Con motivo de la celebración del Día Europeo de la Protección de Datos, el 28 de enero, y dada la especial trascendencia que en 2018 va a tener esta materia, tras la entrada en vigor del Reglamento Europeo de Protección de Datos y la necesaria reforma de nuestra normativa interna ya en tramitación, en Wolters Kluwer estamos dedicando toda la semana a analizar los relevantes cambios que se avecinan y las consecuencias que van a tener en el día a día de muchos profesionales.
Además, te ofrecemos gratuitamente una práctica Guía valorada en 30,19 € que hemos titulado
«Especial Protección de datos. Guía para afrontar la nueva regulación»
donde encontrarás el análisis de todas las novedades comentadas por expertos de primer nivel, analizando los pros y los contras de cada una.
Accede a este enlace y solo durante esta semana (hasta al 28 de enero) descárgate gratis esta práctica Guía.
Te ofrecemos a continuación una interesante entrevista en la que Miguel Ángel, Laura y Elena Davara, nos ofrecen su cualificada opinión sobre algunas de las cuestiones más relevantes del próximo marco normativo de la protección de datos.
¿Cuáles son las principales novedades del proyecto de LOPD que el Gobierno ha remitido a las Cortes?
Hay varios aspectos que, en la LOPD (LA LEY 4633/1999) del 99 no estaban contemplados. Los aspectos novedosos a destacar que introduce el texto del Proyecto de LOPD respecto a la LOPD son: el tratamiento de datos de personas fallecidas; el whistleblowing, esto es, el tratamiento de datos en el sistema interno de denuncias en una empresa; las medidas de responsabilidad activa –más conocido como accountability-; el tratamiento con fines de videovigilancia; el derecho de supresión y el derecho a la portabilidad de los datos y la figura del delegado de protección de datos, más conocido por sus siglas en inglés: DPO.
Apunta Laura Davara que "Resulta, cuánto menos curioso, que en el Anteproyecto de Ley hubiese un artículo dedicado al tratamiento de datos hechos manifiestamente públicos por el afectado y en el Proyecto de Ley no haya ninguna referencia a esta cuestión"
¿Qué cuestiones les parecen curiosas o les llaman la atención del articulado del Proyecto de Ley?
Destaca Miguel Ángel Davara que en lo sucesivo la máxima autoridad de la Agencia Española de Protección de Datos se denominará "Presidente" y no "Director" y su mandato pasará a tener una duración de 5 años (a diferencia de los 4 años que prevé la LOPD (LA LEY 4633/1999)).
Por su parte, Elena Davara pone de manifiesto que "Ya no se habla de ‘datos especialmente protegidos’ sino de ‘categorías especiales de datos’ y, lo que llama todavía más la atención, es el hecho de que la relación de datos integrados en ‘categorías especiales de datos’ no sea exactamente la misma en el Reglamento Europeo que en el Proyecto de Ley".
Apostilla Laura Davara que el Proyecto de Ley –a diferencia de la LOPD- sí hace referencia al cómputo de los plazos previstos en esta Ley afirmando que cuando los plazos se señalen por días, se entiende que éstos son hábiles –especificando que quedan excluidos los sábados, los domingos y los declarados festivos-.
Estamos a menos de cinco meses de que el RGPD empiece a ser aplicable ¿qué consejos darían tanto a profesionales como a las administraciones públicas afectadas por el mismo?
Que se pongan las pilas…si no lo han hecho ya. Son muchas las novedades que incorpora el Reglamento –siendo una gran parte de dichas obligaciones de carácter jurídico y con un deber de documentación considerable-, indica Miguel Ángel Davara.
Elena Davara, por su parte, hace hincapié en la necesidad de crear protocolos de actuación comunes y auditables para cumplir con las obligaciones del Reglamento Europeo y, por supuesto, de formar a todo su personal.
En palabras de Laura Davara "es necesario tener claro el cambio de responsabilidad reactiva de la normativa hasta ahora (cuando surgía un problema en materia de protección de datos, se actuaba) a la responsabilidad proactiva que exige el Reglamento. De hecho, el Proyecto de Ley también habla de ‘medidas de responsabilidad activa’ de lo que se desprende el hecho de que los responsables del fichero y los encargados del tratamiento deben de ser proactivos".
¿Qué diferencias hay entre la notificación de ficheros a la AEPD y el registro de actividades del tratamiento?
En opinión de Laura Davara, el registro de actividades del tratamiento es mucho más amplio.
Indica Miguel Ángel Davara que, "en el despacho hemos creado –basándonos en la filosofía del lenguaje de programación COBOL, los que, en nuestra opinión, son los cuatro aspectos clave del auto-registro, a saber: Identification, Environment, Data y Procedure".
