Carlos B Fernández / Susana García Romero.- 2018 va a ser, sin duda, el año de la privacidad. Con el comienzo de la aplicabilidad del Reglamento europeo de protección de datos de 2016, en mayo de este año, va a llegar también a nuestro país una nueva Ley Orgánica, que a su vez deberá ir acompañada de un nuevo reglamento y otra normativa de desarrollo.
Se trata de un cambio sustancial en esta materia, que va a alcanzar al ámbito privado y al público, pues también las administraciones públicas van a verse directamente afectadas por esta normativa.
En este marco, la Agencia Española de protección de datos (AEPD), como autoridad nacional responsable, está llamada a desempeñar un papel central. Por ello un Estatuto de funcionamiento va a dotarle del marco jurídico necesario para desempeñar las muchas funciones que le encomienda la normativa europea y, en su aplicación, la nacional.
Ante este panorama de grandes e inminentes cambios, Mar España Martí, directora de la AEPD, nos ofrece su visión de los principales temas que van a afectar a la puesta en marcha de este escenario así como los principales ejes de su reciente y futura actuación.
La directora reconoce que el primer año de aplicación de Reglamento europeo va a ser duro, tanto para la Agencia como para las empresas, pero destaca que el cumplimiento de la normativa va a ofrecer una importante ventaja competitiva para las organizaciones.
EL PROCESO DE ADAPTACIÓN DEL ORDENAMIENTO INTERNO AL RGPD
Diario La Ley: Ya estamos en 2018, en decir a cinco meses del comienzo de la aplicabilidad del Reglamento Europeo de protección de datos ¿Qué pasos ha adoptado la Agencia desde la aprobación del RGPD hasta este momento?
MAR ESPAÑA: Lo primero que hicimos fue constituir un grupo de trabajo con las autoridades vasca y catalana de protección de datos, que son las dos autoridades autonómicas con competencias en esta materia en el caso de organismos públicos. Entendimos que es muy importante disponer de un criterio único ante las muchas dudas que había por parte de los diferentes responsables e incluso en las propias administraciones públicas.
En base a esas reuniones con los equipos técnicos elaboramos de común acuerdo y por consenso las tres guías que publicamos en enero de 2017: la Guía para el responsable del tratamiento, la Guía sobre el deber de informar y las Directrices para la elaboración del contrato entre el responsable y el encargado del tratamiento.
Además hemos realizado una labor muy intensa en dos ámbitos que nos preocupan especialmente: el de las administraciones públicas y el ámbito privado.
DLL: ¿Qué medidas están adoptando para la implantación del Reglamento en el sector público?
ME: En cuanto a las administraciones públicas, estamos trabajando con el INAP y el resto de Comunidades Autónomas, para impartir formación en esta materia. Para ello estamos en contacto con el Instituto de Formación Autonómica, con quien hemos comenzado a impartir una primera formación para funcionarios y cargos directivos de la administración autonómica, incluyendo a la Local. En concreto se han definido cuatro acciones formativas: un curso de nivel básico on line, del cual ya se ha realizado una edición y del que tenemos varias más previstas para este año; una jornada práctica con los DPO de los organismos públicos para que puedan exponer sus dudas; en tercer lugar hemos previsto un curso de especialización y por último un curso online (MOOC).
Por otra parte también hemos trabajado con el Centro Criptológico Nacional, que en el marco del Esquema Nacional de Seguridad, al que la Ley Orgánica hace referencia para el sector público, ha adaptado la herramienta PILAR, que ya existía, a los nuevos requerimientos del Reglamento.
Y por lo que se refiere a la administración local, hemos mantenido contactos con la FEMP y COSITAL, el Colegio General de Secretarios, Interventores y Tesoreros de la Administración Local. Hay que tener en cuenta que un porcentaje muy alto de ayuntamientos de menos de 20.000 habitantes pueden no tener medios para afrontar las exigencias de esta nueva normativa, por lo que lo lógico sería que fuesen las diputaciones provinciales quienes prestaran esa cooperación técnica.
Por eso a lo largo de este primer trimestre concluiremos la ronda que hemos llevado a cabo en las Comunidades Autónomas de difusión y concienciación del nuevo marco normativo, tanto en la esfera pública como la privada.
DLL: ¿Y en cuanto al sector privado, qué medidas han adoptado?
