La Ley Orgánica 3/2018 de Protección de Datos (LA LEY 19303/2018) y garantía de los derechos digitales fue aprobada hace un año con el 93% de los votos en el Senado, tras su aprobación por unanimidad en el Congreso de los Diputados. Era imprescindible que España adaptase el derecho español al modelo establecido por el Reglamento General de Protección de Datos (LA LEY 6637/2016) (RGPD), que ya era aplicable desde mayo de 2018, a la vez que se introducían novedades y mejoras que desarrollaban algunas de las materias contenidas en el mismo, reforzando los derechos de los ciudadanos y aportando seguridad jurídica a los sujetos obligados.
La aplicación del Reglamento y la Ley ha supuesto un reto de envergadura para la Agencia, pero al mismo tiempo una magnífica oportunidad para llevar a cabo una necesaria puesta al día tras más de veinticinco años de funcionamiento, en un período que ha experimentado cambios tan profundos. El principal instrumento para adaptarse y dar respuesta a los retos de esta normativa ha sido el Plan Estratégico de la Agencia.
El Reglamento atribuye a la Agencia las funciones de sensibilizar al público sobre el derecho a la protección de datos personales y la de promover la sensibilización de los responsables y encargados del tratamiento.
Las Memorias de los últimos años sirven como repaso exhaustivo de las actividades puestas en marcha por la Agencia para promover, tanto la concienciación de los ciudadanos y los responsables como una reorganización interna capaz de dar respuesta a los nuevos retos, por lo que en este artículo me referiré sólo a algunas de las iniciativas.
En relación con la sensibilización del público, se ha modificado la web de la Agencia actualizando la información a las previsiones del Reglamento sobre los derechos de los ciudadanos y sobre cómo actuar para garantizarlos. Estas actividades se han focalizado de forma muy relevante en relación con el tratamiento de datos de menores mediante el establecimiento de canales de información específicos.
Respecto de los responsables y encargados de cumplir el Reglamento, debe tenerse en cuenta que la aplicación de esta norma supuso un cambio muy importante en el modelo de cumplimiento de la normativa de protección de datos al pasar de un modelo reglado, que establecía los requisitos que debían observarse, a un modelo en el que cada responsable del tratamiento de datos tiene que ser actuar de forma diligente y proactiva, analizar su situación, adoptar medidas y actualizarlas cuando sea necesario. La AEPD ha querido ayudar a aquellos que tratan datos a cumplir con la normativa, especialmente a pymes y autónomos que suelen tratar datos de escaso riesgo y, además, son los que disponen de menos recursos.
Así, cinco meses después de la aprobación de la Ley, la Agencia presentó una actualización de su herramienta Facilita_RGPD, un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa. Desde el lanzamiento inicial de la herramienta en septiembre de 2017 ha tenido 800.000 accesos y casi 200.000 empresas han finalizado el test y obtenido esos documentos mínimos. Además, Facilita_RGPD ha recibido varios premios por su impulso y utilidad para el cumplimiento. Por ejemplo, el accésit concedido en la XII edición de los ‘Premios a la Calidad e Innovación en la Gestión Pública’, en su modalidad del ‘Premio Ciudadanía’, que otorga el Ministerio de Política Territorial y Función Pública a las organizaciones que se hayan distinguido por la excelencia de su rendimiento global, la innovación en la gestión de la información, el conocimiento y las tecnologías, la calidad e impacto de sus iniciativas y el desarrollo de productos o servicios innovadores en el ámbito de la AGE. Asimismo, el pasado mes de octubre, la 46ª Conferencia Internacional de Autoridades de Protección de Datos y de Privacidad, celebrada en Tirana, concedió a la Agencia Española por dicha herramienta uno de los Premios Globales de Privacidad y Protección de Datos 2019, concretamente en la modalidad de accountability, así como el Premio Global que se otorga al conjunto de las categorías. Por otro lado, la Agencia está ya trabajando en una nueva versión de esta herramienta, que se presentará previsiblemente en el primer trimestre de 2020. Se llamará Facilita Emprende y, tal y como su nombre indica, tiene como objetivo servir de ayuda a emprendedores y start ups.
