La AEPD advierte que no habrá moratoria para aplicar el nuevo reglamento de datos

La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, aseguró este martes que “no habrá moratoria” para aplicar en España desde el próximo 25 de mayo el nuevo reglamento europeo de protección de datos (RGPD). “La UE ya ha dado tiempo suficiente, dos años desde su entrada en vigor, para que todas las organizaciones se adaptaran”, dijo.

El nuevo reglamento modifica sustancialmente la normativa en vigor, la Ley de Protección de Datos, cuya actualización también están debatiendo los partidos en el Congreso. “Ahora hablamos de un modelo preventivo (no reactivo por denuncias), donde se establecerá la privacidad por defecto, desde el diseño, y todo el enfoque de las obligaciones de los responsables debe hacerse basado en el enfoque del riesgo”.

Según España, es importante “concebir todos estos cambios no como una crisis sino como una oportunidad (…) Una respuesta que ayudará a aumentar la confianza en la economía digital”, pues aún en nuestro país uno de cada dos ciudadanos no compra por internet, entre otras cosas por el temor a la utilización que pueda hacerse de sus datos personales.

No obstante, advirtió que el reglamento cuenta también con “flexibilidad” para que las empresas puedan adaptarse según su “modelo de negocio”. “Desde la agencia estamos intentando acompañar tanto al sector público como privado para ayudarles a que este cambio, que no es sencillo, lo lleven a cabo”. “Hemos puesto en marcha una unidad de atención al responsable de datos y tenemos bastantes guías para ayudarles en esta tarea”, destacó.

En opinión de España, “es el momento de que las organizaciones paren y se planten qué datos están recibiendo de los ciudadanos, si están realizando un perfilado, para qué finalidad los conservan…porque el reglamento da nuevos derechos a los ciudadanos, que van a tener más control sobre sus datos. Se reconoce por primera vez el derecho al olvido y los derechos a la limitación o el de portabilidad”.

Entre las novedades que trae el nuevo reglamento, la directora de la AEPD resaltó cómo en el marco de una investigación, todos los responsables de datos de las empresas deberán poner a disposición de los inspectores de la agencia el análisis de riesgo que hayan realizado o la evaluación de impacto. “Esto no quiere decir que el 100% de las empresas del país tengan que cumplir el listón tan alto de las obligaciones, pues más del 90% de nuestro tejido empresarial son pymes”, aseguró.

España también precisó que la nueva normativa es un reto para la propia agencia, “pues es la primera vez que en la garantía de un derecho fundamental la UE establece un procedimiento transfronterizo, que rompe todas las reglas del derecho administrativo en nuestro país”. Así, cuando haya una reclamación de un ciudadano donde esa empresa esté ofreciendo bienes y servicios en más de un territorio nacional, automáticamente el procedimiento va a pasar a ser transfronterizo y tendrá que tramitarse en inglés. “Tendremos que ponernos de acuerdo sí o sí las 28 actuales autoridades reguladoras en el ámbito nacional, y si no acudir al comité europeo de protección de datos. Esto es un reto tremendo, porque estimamos que una de cada dos reclamaciones puede que se acepten por este procedimiento transfronterizo”.

En el mismo acto, el ministro de Justicia, Rafael Catalá, pidió como España que los partidos actúen con “responsabilidad” en el Congreso para que se apruebe en el actual periodo de sesiones, que concluye en junio, el proyecto de nueva Ley de Protección de Datos, dada su importancia en el actual mundo de las comunicaciones.

El ministro indicó que “una de las grandes virtudes” del texto legal presentado, al que los partidos han presentado más de 300 enmiendas, es el “equilibrio” que mantiene entre la protección de los derechos fundamentales de los ciudadanos y la garantía de la actividad económica en la era de internet.

Investigación a Facebook

España también habló del caso Facebook y Cambridge Analytica e indicó que todavía no pueden determinar cuál es su “verdadero alcance”. Según explicó, están investigando el caso en colaboración con las autoridades británica e irlandesa, aún pendiente de los resultados de distintas autoridades nacionales de protección de datos y varios tribunales e instancias. “Pero si los primeros indicios se confirman, el resultado sería que no solo se ha visto afectado el derecho a la intimidad y a la protección de datos de las personas afectadas, sino que se ha atacado a los propios cimientos del Estado democrático”.

Y es que, como recordó la directora general de la AEPD, este podría ser un ejemplo de un uso ilegal de datos proporcionados de buena fe por los usuarios, con el convencimiento de que se usarían en el marco de una investigación científica, cuando el objetivo era manipular un proceso electoral, las últimas elecciones presidenciales de EE UU de 2016.

España recordó que el caso de la filtración de datos de Facebook habría afectado a 137.000 usuarios españoles, pese a que solo 44 se habrían descargado la aplicación distribuida en la red social que en principio tenía fines de investigación científica.

Preguntada por los expedientes sancionadores a Facebook, la directora de la agencia resaltó que han impuesto a la multinacional multas por 1,6 millones de euros en menos de 8 meses, y destacó que AEPD ha sido “la primera autoridad a nivel europeo en sancionar a la compañía por el intercambio de datos con WhatsApp” y que son la autoridad que ha impuesto la multa más alta a Facebook hasta la fecha.

España también advirtió que el riesgo de que se utilicen ilegalmente los datos personales no solo se circunscribe al ámbito empresarial, donde suele haber incentivos económicos (Facebook ofrece sus datos para que los anunciantes, sus clientes, puedan ofrecer una publicidad microsegmentada), sino en el ámbito público, como ya demostró hace cinco años el caso Snowden.

Según la directora de la AEPD, la tendencia a conservar y utilizar información gracias a las nuevas tecnologías que facilitan el proceso de reutilización de la misma conlleva el riesgo de que ciertos ámbitos en la esfera pública pretendan "crear bases de datos" con ellos o "conservarlos" en volúmenes desproporcionados para usarlos con otros fines a los de política pública.