LA NEGOCIACIÓN Y LA MEDIACIÓN COMO NUEVAS FUNCIONES PROFESIONALES EN LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Javier Puyol Montero
Doctor en Derecho
Abogado. Director de PUYOL-ABOGADOS & PARTNERS
Magistrado Excedente. Consultor Tic’s

En el artículo 9 del Real Decreto Ley 5/2018, de 27 de julio, ratificado por el Congreso de los Diputados el día 4 de septiembre, se recoge de manera novedosa, y así se deduce del contenido del artículo 9 de dicho Norma, la posibilidad de la aplicación en materia de protección de datos de carácter personal, de la resolución de conflictos por medios alternativos al procedimiento administrativo. Esta posibilidad se produce, tal como se infiere de dicho texto legal, antes de la admisión a trámite por parte de la Agencia de Protección de Datos, de la reclamación formulada por el interesado, previendo a tal efecto dos posibilidades bien diferenciadas:
a). En el caso de que el responsable, o el encargado del tratamiento haya procedido a designar formalmente un delegado de protección de datos (DPD/DPO), en cuyo caso, por parte de dicha Autoridad de Control se remitirá dicha reclamación al indicado delegado de protección de datos para que proceda a dar respuesta a la misma, en el plazo de un mes. Igual trámite en este supuesto, se prevé con relación al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo también de un mes.
b). El segundo de los supuestos previstos hace referencia a la posibilidad de que la Agencia Española de Protección de Datos pueda, igualmente, remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos, ni tampoco estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.
A la vista del contenido de este artículo 9, se deduce con manifiesta claridad, como la actuación de la Agencia Española de Protección de Datos, ha optado en esta nueva etapa normativa, por el reconocimiento expreso de los mecanismos alternativos para la resolución de conflictos, con carácter previo a la admisión de una reclamación formulada por un particular o titular de los datos, antes que establecer necesariamente su capacidad resolutoria en toda clase de conflictos vinculados con la protección de datos de carácter personal.
La resolución alternativa de conflictos, por tanto, se hace especial eco de la producción de los mismos, pero ya no le va a corresponder necesariamente a la Administración proceder a dar una cumplida respuesta a los mismos, sino que, en alguna medida, se pretende devolver a la sociedad civil la capacidad de solucionar de manera voluntaria y amigable los conflictos que surgen en el ámbito de la protección de datos, antes que, proceder a exigir imperativamente la intervención administrativa en la resolución de los mismos, como tradicionalmente venía ocurriendo.
Sólo cuando no sea factible obtener dicho acuerdo sea cual sea las razones que lo determinen, corresponderá a la autoridad de control ser, en definitiva, quien tenga la última palabra al respecto, sobre cómo proceder al respecto, de acuerdo con las normas competenciales y procedimentales preestablecidas.
Este proceso debe partir siempre de la exigencia prevista en el artículo 31 del GDPR, donde se establece que, tanto “el responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones”.
La forma de cooperación con dicha autoridad de control, que por este Real Decreto Ley se establece, tiene su punto de partida, por tanto, en la posibilidad de resolver los conflictos que surjan en este ámbito normativo, al margen, o más precisamente, liberando a la propia Agencia Española de Protección de Datos de tener que intervenir en la resolución del mismo, con las consecuencias que de ello se pueden derivar, ya que incluso, puede llegar a ser procedente, si ello fue preciso, a la posibilidad de la imposición de una sanción administrativa.
Por ello, de acuerdo con lo hasta ahora indicado, debe partirse del reconocimiento de una nueva pauta de derecho colaborativo, y más concretamente de la posibilidad de la aplicación de la llamada “Resolución Alternativa de Conflictos” (RAC), cuyo término responde a un concepto generalmente utilizado para definir un conjunto de métodos y técnicas que tienen como objetivo, precisamente, la resolución de conflictos sin confrontación y que, de ordinario, incluyen figuras ya tan reconocidas dentro de nuestro ordenamiento jurídico interno, como: la mediación, la negociación y el arbitraje.
Así, mientras que las decisiones de dicha autoridad de control, en este caso, de carácter administrativo producen resultados en los que, con relación a su resultado, unos pierden y otros ganan, la adopción de métodos de RAC puede tener como resultado soluciones en las que todos ganan, al poner fin a determinado conflicto jurídico de manera voluntaria y amistosa y esto permite obtener beneficios desde el primer momento de su aplicación.