En la fase de Identification la entidad ha de analizar su actividad e identificar –y documentar en su auto-registro qué ficheros y tratamientos lleva a cabo.
En la de Environment se debe incluir una referencia en el auto-registro al entorno en el que los tratamientos se llevan a cabo –tanto en lo referente al sistema de información como al entorno físico.
La fase Data determina que ha de incluir en el registro información sobre el tipo de datos de carácter personal de manera estructurada y detallada.
Finalmente, en Procedure: el auto-registro debe contar también con una descripción de los procedimientos, protocolos, programas y demás acciones que se lleven a cabo respecto a los datos de carácter personal.
Apunta Elena Davara que la AEPD ya ha puesto a disposición de todas las entidades una herramienta para descargarse toda la información notificada sobre los ficheros de los que son responsables en el Registro General de la AEPD para que la tomen como base para realizar el citado auto-registro.
¿Qué nuevos derechos incorpora la normativa?
Entre otros, el famoso derecho al olvido, apunta Miguel Ángel Davara. Aunque en su opinión "en realidad, no existe".
Matiza Laura Davara que, lo que desde luego no existe, al menos en el Proyecto de Ley, es la expresión "derecho al olvido". Si bien en el Reglamento Europeo se denomina "derecho de supresión" y "derecho al olvido", en el Proyecto de Ley la única denominación que se utiliza es la de derecho de supresión y, respecto a su regulación, se remite por completo a lo dispuesto por el Reglamento Europeo.
Por su parte, Elena Davara apunta cómo los principales buscadores (Google, Yahoo! y Bing) ya han puesto a disposición de los usuarios formularios gratuitos, sencillos y online para ejercer el derecho al olvido y, buena prueba del interés que ha suscitado este derecho entre los internautas son tanto las numerosas peticiones de ejercicio de derecho al olvido como las resoluciones de la AEPD y de órganos jurisdiccionales en este sentido.
Además del derecho al olvido, indica Elena Davara, que también cobra gran importancia como nuevo derecho el derecho a la portabilidad de los datos regulado en el artículo 20 del Reglamento Europeo. Enfatiza Elena Davara la doble vertiente del derecho a la portabilidad, de un lado, el derecho que tiene el titular a obtener una copia de sus datos personales en un formato electrónico estructurado y de uso común y, de otro, el derecho que tiene el interesado a transmitir los datos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
Dado lo novedoso de este derecho, indica Laura Davara, es más que recomendable leer el Dictamen que ha emitido el Grupo de Trabajo del artículo 29 a este respecto y en el que se abordan, con mayor profundidad, las características, requisitos, supuestos y medidas a adoptar ante el ejercicio de un derecho de portabilidad.
¿Qué cuestiones destacarían de la figura del DPO?
En primer lugar, y aunque pueda resultar evidente, que se trata de una nueva figura, de un nuevo puesto de trabajo creado por el Reglamento Europeo. Y es que, dice Miguel Ángel Davara, es necesario no confundir al DPO con el responsable de seguridad de la LOPD (LA LEY 4633/1999). El DPO tiene muchas más responsabilidades, funciones y requisitos, dice el Profesor Davara y, en todo caso, ha de gozar de completa independencia.
Por su parte, Elena Davara, además de comentar que las funciones que fija el Reglamento Europeo son las mínimas que debe desempeñar quien ejerza el rol de DPO, hace hincapié en la necesidad de que la entidad dote de todos los recursos –humanos, económicos y funcionales- que requiera el DPO para desempeñar su función así como en la importancia de formar –y actualizar dicha formación- a quien vaya a ejercer como DPO en todas las cuestiones que resultan aplicables a su función. Para ello, Elena Davara recomienda hacer un curso específico para ejercer como DPO que cuente con todos los requisitos del Esquema de certificación de la AEPD puesto que se abordan cuestiones que van más allá del contenido del Reglamento Europeo pero que sí que tienen mucho que ver con las funciones, tareas y posibles problemas a los que se puede llegar a enfrentar el DPO durante el desarrollo de su labor. Entre estas cuestiones destaca Elena Davara: la regulación de las comunicaciones comerciales, las cuestiones de seguridad del Esquema Nacional de Seguridad o la adecuación de las redes sociales, la política de smartphones o el BYOD (bring your own device o trabajo con los medios propios de un trabajador utilizando las redes de comunicación de la empresa), entre otros.
