"No hay moratoria en la aplicación del Reglamento europeo de protección de datos"

La nueva privacidad impone un cambio de mentalidad basado en la responsabilidad proactiva

Décima  Sesión anual abierta de la Agencia Española de Protección de Datos
Décima Sesión anual abierta de la Agencia Española de Protección de Datos

Como no podía ser de otro modo porque se trata de una preocupación muy actual, la aplicación del Reglamento General de Protección de Datos (RGPD) ha copado el programa de la Décima Sesión anual abierta de la Agencia Española de Protección de Datos(AEPD). En ella, Mar España, directora de la AEPD ha insistido en que resulta imposible legal y técnicamente plantear un periodo transitorio para adoptar la nueva privacidad, ya que el propio RGPD dio un plazo de dos años para su aplicación.

Sanciones

Sin embargo, la presidenta de la Agencia ha aclarado "para la tranquilidad de los presentes" que el RGPD no es solo una norma sancionadora sino que promueve la resolución amistosa y extrajudicial de los conflictos. A lo que ha añadido que "la misma flexibilidad que da el Reglamento para adaptarse a la nueva protección de datos también se aplica a las autoridades de control en su potestad sancionadora". Y es que el abanico de sanciones ante infracciones del RGPD va desde advertencias y apercibimientos hasta multas de 20 millones de euros o el 4% de la facturación global.

Algo en lo que coincide Pedro Colmenares Soto, subdirector general de Inspección de Datos que ha destacado que el RGPD "no es meramente una norma sancionadora y tiene un componente pedagógico respecto a los ciudadanos, respecto al valor de nuestros datos". En su intervención ha apuntado que "los ciudadanos no estamos locos y sabemos lo que queremos y no queremos que se haga con nuestros datos. Por eso debemos hacernos fuertes en la defensa de nuestros derechos".

Es por ello, que Mar España ha aconsejado a las empresas que prioricen la prevención en materia de protección de datos e impulsen la resolución amistosa de conflictos. Eso sí, "teniendo en cuenta que en caso de incumplimientos graves o muy graves como elaboración de perfiles sin legitimación o difusión de datos especialmente sensibles la Agencia será contundente".

Responsabilidad activa

EL RGPD impone un cambio de mentalidad para las administraciones públicas y las empresas basado en el principio de accountability o responsabilidad activa. Una de las manifestaciones de este fundamento de la nueva privacidad es el registro de actividades de tratamiento, que como indica Manuel Villaseca López, jefe de área y DPD de la AEPD "No tiene un criterio único para elaborarlo que se deja a la elección de los responsables".

Otras consecuencias de la responsabilidad proactiva son el análisis de riesgos, las evaluaciones de impacto y las brechas de seguridad. Obligaciones para las que la AEPD se ha ofrece orientaciones prácticas, formación, guías y herramientas. En su intervención Andrés Calvo Medina y Mª Rosario Heras Carrasco, de la Unidad de Evaluación y Estudios Tecnológicos, han profundizado en la utilidad de una de estas herramientas, Facilita, que ya ha recibido más de 180.000 visitas, dirigida a Pymes, autónomos y administraciones con un tratamiento básico de datos con bajo riesgo.

Delegado de Protección de Datos

También la figura del delegado de protección de datos (DPD) tiene que ver con la responsabilidad proactiva de las entidades, ya que como ha indicado Julian Prieto Hergueta, subdirector general del Registro General de Protección de Datos, se trata de un "elemento clave en el cumplimiento del RGPD", aunque no es nuevo, ya existía antes pero no era obligatorio. Sin embargo, como ha explicado Prieto "ahora sí lo es para los entes del sector público, para empresas con actividades de tratamiento de datos a gran escala y aquéllas que traten datos especialmente sensibles a gran escala".

