Todo ello supone, pues, un cambio de paradigma mucho más proactivo, ajeno a la tradición continental europea.
La legislación da mucha importancia a la figura del delegado en protección de datos, con funciones como supervisar el cumplimiento de la normativa, asesorar, cooperar con las autoridades competentes y atender las cuestiones de los interesados sobre el tratamiento de sus datos.
El reglamento europeo eleva el nivel de las sanciones con dos horquillas muy amplias que pueden llegar hasta multas de 20 millones, que en la ley española se han traducido en tres niveles de gravedad. Una novedad es que en las instituciones públicas se abre la posibilidad de sancionar a directivos que hayan incumplido la normativa pese a que existían informes técnicos que les aconsejaban actuar en otro sentido.
Seguidamente, Gloria Rodríguez Mármol, de la Fundación Universitaria CEU San Pablo, se centró en el cumplimiento del reglamento de protección de datos por parte de las universidades, que “no es una materia técnica, sino humana” porque se ocupa de un derecho que tiene que ver con la dignidad de las personas y, por ello, es necesario cumplirlo de manera especial.
También mencionó la novedad que supone el principio de “responsabilidad proactiva”, que obliga a los delegados en protección de datos a detectar los riesgos que existan en su institución y articular medidas preventivas. Obliga igualmente a ampliar la información que se da, a realizar evaluaciones de impacto de las medidas aplicadas, a elaborar un mapa de riesgo y otras funciones nuevas que introduce la nueva normativa.
La legislación incorpora artículos sobre la mejora de la formación de la comunidad universitaria en materias relacionadas con la protección de datos y el uso responsable de las nuevas tecnologías, lo cual abarca, incluso, la incorporación de materias especificas sobre ello en los planes de estudio de las titulaciones.
El impacto de esta normativa en las universidades públicas en enorme, dada la ingente cantidad de datos que se manejan. Por ello, la figura del delegado de protección de datos se vuelve imprescindible, y la ley así lo reconoce al convertirla en obligatoria. Su labor debe asegurar el cumplimiento de la normativa pero también la “concienciación y formación” del personal de la institución.
En ese sentido, Rodríguez Mármol detalló algunos ejemplos de medidas que ella misma puso en marcha en los centros del CEU San Pablo, como la creación de guías en la intranet institucional, la publicación de un decálogo e, incluso, la creación de materiales de escritorio destinado al personal con un resumen de las normas, para que “nadie pudiera decir que no sabía que en mayo entraban vigor la normativa”.
Finamente, Pedro Colmenares, subdirector de Inspección de la Agencia Española de Protección de datos (AEPD), se centró en ciertas cuestiones sobre el cumplimiento del reglamento de protección de datos, aclarando que algunos contenidos que tenía previsto impartir ya fueron aclarados por los ponentes anteriores.
Desde 2016 hasta ahora ha habido dos años para adaptarse al cambio legislativo, pero lo cierto es que el ritmo de trabajo ha sido vertiginoso y ha obligado la AEPD a ser “creativa” para cumplir los objetivos de implantación y, sobre todo, responder las demandas de información recibidas, que se cuentan por miles anuales.
Matizó que las universidades no tienen unas peculiaridades que les diferencie especialmente de otras entidades en lo referente al cumplimento de la legislación de protección protección de datos, salvo la ya mencionada obligación a incorporar formación sobre la materia. Pero reconocido que poseen una dificultad añadida al ser entidades complejas, con miles de usuarios de perfiles diferentes.
Como los anteriores ponentes, incidió en la importancia de la figura del delegado de protección de datos y en cómo el nuevo concepto de “responsabilidad proactiva” debe regir su actividad. Para el ponente, es importante que en su labor no debe analizar cada caso solamente para resolver ese problema específico, sino para detectar sus causas y corregirlas para evitar futuros casos similares.