Por último, Laura Davara hace hincapié en la posibilidad que establece el Reglamento Europeo de que el DPO sea interno o externo a la entidad que debe contratarlo. Y, en opinión de Laura Davara, en determinados casos puede resultar de interés contar con una figura "híbrida", esto es, con un "DPO doble" que cuente con una persona dentro de la entidad –que conozca las características, organigrama, procedimiento y modus operandi de la misma- que sirva como punto de contacto para trasladar y hacer cumplir dentro de la entidad todas las cuestiones, documentos, acciones y tareas que el DPO externo le traslade.
¿Es obligatorio acreditarse para ejercer como DPO?
No –responde taxativamente Miguel Ángel Davara-. Y añade "pero es muy recomendable" y, sin duda, se alza como un mecanismo de garantía y cualificación de la persona que ejerce como DPO certificado, tanto para la propia persona como para la entidad que lo contrata.
Indica Elena Davara que en la propia web de la AEPD se indica que "La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema, si bien la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a Delegado de Protección de Datos".
Por último, Laura Davara cree que es importante, tal y como se viene haciendo en los últimos años, luchar contra las entidades que ofrecen cumplimiento total de la normativa en materia de protección de datos "a coste cero" y poner todos nuestros esfuerzos en la formación en protección de datos y en el cumplimiento legal y leal de todo lo dispuesto en la normativa.
El tema de las sanciones es uno de los más problemáticos de la nueva normativa ¿cómo valoran su futura prevista regulación?
Sin duda, el tema de las sanciones es uno de los que más ha llamado la atención –y la preocupación- de responsables y encargados del tratamiento. Y es que, según Miguel Ángel Davara, el legislador europeo ha querido que, en ningún caso, sea "rentable" a las empresas vulnerar el derecho fundamental a la protección de datos de los interesados.
Elena Davara, por su parte, llama la atención sobre, a diferencia de lo dispuesto por la LOPD (LA LEY 4633/1999) del 99, la introducción de dos "escalones" en lo que a cuantificación de las sanciones se refiere. Por un lado, un primer escalón que prevé sanciones de hasta 10 millones de euros o una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior y, por otro, un segundo escalón con sanciones de hasta 20 millones de euros o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Debiéndose fijar la cuantía de la sanción, como manifiesta Elena Davara, teniendo en cuenta los criterios de graduación del Reglamento entre los que, a su parecer, destacan "la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida, el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido así como cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción".
Por su parte, Laura Davara indica que en el Proyecto de Ley española se mantiene la distinción entre infracciones leves, graves y muy graves –estableciéndose, por tanto, tres escalones y no los dos que prevé el Reglamento Europeo-. Por último, llama la atención cómo, en los últimos meses, la Agencia Española de Protección de Datos ha impuesto una sanción de 1.200.000 euros a Facebook por tres infracciones –dos de 300.000 y otra de 600.000 euros –siendo esta última cantidad la sanción más alta que prevé la LOPD (LA LEY 4633/1999) del 99-.
¿Hay alguna novedad en el consentimiento exigido por el Reglamento Europeo respecto al consentimiento exigido por la normativa anterior?
La novedad más llamativa y que, en opinión del Profesor Davara, más ha dado que hablar desde la aprobación del Reglamento Europeo es la eliminación del consentimiento tácito.
Y es que, si bien, como dice Elena Davara, el consentimiento tácito en la normativa española del 99 era únicamente válido en "determinados casos", el Reglamento Europeo en este sentido no deja lugar a dudas al exigir que el consentimiento sea dado como una "clara acción afirmativa".
Por su parte, Laura Davara, como otra de las novedades que incorpora el Reglamento Europeo respecto al consentimiento, alude a la edad mínima para que los menores presten el consentimiento para el tratamiento de sus datos. Hasta la fecha y teniendo en cuenta lo dispuesto por el Real Decreto 1720/2007 (LA LEY 13934/2007), la edad está fijada en los 14 años. Sin embargo, con el Reglamento Europeo en la mano, apunta Laura Davara, esa edad se sitúa en los 16 –permitiendo que cada Estado Miembro rebaje la edad hasta un mínimo de trece años-.
En línea con lo anterior, aluden nuestros entrevistados a lo dispuesto por el Proyecto de Ley en el que, en su opinión teniendo en cuenta las condiciones de uso de los servicios más usados por los menores en la Sociedad de la Información en la que vivimos (nos referimos a Instagram, Snapchat, algunos videojuegos y diversos juegos online), el legislador español hace uso de la habilitación otorgada por el Reglamento Europeo para reducir la edad mínima para prestar el consentimiento y fija el límite de edad para prestar el consentimiento en los trece años en el artículo 7 del Proyecto de Ley.
Por último, en relación con el tema de los menores, Elena Davara llama la atención sobre el hecho de que, el artículo 73 del Proyecto de Ley califica como infracción grave "No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)".
