Nuria Méler. Cualquiera de las acciones que la Agencia Española de Protección de Datos (AEPD) acomete cuando actúa como sujeto obligado por la normativa en materia de protección de datos, se convierte en un referente para los expertos en la materia. Sobre todo cuando se trata de obligaciones nuevas nacidas con el Reglamento General de Protección de Datos (LA LEY 6637/2016) (RGPD) o de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (LOPDGDD (LA LEY 19303/2018)). Así ocurrió, por ejemplo, cuando la AEPD publicó en su sede electrónica su Registro de Actividades de Tratamiento. Era una de las obligaciones nuevas y era especialmente relevante porque se pasaba el concepto “fichero” y de la obligación de su inscripción en el correspondiente Registro, al nuevo escenario de “tratamientos” cuyo registro de actividades debe hacerse público con las características y en los casos del art. 30 RGPD (LA LEY 6637/2016).
Y es que la AEPD no solo es la autoridad administrativa encargada de supervisar la aplicación de dicha normativa, velando por los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitando la libre circulación de datos personales en la Unión, sino que es además responsable de los tratamientos que gestiona. Por ello, conforme al art. 24 RGPD (LA LEY 6637/2016), debe cumplir con las obligaciones generales del responsable del tratamiento y del encargado del tratamiento, aplicando las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el citado RGPD. Entre las medidas mencionadas se incluye la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
Además, el artículo 11 del RD 3/2010 (LA LEY 630/2010), que regula el Esquema Nacional de Seguridad, exige también que la AEPD cuente con una política de seguridad aplicable a los medios electrónicos utilizados.
Así, la AEPD viene tratando ambas políticas, privacidad y seguridad, de manera conjunta. Y con motivo de la publicación de la LOPDGDD (LA LEY 19303/2018), ha decidido modificar la versión anterior de la misma (aprobada por resolución de 10 de mayo de 2018), ofreciéndola en un nuevo y único texto, para mayor seguridad jurídica y comprensión por los interesados, aprobada por resolución de 19 de julio de 2019 y que puede ser consultada en la sede electrónica de la AEPD. El documento se denomina política de protección de datos y de seguridad de la información y la propia AEPD utiliza el acrónimo PPDSI para mencionarlo.
Nos hubiese gustado hacer una comparativa de los textos de mayo de 2018 y julio de 2019, pero el primero ya no está disponible, por lo que no nos ha sido posible ver cuáles son los cambios del nuevo texto. En todo caso, lo relevante es cómo la AEPD incorpora en su política de protección de datos y seguridad todas las novedades del nuevo marco normativo, destacando los aspectos que mencionamos a continuación.
En primer lugar, como ya se ha dicho, la inclusión en un documento único ambas políticas de privacidad y seguridad, dada la íntima relación existente entre las obligaciones relativas a los tratamientos de los que se ocupa la AEPD y los medios electrónicos en los que dichos tratamientos se sustentan.
En segundo lugar, y atendiendo en especial a la normativa sobre protección de datos, se observa cómo la AEPD incluye de manera pormenorizada todas las obligaciones sobre los principios de los tratamientos, acordes a RGPD y LOPDD, indicando de manera expresa novedades del cambio de paradigma que supuso el RGPD tales como la responsabilidad proactiva, los principios de privacidad por defecto o desde el diseño (art. 4 PPDSI), registro de actividades (art. 5 PPDSI), o los análisis de riesgos, evaluaciones de impacto y gestión de riesgos de seguridad de la información (art. 6 PPDSI).
En tercer lugar, y en relación a los análisis de riesgos mencionados en el párrafo precedente, llama la atención que la AEPD se autoimpone una revisión periódica cada 2 años y, en cualquier caso, siempre que exista un cambio significativo en los sistemas de información y/o en los tratamientos de datos personales. A este respecto, la AEPD incide en su política en la necesidad de que las evaluaciones de impacto incluyan análisis de los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleve a cabo la AEPD, así como los sistemas de información que sirven de soporte para dichas actividades de tratamiento. Algo en lo que la AEPD viene insistiendo, como puede apreciarse en sus Guías para Evaluaciones de Impacto y para Análisis de Riesgos, respectivamente. Destaca además que ese plazo de 2 años coincide con el plazo mínimo que recoge el art. 8 PPDSI para la auditoría “encaminada a la verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y sistemas de información”.
Además, el documento de la AEPD incide en las necesidades formativas y de concienciación entre sus empleados, siendo su DPO el responsable de supervisar las acciones que se acometan en ese sentido (art. 19 PPDSI).
Por otro lado, el art. 21 PPDSI menciona la necesidad de que esta política se encuentre alineada con la misión y objetivos establecidos en otras políticas de la AEPD a las que también puede ser interesante echar un vistazo puesto que son elementos de “Compliance” o cumplimiento normativo preventivo, que se van instalando en todas las organizaciones, tales como su Código Ético, su Plan Estratégico, su Plan de Responsabilidad Social Corporativa o su Política de Calidad.
Por último, conviene no confundir esta política de protección de datos y seguridad de la información de la AEPD, que es el documento base medianteel cual se define el marco de referencia que permite la gestión de la protección de datos y de la seguridad de la información en el contexto de las actividades de tratamiento con datos de carácter personal y los sistemas de información de toda la actividad de la AEPD, con la Política de privacidad y Aviso legal de su página web, donde se recoge la información relativa exclusivamente a la actividad de los usuarios que naveguen por la misma.