Por Juan Emilio Ballesteros
26/05/2018
El 25 de mayo ha entrado en vigor el Reglamento General de Protección de Datos (RGPD), que es de obligado cumplimiento en toda la Unión Europea, donde por primera vez se establecen normas comunes sobre el derecho de las personas a saber quién, cómo y por qué se están utilizando o almacenando sus datos. Cunde la preocupación entre empresas y administraciones ante las repercusiones que se puedan derivar de la nueva normativa, que prevé sanciones de hasta 20 millones de euros. La Agencia Española de Protección de Datos (AEPD) será flexible en una primera fase de adaptación y actuará con sentido común, pero dentro del marco normativo.
El nuevo RGPD supone una actualización de la normativa vigente desde 1995, que ha quedado obsoleta. ¿Cómo ha cambiado la ley?
El RGPD mantiene, en general, los fundamentos de protección datos que ya establecía la LOPD y su Reglamento de desarrollo, aunque introduce novedades. Una de las más significativas quizá sea el cambio de mentalidad que implica el principio de responsabilidad activa para aquellos que tratan datos personales. Este concepto supone que las organizaciones deben adoptar las medidas necesarias para garantizar y estar en condiciones de demostrar que cumplen con lo establecido en el Reglamento.
Se trata de un planteamiento proactivo en los tratamientos de datos personales con el objetivo de que los riesgos y posibles errores se evalúen por adelantado y se mitiguen antes de que puedan tener lugar, una tarea que puede llevarse a cabo a través de las evaluaciones de impacto en la protección de datos (EIPD). Desde un punto de vista práctico, este nuevo enfoque supone evaluar y mitigar riesgos, no solo de cara al cumplimiento normativo, sino también para preservar los derechos y libertades de las personas.
La normativa afecta tanto al ámbito privado como público. En las administraciones públicas hasta ahora se ha llevado a cabo una labor de formación. ¿Se llegará tiempo para el cambio? ¿Qué dificultades entraña?
La Agencia está haciendo un notable esfuerzo de difusión para que así sea. Desde la entrada en vigor del RGPD, en mayo de 2016, hemos ido incrementando exponencialmente las acciones formativas para dar a conocer las implicaciones del Reglamento en la actividad del tejido empresarial y de las diferentes administraciones. Entendemos que este proceso de adaptación no es sencillo, por lo que, a lo largo de estos dos años también hemos elaborado varias guías y recursos para facilitar el camino al nuevo contexto normativo.
Asimismo, en esta recta final, hemos intensificado nuestra presencia en prácticamente todas las Comunidades Autónomas con la celebración de jornadas informativas en las que hemos analizado el impacto del Reglamento y las herramientas creadas por la AEPD en los institutos autonómicos de Administración Pública y las confederaciones de empresarios. Para obtener el mayor eco posible, hemos trabajado asimismo con la Federación Española de Municipios y Provincias (FEMP) y estamos trabajando con el Consejo General de los Colegios Profesionales de Secretarios, Interventores y Tesoreros de Administración local (COSITAL) con el objetivo de ofrecer formación que facilite la adaptación de las entidades locales al Reglamento, así como con el Instituto Nacional de Administración Pública (INAP), celebrando sesiones informativas para explicar los cambios normativos y su alcance.
Solo el 10% de las grandes empresas españolas están preparadas para asumir la nueva regulación frente a un 20% en la Unión Europea. ¿Qué medidas deben aplicar para ajustarse a la nueva realidad?
Uno de los primeros ajustes que requiere el RGPD es el cambio de mentalidad de la tradicional visión reactiva que caracteriza a la Directiva 95/46/CE a un planteamiento preventivo para evitar que haya que actuar una vez que el daño a los ciudadanos ya se ha producido. Este cambio de perspectiva debe ir acompañado del cumplimiento de una serie de obligaciones recogidas en el Reglamento, pero para hacer más sencilla esta tarea, la Agencia ha desarrollado herramientas como Facilita_RGPD, diseñada para casos en que se efectúen tratamientos de datos de bajo riesgo.