ME: Nos consta que las grandes empresas han comenzado el proceso de adaptación. Pero nuestra gran preocupación son las PYMES, que constituyen la mayor parte de nuestro tejido empresarial. Un porcentaje altísimo de estas empresas no están tratando datos de riesgo alto, como lo demuestra el dato de que el 75% de los ficheros registrados corresponden a datos de riesgo básico. Por tanto, pensando en cómo ayudar a estas empresas para que no vieran la protección de datos como una carga añadida a su duro día a día, preparamos la herramienta gratuita "Facilita RGPD", que ya ha recibido más de 29.000 descargas y que facilita, como su propio nombre indica, el cumplimiento de las obligaciones derivadas del Reglamento. Es una herramienta contrastada con CEOE Y CEPIME para que sea sencilla de cumplimentar, en 15 o 20 minutos, y que facilita cumplimentado el registro general de actividades para cada empresa individualmente considerada, genera las cláusulas informativas relativas a los diferentes tratamientos de datos que realice (por ejemplo, clientes o proveedores), informa sobre las medidas fundamentales a adoptar en materia de seguridad e informa sobre el modelo de contrato a concertar con el encargado del tratamiento.
Nuestra gran preocupación son las PYMES, que constituyen la mayor parte de nuestro tejido empresarial
Sin embargo es importante destacar que aunque las empresas, PYMES y autónomos que traten datos de riesgo básico puedan ayudarse con "Facilita". Esto no quiere decir que se les ofrezca un cheque en blanco, ya que aquellos que tratan datos deben cumplir con sus obligaciones.
Por otra parte, estamos intentando difundir al mayor nivel posible esta herramienta y como nos consta que todo autónomo o pequeño empresario trabaja con un gestor, estamos en contacto con el Consejo General de Gestores Administrativos para que la conozcan. Igualmente estamos en contacto con el Consejo General de Colegios de Gestores de Fincas, porque el tratamiento de datos de las comunidades de vecinos es un caso típico de tratamiento de datos de riesgo básico para el que esta herramienta sirve para facilitar la adaptación de sus tratamientos de datos a la nueva normativa. Y también estamos en contacto con CEOE y CEPYME para impartir formación a empresarios.
DLL: ¿Qué otras medidas tienen previsto adoptar hasta el comienzo de su aplicabilidad?
ME: En estos momentos estamos en la fase final de revisión de la guía de análisis de riesgos y de la actualización de la guía de evaluación de impacto, con vistas a presentarlas conjuntamente en febrero.
Otra actuación que tenemos prevista es la "Unidad de apoyo al Responsable", para facilitar a los responsables y a los encargados cumplir con el Reglamento. Esta unidad está previsto que se ponga en marcha en febrero y prevemos fijar una serie de prioridades para su funcionamiento, para poder atenderla adecuadamente. En particular vamos a priorizar la atención sobre aquellos aspectos dónde no esté clara la interpretación y la Agencia pueda sentar un criterio.
En general, queremos llevar a cabo todas las acciones divulgativas que estén a nuestro alcance, incluida nuestra presencia en las redes sociales, que comenzará en breve.
DLL: ¿En qué momento se encuentra la tramitación de la nueva LOPD, su reglamento y normativa de desarrollo y el Estatuto de la Agencia?
ME: Por lo que se refiere al Proyecto de Ley orgánica, se ha ampliado el plazo de presentación de enmiendas hasta el 6 de febrero. El resto del trámite para su aprobación es independiente de la voluntad de la Agencia, pero resulta evidente que con la actual composición del Parlamento la Ley va a requerir mayoría de al menos tres partidos.
En paralelo estamos trabajando en un borrador de Reglamento en el que irá incluida la regulación de todos los procedimientos transfronterizos. Este contenido se incluyó inicialmente en el anteproyecto de ley orgánica pero, dada su gran complejidad, la ponencia decidió trasladar ese contenido al nuevo reglamento, dejando en la Ley solo sus elementos esenciales, como la subsidiariedad de la Ley 39/2015 (LA LEY 15010/2015) o cómo adaptar el procedimiento interno cuando intervengan otras Autoridades o el futuro Comité Europeo.
Una vez que esté en tramitación el Reglamento, que lógicamente irá condicionado al proceso de tramitación de la Ley, empezaremos con el estatuto de la Agencia.
