Mar España, directora Agencia Española de Protección de Datos (AEPD)
El objetivo principal de la Agencia Española de Protección de Datos es trabajar para conseguir proteger a las personas en lo que respecta a sus datos personales. Para la consecución de ese objetivo, es necesario enfocarlo desde varios planos y, por ello, en nuestro Plan Estratégico hemos apostado por una visión preventiva que desarrollamos mediante políticas proactivas dirigidas a promover el conocimiento de la normativa de protección de datos, sensibilizar a los responsables de los tratamientos de datos de las obligaciones que han de cumplir y facilitar su cumplimiento.
Hasta el 25 de mayo del 2018 —fecha en que comenzó a aplicarse el Reglamento General de Protección de Datos— la Agencia intensificó su labor de concienciación en distintos foros para apoyar a las organizaciones en su proceso de adaptación al Reglamento. Éste incorpora el principio de responsabilidad activa de quienes tratan datos personales, de tal forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.
Evaluación de Impacto en Protección de Datos
Para ayudar a cumplir con este principio, la AEPD desarrolló la herramienta Facilita, un cuestionario online gratuito con el que empresas y profesionales que efectúan tratamientos de bajo riesgo pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento. Para quienes realicen tratamientos que impliquen un riesgo mayor, la Agencia también elaboró recursos de ayuda específicos, como las Guías de análisis de riesgos y evaluación de impacto en la protección de datos.
Las organizaciones que no puedan utilizar Facilita deben llevar a cabo un análisis de riesgos, un procedimiento que permite hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos (EIPD).
La EIPD es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar esos peligros antes de que se concreten. La Guía de Evaluación de Impacto en la Protección de Datos ayuda a identificar las actividades que conllevan un alto riesgo y a establecer medidas de control más ajustadas para minimizar el mismo antes de iniciar el tratamiento.
Con posterioridad al 25 de mayo, la Agencia ha continuado participando en cursos, jornadas, encuentros, seminarios y charlas en los más diversos ámbitos, en los que ha tratado de fomentar el conocimiento de la normativa. En paralelo, ha proseguido con la elaboración de recursos para facilitar esta tarea, como una guía para gestionar y notificar las quiebras de seguridad, presentada junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE, y creada para ofrecer a las organizaciones recomendaciones preventivas, así como un plan de actuación para saber cómo evitarlas y cómo proceder en caso de que se produzcan.
Los datos en las profesiones colegiadas
Dentro de las acciones de carácter proactivo que la Agencia lleva a cabo para favorecer la concienciación en materia de protección se encuentra la colaboración con agentes implicados, y uno de ellos es Unión Profesional, colectivo al que la Agencia presta especial atención pues incluye a profesionales de sectores como el sanitario, la abogacía o las ingenierías, que tratan categorías especiales de datos como los de salud o datos de infracciones o sanciones, o realizan tratamientos de datos a gran escala en el desarrollo de proyectos de big data o inteligencia artificial.
La colaboración entre la Agencia y Unión Profesional se ha visto reforzada coincidiendo con la necesidad de aplicar la regulación que establece el RGPD. Con la idea de promover entre el colectivo de profesionales liberales la sensibilización sobre las obligaciones que establece el RGPD y ayudarles en su tarea de adaptación, hace un año se firmó un Protocolo de Actuación en el que se estableció un marco de colaboración, del que cabe destacar el compromiso de la Agencia de poner a disposición de Unión Profesional sus recursos, materiales y herramientas, y el compromiso de Unión Profesional en su difusión y distribución entre las corporaciones colegiales y los profesionales adscritos a los mismos.
Esta colaboración ha propiciado la organización de dos talleres con los Consejos Generales y Colegios de ámbito estatal, uno de carácter intersectorial y otro con las corporaciones de ámbito sanitario. Éstos tuvieron como finalidad que nos trasladaran aquellas cuestiones y dudas que les planteaba el tránsito de la LOPD al RGPD para darles respuesta, y también se contó con la presidenta de Unión Profesional en una sesión informativa sobre el cumplimiento del RGPD celebrada en abril de 2018 junto con el Ministerio de Justicia.
El protocolo incluye igualmente la promoción por parte de Unión Profesional de un servicio de atención a las consultas de los profesionales de los Colegios adscritos en materia de protección de datos y el establecimiento de un cauce para trasladar a la Agencia aquellas que debido a su complejidad no pudieran ser resueltas por dicho servicio. En ese marco de colaboración, la Agencia ha participado en un seminario organizado por Unión Profesional sobre cuestiones de colegiación y datos de colegiados, que tuvo lugar el pasado mes de noviembre.
Agenda 2030 y los Objetivos de Desarrollo Sostenible
En un plano diferente pero también orientado a la concienciación y la prevención, la AEPD ha presentado recientemente su Marco de Responsabilidad Social, un proyecto alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible a través de las actividades y los procesos que lleva a cabo, tanto internos como externos. Con este lanzamiento, que se concreta en 100 medidas de actuación, la Agencia se marca como objetivo afianzarse como un organismo cercano que refuerce las vías de comunicación con los ciudadanos, las empresas y el sector de la economía digital, y dé respuesta a sus necesidades.
Las actuaciones mencionadas en esta tribuna tienen un único objetivo común: seguir fomentando en la sociedad una cultura de protección de datos y continuar facilitando apoyo y recursos a quienes tengan que cumplir con las obligaciones derivadas del RGPD y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Un objetivo al que también ha contribuido Unión Profesional y que tiene vocación de permanencia.