Por ello, como ha señalado Mar España que hasta ahora la AEPD haya recibido 8.000 notificaciones de delegados de protección de datos, es insuficiente. Es más, desde la Agencia a pesar de que no todas las entidades tienen obligación de contar con un DPD, se está impulsando que los responsables de datos pueden contratar con carácter voluntario e incluso a tiempo parcial y de forma externa un delegado de protección de datos solo para adaptarse al Reglamento. Para ello, la AEPD está trabajando con la CEOE para que proporcione estos profesionales a las empresas adheridas y que los consejos y colegios profesionales también lo hagan con quien no esté obligado a tenerlo.

En este sentido, la directora de la Agencia también ha anunciado que las universidades podrán solicitar a la AEPD la certificación de sus posgrados y másteres en protección de datos cuando cumplan con los requisitos del Esquema de Certificación de DPD.

Consentimiento

Mar España también ha hecho referencia al bombardeo de peticiones de consentimiento que se enviaron a los usuarios en la semana del 25 de mayo. Según ha declarado muchas de esas solicitudes no eran necesarias ya que "si en su momento se pidió un consentimiento que cumpliera los requisitos del reglamento no es necesario renovarlo". De tal manera que sólo resulta necesario si el consentimiento fue tácito o se pretende obtener para otras finalidades distintas a las que fueron origen del consentimiento o a las determinadas en el contrato que ya se mantiene con el cliente.

Asimismo, Rafael García Gozalo, jefe del Departamento Internacional de la AEPD, ha puntualizado que el consentimiento no es la única base jurídica para el tratamiento de los datos como así se d y ah añadido que el procedimiento para su retirada ha de ser tan sencillo como el llevado a cabo para darlo, según la directriz sobre consentimiento del comité europeo de protección de datos.

Por su parte, Jesús Rubí Navarrete, adjunto a la dirección de la AEPD, ha expuesto algunas de las claves sobre la información de cookies en el RGPD. En este terreno la principal exigencia de la nueva regulación de privacidad, que ha indicado Rubí, es que "debe excluirse toda información que pueda inducir a error y explicar claramente para que se usan las cookies". Además, Rubí ha aclarado que la fórmula habitual para recabar el consentimiento requerido para la instalación de cookies "si sigue navegando es que acepta", puede seguir siendo válida si se refuerzan los mecanismos que favorecen la toma de la decisión por el usuario, es decir, describiendo claramente para que se usan las cookies.

Ley Orgánica de Protección de Datos

Agustín Puente Escobar, jefe del Gabinete Jurídico de la AEPD, ha hablado sobre el efecto del RGPD en el derecho interno y el Proyecto de Ley Orgánica, en el que ya se lleva año y medio trabajando. Tal y como ha señalado el derecho interno ha sido desplazado por el RGPD, lo cual no significa que no sea necesaria la aprobación de la Ley Orgánica de Protección de Datos ya que además se trata un mandato explícito del propio reglamento que exige un desarrollo en el derecho interno.

De hecho, la directora de la Agencia ha señalado que ya ha traslado a los grupos parlamentarios la importancia necesidad de aprobar esta ley porque "se trata de una ley técnica y desde el punto de vista del procedimiento administrativo, de la tipicidad de las infracciones o de su prescripción es indispensable que esté cuanto antes".

Servicios asesoramiento fraudulentos

De nuevo, Mar España ha reiterado su crítica a algunas consultoras que están ofreciendo servicios de asesoramiento en protección de datos a las empresas y autónomos cuando en realidad sólo crean una apariencia de cumplimiento de protección de datos que no es real. En este aspecto se ha mostrado firme y ha dicho que desde la AEPD se perseguirán estas prácticas ilícitas cuando se tenga conocimiento de ellas. "Debemos garantizar solvencia y seguridad jurídica a todas las empresas" ha asegurado.

Consiga aquí, una guía con los conceptos clave que has de dominar para proteger tus derechos de privacidad con el nuevo Reglamento, de aplicación a partir del 25 de mayo.

Normas