LA AEPD Y LA NUEVA NORMATIVA
DLL: Una de las consecuencias de la nueva normativa europea va a ser un aumento importante de las competencias de la Agencia ¿son suficiente su estructura y recursos actuales para hacer frente a ese desafío?
ME: Nuestro problema en estos momentos es que desconocemos con precisión qué va a pasar el 26 de mayo. Llevamos ya un tiempo trabajando a nivel europeo a través del ‘Subgrupo de enforcement’ que está coordinando la autoridad española junto con la holandesa para intentar determinar cuál va a ser el volumen de denuncias que nos podría llegar en el ámbito transfronterizo, pero por ahora es muy difícil precisar un número. Por ello en esto momento solo podemos hacer conjeturas y a la vez tratar de optimizar al máximo los recursos de que disponemos.
En todo caso creo que es importante poner el foco en las cuestiones de impacto masivo que pueden afectar a millones de ciudadanos, como la guía que acabamos de publicar sobre cómo comprar con seguridad en Internet y evitar ser estafado o en profundizar en procedimientos sancionadores como el que recientemente se acaba de concluir contra Facebook por su política de privacidad.
Además hay que tener en cuenta que el aumento de nuestro trabajo no va a venir solo por vía del Reglamento de protección de datos, también el futuro Reglamento de E-privacy nos atribuye funciones de supervisión en ese ámbito.
DLL: En ese objetivo de orientar los recursos de la Agencia hacia actuaciones de amplio alcance ¿Cómo valora las posibilidades de auditoría sectorial que ofrece a la Agencia el artículo 54 del Proyecto de Ley?
ME: Nuestra idea es priorizar las inspecciones y auditorías de impacto masivo, pero sin dejar de atender las reclamaciones individuales de los ciudadanos.
DLL: Se ha comentado a este respecto que las facultades de investigación de la Agencia son muy amplias y que permiten una capacidad de recabar información extremadamente amplia por su parte ¿qué opina al respecto?
ME: No estoy de acuerdo con esa idea. En primer lugar el art. 52 del proyecto de ley orgánica está muy medido y su alcance muy tasado y visado por el Consejo de Estado. Por otra parte la Agencia en ningún caso va a acceder al contenido de las comunicaciones, sino a la dirección IP del infractor en casos de suplantación de identidad que afecten a los derechos de los ciudadanos para poder tramitar la infracción administrativa correspondiente, y sin perjuicio de las posibles actuaciones penales en las que la Agencia no entra.
DLL: Precisamente sobre el Reglamento de E-privacy se está hablando de los puntos de fricción que presenta con el Reglamento de protección de datos ¿cuál es su opinión al respecto en este momento?
ME: Dado que se trata de un texto que se encuentra todavía en tramitación, prefiero ser prudente y esperar a conocer el texto definitivo que resulte de su tramitación, algo que en todo caso no parece inminente.
Sabemos que hay sectores que están proponiendo sugerencias y propuestas al respecto, por lo que todavía habrá que esperar.
EL DELEGADO DE PROTECCIÓN DE DATOS
DLL: ¿Cómo valora la Agencia la nueva figura del Delegado de Protección de Datos o DPO y qué medidas ha adoptado para hacerla eficaz?
M.E.: Para nosotros el DPO es una figura clave por la que hemos apostado estratégicamente.
Por una parte, pensando en las empresas que tratan datos de nivel de riesgo medio o alto, hemos sido la primera y hasta ahora única autoridad europea que ha puesto en marcha un esquema de certificación de Delegados de protección de datos que ya ha empezado a funcionar, aprobando a una primera empresa para acreditar la certificación.
Este esquema se definió a partir del trabajo de un comité de expertos de los ámbitos público y privado, dónde se aprobaron por unanimidad las tareas y competencias del DPO y el esquema por el que esos DPO pueden certificarse. Con ello tratamos de dotar de garantía y seriedad a esta figura pues aunque no sea obligatorio que ninguna empresa acuda a un DPO certificado, consideramos muy importante que si una empresa decide hacerlo pueda contar con las garantías de que el mismo ostenta un mínimo de formación, especialización y experiencia.
Por otra parte, aunque el RGPD solo prevé la necesidad de DPO en tres supuestos (que nosotros no hemos ampliado), en el Proyecto de Ley orgánica hemos detallado varios ejemplos concretos de cada uno de los tres supuestos que indica el Reglamento.
Estamos trabajando para que los colegios profesionales, como el de la abogacía, dispongan de DPO
Además, para promover la responsabilidad activa y garantizar la resolución amistosa de los conflictos y de las reclamaciones de los clientes hemos introducido en el art. 65.4 del Proyecto de Ley la posibilidad de que si la empresa dispone de un DPO, porque legalmente le corresponda o porque así lo haya decidido, sea este el que en el plazo de un mes pueda resolver esa reclamación. Ello no limita el derecho del ciudadano a acudir a la Agencia, pero sí esperamos que este procedimiento permita resolver el conflicto por una vía más amigable y mucho más ágil.
Adicionalmente estamos trabajando con los colegios profesionales y con CEPYME para promover fórmulas flexibles y de economías de escala para que los colegios profesionales, como el de la abogacía, dispongan de DPO. La idea es que al igual que estas corporaciones ofrecen primas de seguro colectivas, los colegiados puedan elegir un análisis de riesgos conjunto, mucho más barato que si cada despacho encarga su análisis de riesgo o su evaluación de impacto por separado. Esto es importante para evitar los asesoramientos a "coste cero" que están empezando a anunciarse en algunos lugares.
DLL: ¿Cómo va el registro de comunicación de DPO?
ME: Aunque es cierto que hasta mayo de 2018 no hay obligación de notificar los nombramientos a la Agencia, hasta ahora hemos recibido muy pocas notificaciones, tanto del ámbito público como del privado.
DLL: ¿Prevén añadir en el portal de la Agencia algún sector específicamente dedicado al DPO?
R: En la actualidad todos los documentos relacionados con el Reglamento, tanto los elaborados por la Agencia como los emanados del Grupo de trabajo del artículo 29 se encuentran en la página. También puede encontrarse el esquema de certificación de DPO. Y a través de la Unidad de atención al responsable que he mencionado antes se podrá prestar una atención a estos puestos. Pero dado el número de empresas y de organismos públicos existentes, no queremos generar unas expectativas que, dado el volumen de posibles interesados, serían imposibles de cumplir.
DLL: Por lo que se refiere a la figura del DPO en las administraciones públicas ¿cree que haría falta alguna modificación de la legislación administrativa actual para encajar esa figura el organigrama?
ME: Creo que no será necesario. Dado que el Reglamento es directamente aplicable y que a la vez otorga una flexibilidad para aplicar la accountability, es cada organización la que conociendo sus circunstancias propias puede decidir si es necesario un DPO para cada organismo, o si es necesario agrupar donde se estén manejando datos sensibles.
En este sentido, por lo que me han hecho llegar los responsables de las comunidades autónomas, parece evidente que ámbitos como la educación o la sanidad va a ser necesario un DPO que coordine y seguramente un DPO por zonas territoriales. Pero en este sentido los órganos cuentan con absoluta autonomía y libertad.
Lo que sí hará falta modificar son los decretos de estructura, tanto en el ámbito de la AGE como de las CCAA y las Relaciones de Puestos de Trabajo (RPT). Por eso hemos mantenido conversaciones con la AGE sobre el tipo de perfil que podría ser idóneo, y lo mismo hemos hecho con las CCAA, algunas ya están trabajando para crear el DPO dentro de las unidades de transparencia. Dado que en esta materia hay un componente técnico y otro informático, lo normal es que estas figuras se adscriban a las subsecretarías de los ministerios o a las secretarías generales de las CCAA.
Pero no me gustaría que pasara como con las leyes 39 y 40 de 2015, que al final se acabó yendo muy cortos de tiempo para cumplir los plazos a los que obligaban estas leyes en las administraciones públicas. Por eso estamos intentando concienciar y formar.
CUMPLIMIENTO DEL RGPD Y SANCIONES
DLL: Usted se ha manifestado más partidaria de una política de acompañamiento y asesoramiento que de recurso a la sanción ¿Cómo se compadece esa idea con la ampliación del catálogo de sanciones que se prevé en el proyecto de Ley orgánica?