Para aquellos responsables que no puedan utilizar Facilita_RGPD por no tratar exclusivamente datos de bajo riesgo, la Agencia también ha presentado en el último año la herramienta Gestiona_EIPD, un sistema con el que ayuda a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquellos que impliquen datos de salud o tratamientos masivos. También con la finalidad de ayudar a aquellos que tratan datos a cumplir con la normativa y ante las dudas que suscitaba la aplicación del Reglamento llevó al lanzamiento del Canal INFORMA_RGPD, que tiene como finalidad prestar soporte en aquellas cuestiones que puedan derivarse de la aplicación tanto del RGPD como de la Ley. Desde su puesta en marcha, la Agencia ha atendido casi 5.500 consultas, que deben ser planteadas por los responsables o encargados de tratamiento, o los delegados de protección de datos.
Respecto de la novedosa e importante figura del delegado de protección de datos (DPD), cuya función es de asesoramiento y supervisión a los responsables y encargados que son los obligados de cumplir la normativa, la Ley detalla con ejemplos supuestos en los que es obligatoria su designación. Y, aclara que no será responsable de los incumplimientos en el tratamiento de los datos; responsabilidad que recaerá en la entidad en que presten sus servicios.
El RGPD promueve soluciones amistosas para garantizar los derechos de los ciudadanos, como indica el Considerando 131 al señalar que “la autoridad de control que reciba una reclamación o que detecte situaciones que conlleven posibles infracciones del presente Reglamento o reciba de otra manera información sobre estas debe tratar de llegar a un arreglo amistoso con el responsable del tratamiento y, si no prospera, ejercer todos sus poderes.” En este aspecto el DPD como punto de contacto para la Agencia y para los ciudadanos desempeña un papel especialmente relevante.
En este sentido, la Ley introdujo importantes novedades como la resolución amistosa de reclamaciones, que prevé la intervención de los delegados de protección de datos a los que los interesados pueden remitir sus reclamaciones. Se han notificado casi 50.000 Delegados de Protección de Datos (casi 43.000 del sector privado y más de 6.000 del sector público). Esta recepción de las reclamaciones de los ciudadanos se complementa con la posibilidad de que la propia Agencia pueda remitir las reclamaciones a los responsables o a los delegados de protección de datos para su resolución rápida. En todo caso, la Agencia mantiene la potestad de supervisión continua, por ejemplo, si una entidad no cumple con el principio de responsabilidad activa o si incurre en errores de manera continuada.
Mencionaba al comenzar el artículo que la Ley había garantizado mayores niveles de seguridad jurídica. En este sentido, el Título IV de la Ley incorpora diversas disposiciones aplicables a tratamientos concretos. Así, encontramos la presunción de prevalencia del interés legítimo para el tratamiento de los datos sin consentimiento en los sistemas de información crediticia, conocidos como ficheros de morosidad, en los que se reduce de 6 a 5 años el periodo máximo de inclusión de las deudas y se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos ficheros. De este modo se limitan los efectos adversos, que pueden generar situaciones de discriminación, especialmente en el acceso a servicios financieros o de telecomunicaciones, en casos de inclusión ilícita o de inclusión por cuantías ínfimas que pueden ser solo de céntimos.
Con fundamento en una presunción de interés legítimo prevalente de los responsables del tratamiento, la Ley facilita el tratamiento de datos de contacto de personas jurídicas, empresarios individuales y profesionales liberales; así como los tratamientos de datos en operaciones societarias.
Asimismo, reconoce que el tratamiento de datos de la Lista Robinson tiene su fundamento en una función de interés público y actualiza su regulación como fichero de exclusión en el que pueden registrarse voluntariamente quienes deseen evitar la publicidad no deseada a través de los canales postal, telefónico y electrónico y la regulación de tratamientos con fines de videovigilancia.
Adicionalmente, por motivos de interés público, se facilitan los medios para que las empresas puedan acreditar diligencia ante posibles casos de responsabilidad penal, regulando los sistemas de denuncias internas, permitiendo incluso las anónimas.
Otra de las principales aportaciones de la Ley es la novedosa regulación del tratamiento de datos en el ámbito de la investigación en salud, flexibilizando las finalidades para las que se puede utilizar la información sanitaria, el acceso a la misma y su reutilización, con garantías adecuadas, dando respuesta a las inquietudes de diversos colectivos.