En la indicada aplicación de los ADR’s en la resolución de conflictos derivados de la protección de datos de carácter personal, cobra singular importancia las figuras de la negociación y de la mediación. En este sentido, debe indicarse que ambas constituyen un mecanismo de resolución de conflictos que se ha convertido en una alternativa viable a los procesos administrativos seguidos ante esta tipología de reclamaciones propias de la protección de datos con preferencia a la resolución de los mismos por la Autoridad de Control.
Por tanto, se puede afirmar que la negociación, o alternativamente, incluso la mediación en este caso llevada a cabo por el delegado de protección de datos, o en su defecto, por el propio responsable o encargado de tratamiento, o el responsable de dicha gestión dentro de la estructura establecida en un código de conducta, siempre representa una ventaja alternativa, tanto para el cumplimiento de la normativa vigente en la materia, como en la resolución de las reclamaciones que legítimamente formule cualquier afectado en el uso de sus derechos y garantías legales.
Así debe tenerse en cuenta que, en los procesos de negociación son las partes las que buscan una solución a un conflicto, pero en la mediación, es una tercera persona la que asume el papel de mediador. En este caso, dicho pape puede venir atribuido al delegado de protección de datos, figura que cobra un especial protagonismo a estos efectos en el GDPR, para ello, basta con acudir al contenido del número 1º del artículo 39 del GDPR, donde se prevé expresamente no sólo su expresa obligación de cooperación con la autoridad de control ([apartado d]), sino su obligación de supervisar el cumplimiento de lo dispuesto en el Reglamento (UE) ([apartado b]), y su papel como punto de contacto con la autoridad de control, para todas las cuestiones relativas al tratamiento ([apartado e]), teniendo en cuenta que las facultades que se le atribuyen a dicho delegado de protección de datos en el citado artículo 39, tienen un carácter de mínimos, y no limitan ni impiden, la asunción por el mismo, de cualesquiera otras competencias vinculadas a la protección de datos de carácter personal, entre las que se puede, incluir, obviamente, la de la resolución de cualquier clase de conflicto o reclamación llevada a cabo por un títulos de los datos.
Complementariamente a ello, y si cabe de manera más explícita, cabe reconocer dicha capacidad al delegado de protección de datos, por ejemplo, con relación a las BCR’s, donde por ejemplo en la letra h). del número 2º, del artículo 47 del GDPR, se determina expresamente, como contenido de las mismas, que “las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones”.
Partiendo, por tanto, del reconocimiento de estas nuevas funciones, el legislador, pretende hacer las mismas, se hagan extensivas a los propios responsables o encargados del tratamiento, o en su caso al organismo de supervisión establecido para la aplicación de los códigos de conducta.
En este sentido, la resolución del problema existente con el titular de los datos, puede ser resuelto como una simple negociación, entendiendo como tal, el proceso por el cual las partes en conflicto tratan los posibles resultados directamente unos con otros. Las partes intercambian propuestas y demandas, explican sus razones y continúan con la negociación hasta que se llega a una solución o se declara un bloqueo en las negociaciones, en cuyo caso, será la propia Agencia Española de Protección de Datos, la competente para determinar el modo, la forma, y el contenido de la decisión que finalmente haya de adoptarse para la resolución de dicho conflicto jurídico.
Todo ello conduce a la conclusión que cuando los actores de un conflicto o integrantes de un equipo que trabajan en un proyecto conjunto, por sí mismos tratan las diferencias suscitadas y toman decisiones conjuntas consensuadas, estaremos en el campo de la negociación, bien sea que las partes lo hagan por sí mismas o a través de otro que representa sus intereses.
En cambio, si dichas partes en conflicto, son ayudadas por un tercero que asume una posición neutral y facilita la comunicación para que ellos negocien una decisión que les pertenezca, estaremos en el terreno específico de la mediación.
Consecuentemente con ello, si opta por una auténtica mediación, cabe plantearse si el delegado de protección de datos es la persona adecuada para ejercer dicho cometido, y si de ordinario, está suficientemente formado y preparado técnicamente para ejercer tales cometidos, teniendo en cuenta, por ejemplo, que en el esquema de certificación diseñado por la propia Agencia Española de Protección de Datos, la capacitación en esta serie de habilidades e incluso las herramientas adecuadas desde el punto de vista formativo, encaminadas a su intervención en la resolución de cualquier clase de conflicto derivado de la protección de datos de carácter personal, han sido completamente obviadas.