Las organizaciones deben, en primer término, comprobar si pueden utilizar esta herramienta para ayudarles a cumplir. Si no pudieran usarla porque no traten datos solo de escaso riesgo (o de manera incidental con un riesgo más elevado), deben realizar un análisis de sus tratamientos para determinar qué medidas han de aplicar y cómo hacerlo y, a la vista de los resultados, llevar a cabo, en su caso, una evaluación de impacto en la protección de datos. También deben tener en cuenta otras medidas de responsabilidad activa como la creación y mantenimiento de un registro de operaciones de tratamiento; la notificación de violaciones de seguridad de los datos; la protección de datos desde el diseño o por defecto, o la adopción de las medidas técnicas y organizativas oportunas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados.
La Agencia ha simplificado las principales medidas en una hoja de ruta tanto para el sector público como para el sector privado, que contiene los pasos a seguir para adaptarse al nuevo Reglamento.
Si esto ocurre con las grandes compañías, con las pequeñas y medianas empresas que constituyen la mayor parte del tejido empresarial es mucho peor. ¿Cómo facilita la AEPD la transición?
En la Agencia tomamos como referencia el tipo de ficheros inscritos en el Registro General de Ficheros y llegamos a la conclusión de que más del 70% de ellos se encuentran dentro de lo que se considera tratamientos de escaso riesgo. Por ello, dimos prioridad al diseño y desarrollo de Facilita_RGPD, que permite elaborar en pocos minutos una hoja de ruta para ayudar a la adecuación de los tratamientos de datos más frecuentes, como pueden ser los de clientes, proveedores, nóminas, personal, recursos humanos y videovigilancia, al modelo de negocio concreto de cada pyme.
Esta herramienta, que ya ha sido utilizada en más de 30.000 ocasiones, contempla una serie de formularios que permiten saber, en primer lugar, si los tratamientos de datos que realiza una organización son de alto riesgo, los cuales precisarían otro tipo de adecuación. Asimismo, ofrece al usuario los formularios relacionados con los tratamientos de datos que, en última instancia, permiten descargar un documento editable que contiene las pautas necesarias para facilitar la adecuación al RGPD.
Falta de recursos para gestionar las nuevas tecnologías, conflicto de prioridades, desconocimiento y carencia de presupuesto son los obstáculos que las empresas ponen sobre la mesa. ¿Se trata de barreras insalvables? ¿Cuál sería la estrategia idónea que deberían adoptar?
Las novedades que contempla el Reglamento no son insalvables, son medidas que tienen todo el sentido dentro de un contexto de responsabilidad proactiva. Creo que la estrategia idónea pasa, en primer lugar, por poseer una información completa y fiable sobre cuáles son estas novedades. Y en este sentido, la Agencia Española ha dado un paso al frente con la elaboración de diversos materiales para que las organizaciones cuenten con información que aglutine estos dos aspectos fundamentales.
El Reglamento propugna una gestión responsable de los datos, por lo que, una vez que ya se cuenta con información completa y fiable, es importante tener claros aspectos como qué datos estás usando, para qué, de dónde proceden, con qué fines los utilizas y, a partir de ese conocimiento, aplicar las medidas que el Reglamento prevé. Pero insisto, lo fundamental es ser consciente de los datos que se manejan. En todo caso, si las organizaciones consideran que no están en condiciones de llevar a cabo estas medidas por sí mismos, siempre cabe buscar el consejo de un profesional especializado.
Un 80% de las compañías debe afrontar la pérdida de datos. ¿Será una dificultad más para adaptarse a la normativa?
La actual normativa prevé la aplicación de una serie de medidas de seguridad precisamente para evitar la pérdida de datos. En el futuro, la nueva normativa también prevé un conjunto de medidas que deben adaptarse a aspectos como el tipo de tratamiento, los riesgos o los costes. Como novedad, el Reglamento recoge que cuando se tenga lugar una quiebra de seguridad hay que notificar el incidente.
No considero que se trate de una dificultad como tal. Las organizaciones tienen previstos protocolos más o menos desarrollados ante incidentes de seguridad. Lo que hay que prever es que, si estos se producen, hay que informar a las autoridades y, en su caso, a los interesados.
Las empresas que no cumplan se enfrentan a multas que pueden ascender hasta el 4% de la facturación o 20 millones de euros. Para supervisar, el Reglamento obligará a nombrar un Delegado de Protección de Datos. ¿En qué consiste? ¿Cómo actúa y qué competencias tiene? ¿Tendrán la garantía o certificación de la Agencia?
