"En unas semanas haremos pública la primera sanción"

Se han cumplido seis meses desde que el Reglamento General de Protección de Datos desplegara todos sus efectos. La nueva normativa ha causado muchos y muy profundos dolores de cabeza en las empresas españolas que, bajo la amenaza de multas de hasta 20 millones de euros, han tenido que renovar consentimientos y adaptar sus procesos de tratamiento de datos. A la regulación europea hay que sumar ya la nueva ley orgánica, a la que el Senado dio el visto bueno definitivo hace unos días. La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, hace balance en CincoDías del año que ha revolucionado la privacidad.

R. ¿Cuál es el grado de implantación de la nueva normativa en la empresa española?

R. Es un poco pronto para valorar, pero sí puedo dar algunos datos. Se nos ha comunicado ya la designación de casi 22.000 delegados de protección de datos (DPO) entre el sector público (3.365) y el privado (18.555). Además, las reclamaciones han aumentado un 35% desde el 25 de mayo. Mi sensación es que el grado de conocimiento de la normativa es alto, pero también que existe cierta distorsión de las nuevas exigencias. En muchos casos se dice “esto no puedo hacerlo por la nueva regulación”, atribuyendo a la Agencia interpretaciones que no ha dado.

R. ¿Qué materias están suscitando más reclamaciones?

R. El sector que sigue teniendo más reclamaciones (incoación de procedimientos sancionadores) es el de telecomunicaciones. Veremos cómo evoluciona, pero lo que sí detectamos es que el crecimiento de quienes reclaman es constante. Es decir, no es solo el subidón de los dos meses posteriores al 25-M.

R. La adaptación a la normativa ha supuesto un gran esfuerzo para las pymes. ¿Qué tal están llevando a cabo este proceso?

R. En la Agencia nos preocupa mucho el tejido empresarial español. Queremos ayudar a su digitalización y a dotarlo de fuerza, no a debilitarlo porque tengamos que imponer multas por incumplimientos. En este camino debemos ir de la mano con las Cámaras de Comercio y Cepyme para llegar hasta la última empresa y el último autónomo de este país. No obstante, soy consciente de que a veces llega más directamente a ellos el gestor o el consultor, y yo no puedo garantizar que ellos estén dando la información adecuada de las obligaciones y el margen de flexibilidad que tiene una pyme.

R. ¿Siguen detectando casos de fraude de asesorías de privacidad a coste cero?

R. Sí; de hecho, en algunos casos se hacen pasar por la AEPD. Hace unos días nos llegó una denuncia contra una empresa que estaba utilizando nuestro logo para ofrecer asesoramiento. Estamos trabajando con otros organismos del sector público para abordar este problema coordinadamente y desde una perspectiva integral. Por el momento, hemos conseguido que se modifique la Ley de Competencia Desleal para que se califiquen como prácticas abusivas y una actuación así sea punible.

R. Se aguarda con interés la aplicación del nuevo régimen sancionador, con multas hasta los 20 millones de euros...

R. Estamos trabajando en el Comité Europeo de Protección de Datos para establecer criterios comunes para valorar la graduación tan amplia que da el reglamento. Iremos creando nuestra propia doctrina caso a caso. Lo que sí puedo anunciar es que ya tenemos encima de la mesa el borrador de alguna resolución sancionadora y que, en unas semanas, haremos públicas las primeras multas fijadas ya con la nueva normativa.

R. ¿Le preocupa que la justicia enmiende los criterios sancionadores de la Agencia?

R. Hasta ahora nuestras sanciones ya han tenido supervisión jurisdiccional. El nuevo régimen normativo y sancionador es mucho más abierto y nos da una horquilla más amplia: de cero a veinte millones de euros. Serán, por un lado, los tribunales nacionales, a través de la Audiencia, y, por otro, el Tribunal de Justicia de la Unión Europea (TJUE), si el caso es transfronterizo, quienes vayan armonizando los criterios de aplicación en caso de que se impugne la multa. Pero eso lo iremos viendo dentro de unos años. Ahora mismo, vamos a aplicar la normativa con sentido común y teniendo en cuenta los atenuantes y agravantes que concurran en cada caso.

R. Pasar de un modelo de lista tasada de obligaciones a uno de autorregulación no es sencillo. ¿Serán comprensivos?

R. No podemos dar un cheque en blanco a nadie, pero pondré un ejemplo. Hemos recibido más de 300 notificaciones de brechas de seguridad y, de ellas, menos de 10 han supuesto actuaciones de investigación en la Inspección. Lo que puedo decir es que seremos muy severos con los incumplimientos graves de la normativa, pero también comprensivos en función de los medios personales y materiales que haya dedicado la organización y el tipo de infracción cometida. Pero no puedo avanzar nada más.

R. ¿Cuál es el grado de adaptación de las Administraciones públicas a la normativa?

R. Buena pregunta. Ahí también estamos dejándonos la piel. Hemos tenido ya la segunda reunión con los DPO de los ministerios para poder resolver sus dudas y a las comunidades autónomas les estoy insistiendo en la importancia de la figura del delegado. Pero el ámbito que más me preocupa es el local. En los municipios de menos de 20.000 habitantes, son las diputaciones las que tienen que dar los servicios técnicos y los medios, y entendemos que los secretarios municipales no pueden asumir las funciones del DPO porque serían juez y parte.

R. Entiendo, por tanto, que la Administración va un poco retrasada...

R. Para poder hacer esa valoración tendría que tener un inspector en cada organismo público... y hay 20.000 en este país.

R. La nueva ley orgánica modifica el sistema de elección de la presidencia de la Agencia (cambia la denominación) y, además, crea un consejo consultivo con cargos. ¿Se refuerza o se debilita la independencia del organismo?

R. Todos los directores de la Agencia han actuado con independencia. Y, por supuesto, yo también. El nuevo modelo incorpora a un adjunto a la presidencia que sale de la misma lista de candidatos. Ese punto creo que puede generar alguna dificultad en el día a día. En su momento planteé que sería importante que el adjunto no tuviera funciones en el ámbito de actuación de la Subdirección General de la Inspección, que es el eje claro de la independencia de la Agencia, porque es donde se tramitan las denuncias, y eso se excluyó expresamente en la ley.

R. ¿Cuenta la Agencia con medios suficientes para realizar su labor?

R. Ahora mismo tenemos menos presupuesto que hace diez años. El de este año es de 14,2 millones y el de 2010 fue de 15,4. Hemos planteado al Ministerio de Hacienda una subida del 10% consolidado en este año y otro 10% adicional para el que viene. Necesitamos, por ejemplo, poder contratar personal eventual, porque hay un tipo de profesional especializado que proviene de las empresas y no del ámbito de la función pública. Eso implica un gasto. El 10% es un crecimiento muy discreto para lo que nos cae encima. Espero y confío en que el ministerio atienda nuestra propuesta, porque yo no puedo garantizar nuestra independencia si no tengo los medios personales y materiales para poder atender las reclamaciones.

Pincha aquí para conocer todas las novedades de la nueva LOPD.