ME: Desde el principio hemos intentado potenciar todas las actuaciones de prevención, para lo que pusimos en marcha el Plan Estratégico 2015-2019, que contempla 120 actuaciones y que ha incluido guías y recomendaciones para que los ciudadanos sepan en qué aspectos puede ayudar la agencia.
Por mi parte creo firmemente que es necesario además impulsar un mecanismo como el de la mediación, que está siendo infrautilizado. Por eso apostamos por él, tanto en los códigos de conducta que nos presenten los responsables, como recientemente en el protocolo que ha puesto en marcha Autocontrol en el ámbito de las telecomunicaciones y que ha firmado la Agencia.
Pero lógicamente eso no supone que la Agencia no vaya a actuar ante una posible infracción, en cuyo caso habrá que realizar las acciones previstas en la norma.
El tema de las sanciones es uno de los que más quebraderos de cabeza nos dio en la ponencia dado que el Reglamento no tipificaba las infracciones ni establecía el régimen de prescripción, que es algo que no se entiende en nuestro régimen constitucional. Por ello lo que hemos intentado es que ese nivel de detalle en el catálogo de sanciones ofrezca una mayor seguridad jurídica de los responsables de posibles infracciones, tanto en la tipificación como en el régimen de prescripción, que deliberadamente maneja plazos cortos.
En cuanto a los sujetos obligados, creo que en general lo duro va a ser el primer año de funcionamiento de la nueva normativa, pero también creemos que si una organización se preocupa de analizar cuáles son los tratamientos que realiza, con qué finalidad, durante cuánto tiempo, a quién le transfiere esos datos y si aplica desde el diseño las medidas de responsabilidad activa, no solo se va a evitar muchos problemas, sino que en el caso de las empresas privadas a la larga va a ganar en competitividad y fidelización del cliente.
DLL: Este procedimiento sancionador puede ser muy complejo en el caso de los grupos multinacionales, cuando la sede se encuentre en un país diferente ¿cómo va a quedar en ese caso la relación y la coordinación entre las agencias, incluyendo el problema del idioma?
ME: Sin duda va a ser un tema complicado. Por eso, para empezar, en el Grupo de trabajo del artículo 29 hemos acordado que el idioma de trabajo sea el inglés. También hay unas directrices de este mismo grupo sobre los criterios para identificar a la autoridad líder o principal, porque cada vez que se reciba una denuncia de este tipo lo primero que hay que identificar es quién es esa autoridad. Y en caso de discrepancia este será uno de los primeros casos sobre los que el Comité deberá decidir.
EL CONSENTIMIENTO DEL TITULAR DE LOS DATOS
DLL: El consentimiento del titular de los datos es base para el tratamiento y este hecho hace recaer en el ciudadano una parte importante de la responsabilidad de sus propios datos ¿cree que son los ciudadanos suficientemente conscientes de la importancia del acto de consentir el tratamiento?
ME: Uno de los aspectos más relevantes del Reglamento es que da mucho más control a los ciudadanos sobre qué permiten o autorizan que se haga con sus datos, sobre todo teniendo en cuenta que ya no se van a poder realizar tratamientos sobre la base de un consentimiento tácito.
Por eso y porque según los datos del CIS el 76% de los ciudadanos están preocupados por la política de privacidad que se aplique a sus datos, hemos publicado hace poco una guía sobre los derechos del ciudadano.
En este sentido nos preocupa especialmente poder llegar a los jóvenes para preservar su huella digital en el futuro. Por eso estamos satisfechos del teléfono de consultas del canal joven de la Agencia que ya ha recibido más de 1.000 llamadas. También hemos elaborado una guía para centros docentes que permita identificar problemas y ofrecer respuestas a los mismos e igualmente tenemos disponibles un conjunto de vídeos breves muy prácticos sobre cómo un joven o un adulto pueden configurar la privacidad en las principales redes sociales, en los sistemas operativos o en los dispositivos móviles.
Y también disponemos de un conjunto de videos y materiales para padres sobre prevención del delito, y próximamente presentaremos otra guía sobre cómo evitar que un adulto, por desconocimiento, sea víctima o autor de un delito.
Es decir, nosotros hemos elaborado los materiales y los hemos puesto a disposición de la comunidad educativa y las CCAA, pero creo que es necesario que el uso responsable de internet se convierta en una asignatura transversal, al igual que ahora lo es la seguridad vial.