Con independencia de ello, si sería conveniente a los efectos de ejercer las pretendidas funciones mediadoras, que el responsable, el encargado del tratamiento, así como los propios códigos de conducta o incluso las certificaciones en materia de protección fueran contando progresiva y paulatinamente con una reglamentación o protocolo de actuación ante tales situaciones, que incluso podría responder a un esquema prefijado por la propia Autoridad de control, en el que se evidenciara que dicho mediador debe actuar de una manera imparcial, analizando profunda y detenidamente cada reclamación formulada, a los efectos de procurar la búsqueda de una solución legal, mutuamente satisfactoria y justa, a cada problema suscitado. Máxime si se tiene en cuenta, que dicho proceso de mediación y de resolución extra administrativa del conflicto suscitado, tiene principalmente como objetivo, el hecho de restaurar y mejorar las relaciones entre las partes en conflicto, con independencia de cuál sea la cuestión de fondo que separa a las partes.
Lo ideal sería llegar a un acuerdo de naturaleza transaccional, a un acuerdo mutuamente consentido, donde se concretará el problema suscitado, la solución pactada por las partes, y su mutua voluntad de que se archive el expediente administrativo incoado por la propia Agencia Española de Protección de Datos.
Al hilo de ello, debe ponerse de manifiesto que el contenido de este acuerdo de mediación no es una cuestión baladí, pues no debe olvidarse que siempre va a estar la Autoridad de Control, evaluando el acuerdo al que las partes hayan podido llegar a consecuencia de la disputa o contingencia objeto de dichas diferencias.
La actuación del delegado de protección de datos debe ir encaminada al desarrollo de una serie de actividades, entre las que se pueden indicar las que se citan seguidamente:
a). Clarificar el conflicto e identificar quiénes son los actores con intereses en el mismo.
b). Crear una relación tanto entre el responsable o el encargado del tratamiento y el afectado o reclamante que efectivamente funcione de cara a la posibilidad de llegar a un acuerdo y resolver el conflicto existente.
c). Proceder a identificar de manera adecuada los intereses (implícitos) y los puntos de vista de las partes.
d). Identificar conjuntamente las mejores opciones o salidas al problema existente, de modo que ello conlleve un beneficio para todos.
e). Revisar los intereses contrapuestos de una manera razonable, especialmente comprendiendo el punto de vista del afectado, en sus perspectivas de titular de los datos, y, además, como reclamante.
f). Sopesar, seleccionar y proponer las posibles soluciones de carácter potencial al conflicto.
g). Conseguir actitudes de las partes que lleven de una manera real y efectiva a la aplicación de las soluciones acordadas.
h). Y finalmente, se hace imprescindible documentar debidamente la solución acordada, a los efectos de poder transmitir la realidad y el contenido de la misma a la Agencia Española de Protección de Datos, de cara a las repercusiones que ello puede tener a la continuación del procedimiento administrativo, originado por la reclamación del titular de los datos de carácter personal, presuntamente no respetados de manera correcta, suficiente y adecuada.
En este orden de cosas, a los documentos que se generen en este tipo de procesos, se les debe incorporar un sello de tiempo, a los efectos de acreditar de manera fehaciente tanto su contenido material, como el factor de temporalidad que los debe presidir, pues no se debe obviar, que la Agencia Española de Protección concede un plazo principal de un mes, en el cual debe procederse de manera voluntaria y amigable a dar una solución al problema suscitado.
La posición del delegado de protección de datos, o de la persona que actúe por cuenta del responsable o del encargado del tratamiento, debe asumir su papel, y ello determina una serie de condicionamientos que no se pueden pasar por alto. Entre ellos, cabe destacar los siguientes:
a). Separar las personas y los problemas para evitar emociones que pueden bloquear las posibles soluciones, no adoptando nunca una posición personal o subjetiva, que condicione el resultado de la negociación que tiene que llevarse a cabo.
b). Centrarse principalmente en los intereses y no en las posiciones; el objetivo es conseguir que se materialicen los intereses legítimos de ambas partes en conflicto.
c). Desarrollar soluciones múltiples entre las que elegir, buscando aquéllas que conlleven beneficios para las partes.
d). Insistir en utilizar siempre criterios objetivos y realistas en la negociación o mediación de modo que se posibilite el diálogo y la obtención del acuerdo.
Algunas estadísticas han mostrado que, cuando el procedimiento para tratar la disputa es requerido de común acuerdo, el índice de éxito en la obtención de acuerdos en dichas controversias, es, sin lugar a dudas, mayor y de mejor calidad, no presuponiendo, por ejemplo, una ruptura en las relaciones entre el responsable o encargado de tratamiento, y el reclamante o titular de los datos.