miércoles, 6 de junio de 2018

¡Cuidadín con maquillar el cumplimiento!

Recientemente la Agencia Española de Protección de Datos (AEPD) ha celebrado su 10ª Sesión Anual Abierta, evento sobre que ya informé en el sitio Protección de Datos (si quieres acceder al texto, clickea AQUÍ), en el que se ha efectuado un repaso por las implicaciones prácticas del Reglamento General (RGPD) y las iniciativas de adaptación al mismo, haciendo especial hincapié en herramientas como Facilita_RGPD -para empresas que traten datos de bajo riesgo-, que ya ha recibido 180.000 visitas, y las guías de análisis de riesgos y evaluación de impacto en la protección de datos. En la Sesión también se ha analizado el gran volumen de comunicaciones enviadas a los ciudadanos en los días previos al 25 de mayo que, con carácter general, solicitan renovar el consentimiento con el argumento de que es necesario para cumplir con el Reglamento. La Agencia recuerda que el RGPD no obliga, en principio, a renovar el consentimiento que se prestó previamente si éste cumple con los requisitos del Reglamento, como tampoco es necesario obtener dicho consentimiento si la base jurídica para tratar los datos es una relación contractual previa.

Asimismo, la Agencia ha remarcado que la prestación de estos consentimientos no es necesaria salvo en los casos en los que el tratamiento anterior se justificara en un consentimiento tácito, o que al amparo de esa renovación del consentimiento se pretenda obtenerlo para nuevas finalidades. Durante la apertura de la 10ª Sesión Anual, la directora de la AEPD se refirió al amplio número de empresas y profesionales que en estos días están recibiendo ofertas de asesoramiento para la adaptación al RGPD. La Agencia ha alertado que en ocasiones únicamente se facilita documentación que crea una apariencia de cumplimiento sin incluir las actuaciones necesarias para verificar el mismo; en otras, se incluye la designación como Delegados de Protección de Datos (DPD) a quienes les han asesorado sin que sea obligatoria ni necesaria esta figura para dichas empresas, e incluso se genera una apariencia de estar actuando en colaboración con la autoridad de protección de datos sin que ello sea cierto.

En este sentido, la Agencia ha subrayado que en el caso de que la Agencia tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas. Estas actuaciones, se ha añadido durante la Sesión, pueden verse reforzadas con la inclusión en el Proyecto de Ley Orgánica de Protección de Datos en tramitación, de una enmienda que considera estas conductas como prácticas agresivas a los efectos de la Ley de Competencia Desleal. La directora de la Agencia también ha hecho referencia a los DPD y al volumen de notificaciones realizadas a la AEPD para comunicar la designación de esta figura. Esta cifra actualmente supera las 8.000 notificaciones. La Agencia también ha analizado en una de sus ponencias el registro de actividades de tratamiento, una de las primeras medidas de cumplimiento que debe adoptarse y cuya elaboración puede ser considerada un primer paso de gran relevancia para acometer la adaptación a los requisitos del RGPD, ya que supone revisar los tratamientos que se están realizando dando lugar a una actualización de los mismos.

En el caso de pymes que traten datos de riesgo bajo, la AEPD recuerda que el registro de actividades de tratamiento es uno de los documentos que ofrece la herramienta FACILITA_RGPD. Para responsables o encargados con un nivel de riesgo más elevado se podría utilizar el registro de ficheros de datos personales elaborado durante la vigencia de la LOPD como punto de partida para la elaboración del citado registro. Por su parte, la AEPD ha publicado su propio Registro de actividades de tratamiento, facilitando criterios como los plazos de conservación, o las categorías de datos y de destinatarios. Por otra parte, la 10ª Sesión Anual Abierta ha abordado los códigos de conducta, un mecanismo de autorregulación por el que las entidades se dotan de normas para regularse a sí mismas a partir de las estipulaciones del RGPD, lo que proporciona un valor añadido al sector de actividad correspondiente. La Agencia no sólo debe impulsar su elaboración, sino que se muestra convencida de que se trata de un instrumento que va a permitir un correcto cumplimiento del RGPD y que proporciona seguridad jurídica a las entidades adheridas.

El régimen sancionador ha sido otro de los aspectos que han sido objeto de análisis de la Sesión Anual Abierta. En este sentido, la Agencia ha incidido en que existen medidas, como la advertencia o un apercibimiento dotado de una mayor flexibilidad, que pueden adoptarse en lugar de una sanción económica cuando, pese a producirse un error, se aprecie y documente una adecuada diligencia en el cumplimiento del RGPD. Asimismo, ha señalado que las autoridades de control también pueden, en vez de imponer una multa, o además de imponerla, ordenar medidas como la limitación o la suspensión del tratamiento, que impedirían a un responsable continuar llevando a cabo esos tratamientos que constituyen un riesgo para los derechos y libertades de los ciudadanos, todo ello sin menoscabo de la facultad de ejercer la potestad sancionadora cuando el caso así lo requiera (Fuente de la información: AEPD. Fuente de la imagen: pixabay).