El Delegado de Protección de Datos es una figura obligatoria para organizaciones que traten datos a gran escala o datos sensibles así como para organismos públicos, por lo que ya se habla de una nueva profesión en sí misma. Entre sus funciones se encuentran las de informar al responsable, encargado y a los empleados que se ocupen del tratamiento de las obligaciones recogidas en el RGPD; supervisar el cumplimiento de lo dispuesto en él y en otras disposiciones de protección de datos de la UE o de los Estados miembros; ofrecer asesoramiento acerca de la evaluación de impacto en la protección de datos, y cooperar con la autoridad de control y actuar como punto de contacto de ésta para cuestiones relativas al tratamiento.
En respuesta a la necesidad de que la figura del DPD esté rodeada de la necesaria seguridad y fiabilidad tanto para las personas que van a ejercer esta profesión como a las empresas y entidades que van a incorporarlas a sus organizaciones, la Agencia ha promovido su Esquema de certificación de DPD. Hay que precisar que esta certificación no es obligatoria para poder ejercer como DPD, aunque creemos que el Esquema ofrece un marco de garantía para acreditar la cualificación y capacidad profesional de los Delegados, a diferencia de quienes ofrecen servicios de dudosa fiabilidad para cumplir con la protección de datos a coste cero mediantes fondos de formación de la Fundación Tripartita.
¿Se podrá agrupar la labor de los DPD tanto en las empresas privadas, por ejemplo en los colegios profesionales, como en la Administración, por ejemplo en Educación y Sanidad?
Estamos trabajando con los colegios profesionales y con CEPYME para promover fórmulas flexibles y de economías de escala para que los colegios profesionales puedan disponer de DPD. La idea es que, por ejemplo, al igual que estas corporaciones ofrecen primas de seguro colectivas, los colegiados puedan partir de un análisis de riesgos conjunto, mucho más práctico que si cada uno lo encarga por separado, sin perjuicio de que luego adapten ese análisis a las peculiaridades del tratamiento que realizan. Esto es importante para evitar los asesoramientos a coste cero que están empezando a anunciarse en algunos lugares.
¿Ofrece suficientes garantías jurídicas el régimen sancionador?
El régimen sancionador en materia de protección de datos ofrece todas las garantías de un Estado de Derecho: hay intervención de las partes y, en último extremo, existe un control judicial de nuestras decisiones, que pueden ser revisadas. Es cierto que este régimen sancionador permite la imposición de unas sanciones económicas más elevadas de las que tenemos ahora, pero también lo es que amplía la gama de instrumentos de corrección, como pueden ser advertencias, apercibimientos u órdenes para realizar los tratamientos de una manera determinada.
Usted se ha mostrado partidaria de la prevención y la mediación. ¿En qué sentido?
Para promover la responsabilidad activa y garantizar la resolución amistosa de los conflictos y de las reclamaciones de los clientes se ha introducido en el Proyecto de Ley Orgánica de Protección de Datos la posibilidad de que si la empresa dispone de un DPD, porque legalmente le corresponda o porque así lo haya decidido, sea este el que en el plazo de un mes pueda resolver esa reclamación. Ello no limita el derecho del ciudadano a acudir a la Agencia, pero sí esperamos que este procedimiento permita resolver el conflicto por una vía más amigable y mucho más ágil.
Según el CIS, el 76% de los ciudadanos se muestra preocupado por la privacidad y el tratamiento de sus datos. El consentimiento de los ciudadanos tendrá que ser explícito, no tácito. ¿Cómo va a afectar este requisito a Internet, por ejemplo en el e-commerce? ¿Se va a acabar con el mailing no deseado? ¿Tendremos derecho al olvido o la portabilidad? ¿No recaerá demasiada responsabilidad sobre los usuarios?
