¿Qué más da? Si no ponen multas…


Miles de empleados públicos sabemos que no pueden hacerlo, que el estado de alarma no suprime los derechos fundamentales de la ciudadanía, pero… ¿Cómo evitar que Goliat niegue a David aquello que el legislador europeo y nacional les concedió? ¿Para qué sirve dictar normas de obligado cumplimiento en toda la Unión Europea si nuestros gobernantes no sufren ninguna multa económica por incumplirlas?

Si usted, lector, vulnera la normativa de protección de datos, sin mala intención y por desconocimiento de la compleja regulación europea y nacional, podrá recaer sobre usted la mayor de las desgracias, en forma de muchos euros que escaparán de su bolsillo. Pero la Administración de la Comunidad Autónoma de Cantabria no le  supondrá ni un solo céntimo de castigo. A las Administraciones Públicas no se les imponen multas dinerarias.

No, no, … No sirve como excusa eso de que es una normativa compleja. Eso ya lo sabe muy bien el legislador, que fue su redactor. Por eso, porque es muy complejo, el propio Reglamento de Protección de Datos Europeo (RGPD), de obligado cumplimiento en todos los países de la Unión, estableció la obligación de que las Administraciones Públicas contasen con un experto que las asesorara, un Delegado o Delegada de Protección de Datos. Y el Gobierno de Cantabria ha nombrado a una; se puede consultar en el registro que publica la Agencia Española de Protección de Datos, igual que se puede comprobar que nuestro Servicio Cántabro de Salud no lo tiene. Querido lector, le reto a que lo localice en ese registro. ¿Para qué cumplir la ley y nombrar uno? ¿Qué más da, si no ponen multas? Y eso que solo hablamos de nombrarlo, no de que realice sus tareas.

Pero ¿dónde está la Delegada de Protección de Datos del Gobierno cuando se decide el procedimiento que va a seguir la Administración para la emisión de informes de salud laboral para trabajadores especialmente sensibles por la existencia de factores de riesgo de complicaciones para el Covid-19? Allí no, en la reunión con los sindicatos no, en la reunión con los Delegados de Prevención de Riesgos Laborales no. ¿De qué nos sirve una Delegada de Protección de Datos con la que no se cuenta cuando es necesaria? ¿Solo para que figure que se ha nombrado a una? Este sindicato pidió su informe y participación, sin éxito. Y sí, su intervención es obligatoria, según el artículo 38.1 del RGPD. ¿Qué más da, si no ponen multas?

¿Y qué puede ocurrir cuando quien se supone que sabe sobre el tema no interviene? Pues ocurre lo que está pasando. Que se ignoran los riesgos más obvios y se pide a los trabajadores que envíen los informes médicos que tengan por correo electrónico, un medio inseguro, sin darles instrucciones para que sepan como cifrar la información que mandan desde sus casas. Como dirían los más castizos, ¡con un par! Sí, sí, eso vulnera el art. 32 del RGPD, pero… ¿qué más da, si no ponen multas?

Y nos añaden un Anexo I donde nos piden esos informes médicos o bien un consentimiento para acceder a nuestra historia clínica. Pero ¿dónde está la información que deben darnos antes de recabar nuestros datos personales, toda esa que se detalla en el art. 13 del RGPD? No está, no, no la busque. Cosas como los datos de contacto de la Delegada de Protección de Datos, o la base jurídica que legitima el tratamiento que van a realizar con nuestros datos, a quiénes se van a comunicar, durante cuánto tiempo se van a guardar, si se van o no a realizar perfiles o a adoptar decisiones automatizadas, cuáles son mis derechos y cómo ejercerlos… ¿dónde está toda esa información? Claro que no me la dan. ¿Qué más da, si no ponen multas?

Y cuando este sindicato reclama nuestros derechos, ¿nos hacen caso? Es curioso, pero… acaban de añadir a ese documento esto: “En cumplimiento del reglamento general de Protección de datos (reglamento (UE) 2016/679 del parlamento Europeo y del Consejo de 27 de abril de 2016) y de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos personales y garantía de los derechos digitales”. Bueno, supongo que ya podemos damos por contentos con este añadido. Pisotean nuestro derecho fundamental a la protección de datos, pero, al menos, ¡saben el título de las normas que están incumpliendo! Es un principio…

Pero no, lo que va después no va a mejor. Nos envían un correo a las organizaciones sindicales en el que se puede leer lo siguiente: “En el ANEXO I de esta actualización se incluye autorización del trabajador, para que el personal médico pueda consultar la historia clínica del interesado, que obra en el Servicio Cántabro de Salud, ya que hay [sic]  médicos de atención primaria que  se están negando a emitir los informes en base a los cuales la Sección de Salud Laboral ha de valorar la Especial Sensibilidad”.  Es decir, si en el Servicio Cántabro de Salud nos niegan el derecho de acceso reconocido en el artículo 15.3 del RGPD y el Gobierno de Cantabria no nos deja otra opción más que autorizar que ellos consulten directamente nuestra historia clínica. Claro, supongo que como no quieren consultar a su Delegada de Protección de Datos, nadie les ha dicho que el consentimiento no es válido si no hay otra opción alternativa, aparte, claro está, que la de quedarnos sin que se valore nuestra especial sensibilidad.

Mientras escribía estas líneas con la única intención de mitigar de algún modo, y con poco éxito, la frustración e impotencia que siento cuando quienes deberían defender nuestros derechos los pisotean libremente, me ha llegado un WhatsApp de una compañera afiliada, quejándose de que no le dejen otro remedio más que autorizar a que accedan a su historia clínica libremente… Qué ganas de decirle:

Esta es la Administración que tenemos. Ya sabes, las multas son para los ciudadanos. Para la Administración, no hay multas (art. 77.2 de la Ley Orgánica 3/2018, de 5 de diciembre). Ese artículo sí que se lo saben muy, pero que muy, bien”.