jueves, 23 de mayo de 2019

Cambio sustancial en la protección de datos

Fuente de la imagen: infografía Memoria AEPD 2018.
Parte de la tarde del miércoles la pasé hojeando la Memoria 2018 de la Agencia Española de Protección de Datos (AEPD), de la que ya informé y linkeé en el sitio "Protección de Datos". Recoge el documento las actividades realizadas por la AEPD en el año 2018, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, así como un análisis de los retos presentes y futuros. La publicación de esta Memoria coincide con el primer año de aplicación en España del Reglamento General de Protección de Datos (RGPD), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones.

En relación a las reclamaciones recibidas a la AEPD durante 2018, se incrementaron casi un 33% (32.8%), pasando de 10.651 a 14.146. Actualizando estas cifras al primer año de aplicación del RGPD, (desde el 25 de mayo de 2018 al 15 de mayo de 2019) se han presentado ante la AEPD 14.397 reclamaciones. En cuanto a la temática recogida en la Memoria 2018, las reclamaciones corresponden a las siguientes materias: inserción indebida en ficheros de morosidad (16%), videovigilancia (11%), servicios de Internet (10%), reclamación de deudas (10%), Administración pública (7%), sanidad (7%), publicidad -excepto spam- (5%), comercios, transporte y hostelería (5%), entidades financieras/acreedoras (4%) y publicidad a través de e-mail o teléfono móvil (4%).

En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), informa la AEPD del registro de 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019. Este mecanismo, contemplado en el Reglamento para promover la resolución amistosa de las reclamaciones y que no existía con anterioridad, ha generado que dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelvan de forma satisfactoria para el particular. Además, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Por otro lado, el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa[1].

En cuanto a los casos con otras autoridades europeas (sistema coordinado), según la AEPD, de los casi 400 casos analizados, en 2018 la Agencia se ha personado como interesada en 237 de ellos, siendo autoridad líder en 11. Desde el 25 de mayo de 2018 al 15 de mayo de 2019 la Agencia ha analizado 1.026 casos procedentes de otras autoridades europeas, actuando como interesada en 539 de ellos y siendo autoridad líder en 18. En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se han resuelto 1.784 peticiones en la Agencia. De ellas, 191 corresponden a reclamaciones por derecho al olvido. La proporción estimadas/desestimadas de estas 191 tutelas/reclamaciones es prácticamente de un 50%. En cuanto a las entidades reclamadas, Google y sus servicios aglutinan 125 de las 191 (65%), 18 a medios de comunicación (9%), 14 a otros buscadores de Internet (7%), 13 corresponden a Administraciones Públicas y boletines (6%), cifras que se completan con un apartado de peticiones a Otras entidades.

Igualmente, durante 2018 se han elaborado y puesto en marcha procedimientos para la gestión de las notificaciones de brechas de seguridad y evaluaciones de impacto[2]. Tras el análisis y la clasificación de estas últimas, sólo 16 se han remitido a la Subdirección General de Inspección de Datos, que afectaban a datos de salud, menores, ideología política, y tratamientos masivos de datos. En el primer año de aplicación del Reglamento[3] se han recibido en la Agencia 966 notificaciones de brecha de seguridad. Un 72% de ellas indican que se ha comprometido la confidencialidad de los datos personales y un 36% indican compromiso de la disponibilidad. Más del 53% de las notificaciones de brechas de seguridad tienen como origen un contexto externo e intencionado y, de ellas, el 44% fueron a consecuencia de ciberincidentes mediante algún tipo de técnicas de hacking, malware o mediante phishing[4]

En 2018 se han dictado 907 resoluciones sancionadoras[5]. En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de Morosidad, Videovigilancia, Spam (LSSI), Publicidad (excepto spam), Servicios de Internet, Reclamación de Deudas, Telecomunicaciones, Administración pública y Sanidad. En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros). Respecto al año anterior, crecen las reclamaciones por contratación fraudulenta y descienden levemente las de morosidad[6]. En cuanto a la temática de las infracciones por parte de las AAPP, estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos o incumplimiento de medidas de seguridad.

En cuanto a las cifras de Delegados de protección de datos notificados ante la Agencia, en 2018 se tramitó la inscripción de 20.043 Delegados de Protección de Datos (17.296 del sector privado y 2.747 del sector público). Cuando ha transcurrido casi un año completo desde la aplicación del RGPD, se han comunicado 34.193 Delegados de Protección de Datos (29.908 del sector privado y 4.285 del sector público). En lo relativo a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, la Herramienta FACILITA_RGPD, orientada a pymes que realizan tratamientos de bajo riesgo, ha sido utilizada en 2018 en más de 150.000 ocasiones[7]. El canal INFORMA_RGPD[9], ha atendido en 2018 un total de 4.116 consultas[8]. Las consultas más frecuentes de este servicio son las relativas a la obligatoriedad de nombrar un DPD, cuestiones sobre videovigilancia o la utilización de la huella y datos biométricos como medidas de control de acceso y horario del trabajo.

Por último, se han planteado 1.564 cuestiones ante el área de menores de la Agencia, lo que supone un incremento de casi el 74,75% con respecto a 2017 (895). En cuanto a la temática de las consultas que se suelen recibir con mayor frecuencia destacan las siguientes: la toma de imágenes y si es necesario el consentimiento para ello, tanto en las aulas, como en eventos escolares y extraescolares (campamentos, excursiones, funciones teatrales, etc.), así como quién debe otorgar el consentimiento para tratar datos personales de menores cuando los padres están separados. Además, desde la entrada en vigor del RGPD y la Ley Orgánica 3/2018, se plantea la necesidad de designar un DPD por distintos actores en este ámbito y sus funciones. Fuente de la información: AEPD. Fuente de la imagen: infografía Memoria AEPD 2018.
___________________________
[1]  De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación.
[2]  Desde el 25 mayo de 2018 hasta el 31 de diciembre, se atendieron 44 consultas previas sobre evaluaciones de impacto y se recibió un total de 547 notificaciones de quiebras de seguridad.
[3] del 25 de mayo de 2018 al 15 de mayo de este año.
[4] Respecto a los aspectos procedimentales, el análisis de los incidentes de seguridad notificados apunta a que el 31% de éstos se deben a la pérdida o robo de dispositivos o documentación.
[5] 434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos.
[6]  Estas dos áreas acumulan un 67% del volumen total de sanciones impuestas en 2018.
[7] Cifra que se amplía a 170.000 a fecha 15 de mayo de 2019.
[8] Hasta el 15 de mayo de 2019, esa cifra se ha ampliado a las 4.607.
[9] Que presta soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación del RGPD.