El Reglamento prevé también la función de hacer un seguimiento particular del desarrollo de las tecnologías de la información y la comunicación. Para ello, se ha creado una unidad específica denominada Unidad de Estudios y Evaluación Tecnológica (UEET). Esta unidad, diferenciada de la Subdirección General de Inspección de Datos, ha incorporado también, entre sus funciones, el análisis inicial de las brechas de seguridad de forma que su notificación a la Agencia no tenga por qué implicar, en principio, la iniciación de un procedimiento por infracción de la ley.
La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) refuerza, de manera particularmente destacada, las obligaciones del sistema educativo para garantizar la plena inserción del alumnado en la sociedad digital y en el aprendizaje de un uso de los medios digitales que sea seguro y adecuado para garantizar su privacidad, incluyendo una formación específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. Para facilitar esa tarea, desde la Agencia se ha impulsado un grupo de trabajo que ha recopilado materiales sobre educación digital facilitados por distintos actores, públicos y privados, y que está catalogando el Ministerio de Educación a través del INTEF. Estos materiales se van a poner este mes de diciembre tanto a disposición de las Administraciones educativas para facilitarles la elaboración del contenido curricular como del mundo editorial y de los miembros de la comunidad educativa: profesores y padres.
En relación con las Administraciones Públicas, como medida de transparencia, la Ley exige que estas hagan públicos los registros de actividades de tratamiento, que sustituyen a la publicidad de las antiguas disposiciones de creación de los ficheros. De este modo los ciudadanos pueden conocer quiénes tratan sus datos, con qué finalidades y la base jurídica que lo legitima. Asimismo, actualiza la relación entre el derecho a la protección de datos y los de transparencia y acceso a la información pública.
En el caso de anuncios y publicaciones de actos administrativos a través de los diarios oficiales, limita el número de datos identificativos del DNI y otros documentos oficiales que pueden publicarse, prohibiendo la publicación del nombre y apellidos de manera conjunta con el número completo de dichos documentos. De este modo previene riesgos para víctimas de violencia de género, a cuyos derechos me referiré con posterioridad de forma detallada, y reduce las posibilidades de suplantación de la identidad.
Es conocido que la Agencia, además de realizar una enorme divulgación en cuanto a las obligaciones de los responsables y de prestarles ayuda y formación en diferentes ámbitos, también ha puesto el foco en la protección de los derechos y, especialmente, en aquellos colectivos que pueden resultar más vulnerables en el entorno digital. En los últimos meses hemos presentado el Canal prioritario para solicitar la retirada de contenidos sexuales o violentos, que pretende ofrecer una respuesta rápida en situaciones excepcionalmente delicadas, en particular, en caso de víctimas de violencia de género, abuso o agresión sexual o acoso, menores de edad, personas discriminadas por su orientación sexual o raza, personas con discapacidad o enfermedad grave o en riesgo de exclusión social, etc. Este Canal prioritario es una vía en la que las reclamaciones recibidas son analizadas de forma prioritaria, permitiendo que la Agencia, como autoridad independiente, pueda adoptar, si es preciso, medidas urgentes que limiten la difusión y el acceso de los datos personales. Estas medidas cautelares, previstas en la Ley, tienen como finalidad evitar la continuidad del tratamiento ilegítimo de los datos personales en los casos particularmente graves antes mencionados si bien, al tiempo, la Agencia valora la apertura de un procedimiento sancionador contra el o los usuarios responsables de haber realizado el tratamiento ilegítimo de datos correspondiente.
Por otra parte, la Agencia ha desarrollado un amplio abanico de acciones, hasta un total de 100, que se enmarcan en el Marco de Actuación de Responsabilidad Social de la AEPD, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, y alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible. Este Marco estructura el compromiso de este organismo en cuatro grandes ejes, tanto internos como externos: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. Un 70% de las 100 acciones responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas.
No puedo terminar este artículo sin hacer una referencia expresa a la innovación y el emprendimiento. La protección de datos es un elemento imprescindible para crear productos y servicios compatibles con los derechos de las personas. En este sentido, uno de los focos más importantes debe estar puesto en la prevención, en ser capaces de transmitir que sólo garantizando los derechos se construyen servicios sostenibles y perdurables.