EL FILÓN DE LA PROTECCIÓN DE DATOS PARA LOS DESPACHOS
DLL: En los últimos tiempos están comenzando a aparecer despachos que anuncian su oferta de servicios para obtener indemnizaciones de las empresas por vulneración de los derechos de protección de datos de los ciudadanos. Da la impresión de que algunos despachos han visto un nuevo filón en esa posibilidad.
ME: Pero esta situación no es una novedad. Hasta la fecha también los ciudadanos se están amparando en resoluciones de la Agencia para dirigirse a los tribunales en reclamación de una indemnización por responsabilidad civil. Y es irremediable que ante un cambio normativo aparezcan empresas que intentan hacer negocio. En mi opinión en esos temas la Agencia debe ser neutral. Nosotros lo que estamos intentando es poner en marcha otro tipo de herramientas, porque pensamos que al ciudadano lo que de verdad le interesa es que, por ejemplo, le borren del registro de morosos en una semana, es decir, eficacia y una resolución lo más rápida posible, junto con un interlocutor en la empresa que le pueda resolver ese conflicto.
DLL: ¿Cómo se plantea actuar la Agencia ante las ofertas de asesoramiento a muy bajo coste y previsibles pocas garantías o de formación sin coste con cargo a los fondos de la formación continua, que están apareciendo últimamente al calor de la próxima aplicabilidad del Reglamento europeo?
ME: La opinión de la Agencia a este respecto es de tolerancia cero con estas prácticas. No se puede engañar a los empresarios y en esos casos la Agencia va a ser lo más taxativa posible, porque además con esas prácticas se puede estar vulnerando otras normativas como la fiscal o la relativa a subvenciones. Por ello, en el momento en que nos consten ese tipo de conductas, lo denunciaremos ante los organismos correspondientes.
Por ello estamos trabajando con el ministerio de Empleo para identificar a esas empresas y con CEOE y CEPYME para dar difusión al hecho de que si un trabajador autónomo contrata con esas empresas no va a poder demostrar que ha adoptado las medidas necesarias para cumplir con el Reglamento, que es uno de los principios básicos de la responsabilidad activa.
LA UNIFICACIÓN DE LAS POLÍTICAS EUROPEAS DE PROTECCIÓN DE DATOS
DLL: ¿El desarrollo por los Estados de sus políticas nacionales de protección de datos puede suponer un reto para los esfuerzos de coordinación que ha supuesto el Reglamento?
ME: Está claro que el reto al que se enfrentan las 28 autoridades nacionales de protección de datos es de gran envergadura. En primer lugar porque se parte de culturas muy diferentes, en la que solo algunas autoridades contábamos con competencias en la materia, mientras que otras no se habían enfrentado nunca a la tramitación de un procedimiento sancionador. Además, nunca hasta ahora la Unión Europea había puesto en marcha un procedimiento transfronterizo tan complejo como el que se va a tener que tramitar a partir del próximo mes de mayo en la garantía de un derecho fundamental.
Por ejemplo, habrá supuestos de disparidad porque el Reglamento habilita a que los estados miembros habiliten el régimen de prescripción de las infracciones y cabe la posibilidad de que legalmente existan regímenes de prescripción diferentes en los distintos estados miembros.
Pero hay dos garantías con las que vamos a contar para esta tarea, por un lado el hecho de que el Reglamento es directamente aplicable y con ello que todos los estados podrán desarrollar algunos aspectos del mismo para dar mayor claridad en su ordenamiento, pero en ningún caso van a poder alejarse del espíritu de los principios y obligaciones contenidos en el Reglamento, porque en otro caso la Comisión les abriría un procedimiento. Por otra parte, por el hecho de que cuando haya disparidad de criterios sobre cuál debería de ser el enfoque ante un caso concreto, va a contarse con el Comité Europeo de protección de datos, que tiene competencias vinculantes para resolver los conflictos o la disparidad que pueda surgir en esa materia.
****************************************************************************************************************************************************************************
Para que estés preparado para afrontar todas las novedades que se avecinan, Wolters Kluwer pone a tu disposición el «Especial Protección de datos. Guía para afrontar la nueva regulación» con el comentario de expertos de primer nivel.Accede a este enlace y sólo durante esta semana (hasta el 28 de enero) descárgate gratuitamente esta práctica Guía valorada en 30,19 €.