Avanzando en el tema del consentimiento, el Profesor Davara hace hincapié en que, en la línea de la famosa "casilla" incorporada por el Reglamento de desarrollo de la LOPD (LA LEY 4633/1999) aprobado por el Real Decreto 1720/2007 (LA LEY 13934/2007), si el consentimiento se da en el contexto de una "declaración escrita que también se refiera a otros asuntos", el Reglamento Europeo exige que se distinga de manera clara todos los asuntos, haciendo uso de un lenguaje claro y sencillo.
Los tres consideran, cuando menos llamativo, que en el Anteproyecto de LOPD –al igual que en el Reglamento de desarrollo de la LOPD (LA LEY 4633/1999)- sí que se hiciera referencia a la inclusión de una casilla y en el texto del Proyecto se haya suprimido la referencia explícita y se ha sustituido por "será preciso que conste de manera específica e inequívoca"
¿Qué es una violación de datos y qué hay que hacer para cumplir con el Reglamento en caso de que tu entidad sufra una?
Se trata de otra de las novedades que incorpora el Reglamento Europeo. Y es que, lo primero sobre lo que llama la atención el Profesor Davara es sobre la definición que se incluye en el artículo 4 del Reglamento Europeo que define violación de la seguridad de los datos personales como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos". Se trata, en palabras del Profesor Davara, de una definición amplia y que abarca los distintos supuestos e incidencias que pueden afectar a la seguridad de los datos de carácter personal.
Y es que, si bien, tal y como indica Miguel Ángel Davara, "la seguridad no existe", también opina el Profesor Davara que no cabe duda de que el legislador europeo, además de incorporar medidas y acciones que luchen y, en la medida de lo posible, prevengan las posibles brechas de seguridad, también incluye la obligación de notificar las citadas violaciones de seguridad en aras de lograr una mayor transparencia, información y control por parte del interesado sobre todo lo que afecte a sus datos de carácter personal.
Por su parte, Elena Davara indica que el deber de notificar –con todos los requisitos contemplados en el Reglamento Europeo- a la autoridad de control (en nuestro caso, la Agencia Española de Protección de datos) la violación de datos que haya experimentado una entidad ha de cumplirse siempre salvo que sea "improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas".
Laura Davara, respecto a la comunicación al interesado de que se ha producido una violación de la seguridad de los datos, llama la atención sobre un pequeño matiz de denominación. Y es que, el Reglamento Europeo denomina de manera diferente cuando se notifica al organismo garante que cuando se notifica al interesado –notificación VS comunicación-.
Por último, los tres entrevistados hacen hincapié en la importancia de conocer este nuevo deber por cuanto, por desgracia, los ciberataques a empresas están a la orden del día (Baste recordar el caso de WannaCry, Uber, Yahoo! o Dropbox, entre otros) y, a partir del 25 de mayo de 2018, toda empresa que sufra un ciberataque que afecte a los datos de carácter personal de sus clientes, proveedores, personal etc deberá cumplir con el deber de notificación a la AEPD y, en determinados supuestos, de comunicarlo al interesado.
¿Cuáles son en su opinión los diferentes efectos del RGPD en profesionales, empresas y Administraciones?
"El principal efecto es un cambio de mentalidad", afirma Miguel Ángel Davara. Continua indicando que "El Reglamento Europeo supone una evolución, un aumento, un crecimiento de la normativa existente hasta la fecha –crecimiento que supone, ante todo, un cambio de mentalidad y, por tanto de actitud". Se trata de pasar de una actitud "post" a una actitud "pre", esto es, de actuar y de poner todas las medidas, en lo que a protección de datos se refiere, antes de que aparezca un problema y no sólo de esperar a reaccionar cuando surge un problema, dice Miguel Ángel Davara.
En palabras de Elena Davara, el Reglamento Europeo viene a ayudar tanto a titulares de los datos como a responsables y encargados del tratamiento puesto que, cumpliendo con lo dispuesto en él, podrán garantizar el cumplimiento de un derecho fundamental como es el derecho a la protección de datos y estarán protegidos en todo momento.
Por su parte, Laura Davara hace hincapié en la "enorme labor documental" que supone la adecuación al Reglamento Europeo. Y es que, las entidades deben establecer protocolos, acciones y medidas así como hacer uso de aplicaciones que, desde el propio diseño de la aplicación o, al menos, por defecto, garanticen la privacidad de los usuarios. Por último, indica Laura Davara la importancia de la transparencia y de la información y, haciendo un juego de palabras, "de la transparencia en la información" y de la "información transparente" tanto en lo que se refiere al tratamiento de los datos (usos, finalidades, cesiones, transferencias etc) como ante posibles problemas que se deriven de ese uso (hackeo, crackeo, phishing etc).