El Reglamento afecta al modo en el que hay que prestar el consentimiento, que deberá ser inequívoco e implicará una acción positiva por nuestra parte. En relación con el correo no deseado, el hecho no se deriva de que el consentimiento sea tácito o inequívoco, sino de que no se ha pedido un consentimiento para dicho envío o no se ha utilizado una base jurídica adecuada. El Reglamento establece que el consentimiento tiene que ser expresado, no puede derivarse de una inacción; lo que no establece es cuándo hay que utilizar el consentimiento como base para tratar los datos. Esa es una decisión que corresponde a los responsables, salvo que una norma diga que hay que utilizar el consentimiento.
Con respecto al derecho al olvido, es algo que ya teníamos, pues no deja de ser una manifestación en el mundo de internet de los derechos de oposición y supresión. Y sobre el derecho a la portabilidad, lo reconoce el Reglamento, que recoge expresamente que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado, por ejemplo, una red social, podrá solicitar la recuperación y traslado de esos datos a otra plataforma.
El RGPD no va a depositar sobre los usuarios una mayor responsabilidad, sino que refuerza el control en relación con su información personal. Es cierto que en el ejercicio de esas mayores posibilidades de control los usuarios deben ser conscientes de que las decisiones que toman afectan a sus datos.
Al calor de la nueva normativa se van a multiplicar los asesores, bufetes de abogados y consultores. ¿Un terreno abonado para el fraude?
Es evidente que un cambio de normativa puede generar incertidumbre en las empresas, situación que se presta a que puedan darse este tipo de prácticas. En la experiencia de la Agencia, nos hemos encontrado con profesionales de la asesoría que desarrollan perfectamente su labor, de manera muy útil y necesaria, y que constituyen un valioso activo para ayudar a las organizaciones a cumplir con la normativa. Pero también nos hemos encontrado con organizaciones que prestan estos servicios con dudosa ética profesional, desarrollando prácticas en algunos casos abusivas, como la utilización fraudulenta de fondos de formación ofreciendo al empresario un asesoramiento ‘a coste cero’.
Desde la AEPD aconsejamos que, cuando una empresa quiera contratar los servicios de un consultor, sea especialmente cuidadoso a la hora de elegir y se informe bien.
Además, estamos trabajando activamente con profesionales y asociaciones de privacidad, y nuestros materiales y herramientas también contribuyen a que las empresas puedan obtener información directamente y contrastar lo que les dice un asesor si así lo desean.
¿Cómo va a afectar el Reglamento a las aplicaciones de mensajería instantánea o a las redes sociales, como Facebook, Instagram o WhatsApp?
Va a afectarles como a cualquier organización que trata datos personales. Van a estar sujetas a la supervisión de las autoridades de protección de datos y se les va a aplicar los mismos criterios que a cualquier otra, entre los que se encuentra el principio de responsabilidad proactiva y la obligación de aplicar una serie de medidas de cumplimiento, como pueden ser las evaluaciones de impacto o el establecimiento de medidas de seguridad.
En la medida en que es una norma europea y que prevé la cooperación entre las autoridades nacionales de tratamientos que tienen un carácter transfronterizo, el Reglamento va a asegurar un seguimiento más armónico, coordinado y consistente de la actividad de estos grandes prestadores de servicios de internet más por parte de las autoridades. Esto es debido a que en todos los casos tendrá que haber una actuación conjunta de todas las autoridades. La Agencia Española ha sido muy activa en el seguimiento y declaración, en su caso, de infracciones a las grandes empresas proveedoras de servicios de internet o redes sociales y lo seguirá haciendo en el futuro. Con el nuevo Reglamento las medidas para garantizar el cumplimiento se ven reforzadas.
La Ley Orgánica que se tramita en el Parlamento, y su posterior desarrollo en un Reglamento, ¿supondrá modificaciones en el Estatuto de la Agencia?
Sin duda. No tanto la propia Ley, que contiene algunas novedades como. por ejemplo, el cambio de composición del Consejo Consultivo de la AEPD o la ampliación del mandato del que se va a pasar a denominar el presidente de la Agencia. La introducción del principio de responsabilidad proactiva en el Reglamento y el hecho de que la supervisión de las autoridades va ser fundamentalmente transfronteriza va a suponer una reorganización de las estructuras internas de la Agencia. Hay tareas que con la actual normativa poseen un gran peso –como la notificación y registro de los ficheros de datos– y que con el Reglamento van a dejar de tenerlo. Sin embargo, aparecerán otras.