Durante la octava Sesión Anual Abierta de la AEPD, la directora de la Agencia, Mar España, señaló que “la Agencia está comprometida con conseguir que la aplicación del Reglamento se produzca con pleno respeto a sus disposiciones” y, al mismo tiempo, “desde la flexibilidad que una operación de esta esta envergadura requiere y en una situación en la que las empresas y profesionales cuenten con todos los recursos teóricos y materiales necesarios para ponerlo en práctica”.
España aprovechó el foro para instar a las entidades a efectuar una “adaptación progresiva” de sus procesos en materia de protección de datos, de forma que se puedan detectar las posibles dificultades en su aplicación y tomen medidas para solucionarlas.
Para facilitar el cumplimiento del Reglamento por parte de las pymes, la Agencia ha anunciado que está preparando herramientas que sean útiles para cumplir con el Reglamento. Entre ellas, un recurso online orientado a aquellas que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo riesgo. Además, está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un riesgo algo mayor como consecuencia de alguna circunstancia concreta, como el manejo de datos sensibles.
La AEPD considera necesario que quienes tratan datos personales conozcan las posibles dificultades que pueden encontrarse en el proceso de adaptación al Reglamento para que puedan adoptar soluciones ahora que este aún no es aplicable. Por ello ha analizado algunas de las implicaciones prácticas “que conviene que las entidades conozcan”.
Uno de los cambios importantes que introduce el Reglamento tiene que ver con el consentimiento
Uno de los cambios importantes que introduce el Reglamento tiene que ver con el consentimiento. Éste requerirá que para el tratamiento de datos los afectados den su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa, lo que el llamado consentimiento tácito permitido por la vigente normativa española. En este sentido, la Agencia recuerda que los consentimientos que hayan sido recabados antes de que sea aplicable el Reglamento General “sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento”.
Por ello, recomienda a las organizaciones que utilizan el consentimiento tácito como base para los tratamientos que empiecen a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento, así como a utilizar mecanismos acordes con la nueva legislación, ya que cuando el Reglamento sea plenamente aplicable sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco.
El Reglamento también incorpora cuestiones adicionales en materia de información que actualmente no se incluyen en la normativa española. La Agencia anima a que las organizaciones aprovechen este período de dos años para que muchas de ellas proporcionen esa información adicional sin costes o esfuerzos excesivos utilizando sus páginas web o los canales de comunicación que vengan utilizando con sus clientes.
Asimismo, aconseja adaptar las políticas informativas al Reglamento. En este caso, matiza que hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como proporcionar los datos del Delegado de Protección de Datos. Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el Reglamento lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.
Respecto a las evaluaciones de impacto sobre la protección de datos -cuya realización es previa a la puesta en marcha de los tratamientos- la Agencia anima a no esperar a que la realización de las evaluaciones resulte obligatoria para comenzar a utilizarlas, ya que requiere de una adecuada preparación, elección de la metodología adecuada, y de la identificación de los equipos de trabajo, entre otros.
La implantación de esquemas de certificación y sus posibilidades de gestión adquieren un papel relevante en el Reglamento. Podrán ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas, y en caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación. La AEPD considera que la mejor opción es encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.
Un aspecto que ha levantado gran expectación es la cualificación que deben tener los Delegados de Protección de Datos (DPD), y el sistema de certificación de los mismos, si bien el Reglamento no establece de forma específica cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. En este sentido, la Agencia considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.
Asimismo, recuerda que ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos, y vaticina que esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.
La Agencia valora la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales
La Agencia está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.
No obstante, recuera que el hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos. La Agencia considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. Pero en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.
Por lo que se refiere a la relación entre los responsables y los encargados de tratamiento, dado que el Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva, la Agencia subraya que el contrato debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.
Además, incide en que en estos dos años debería aprovecharse para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, y para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios. La Agencia, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo.