Cumplido un año de la aplicación del RGPD surgen nuevos retos

Cuando se cumple un año desde la aplicación del Reglamento General de Protección de Datos (RGPD), desde entonces, ya nos regimos por la nueva ley orgánica…

Cuando se cumple un año desde la aplicación del Reglamento General de Protección de Datos (RGPD), desde entonces, ya nos regimos por la nueva ley orgánica que supuso la adaptación del RGPD a nuestro ordenamiento jurídico. No obstante, aún hay muchos retos que implica esta nueva concepción del tratamiento de la privacidad.

Los días previos al 25 de mayo del 2018 siempre serán recordados como un sprint que llevó a todas las instituciones y empresas a la adecuación del Reglamento Europeo de Protección de Datos (RGPD) en su actividad. Cierto, hubo un margen de dos años desde su entrada en vigor del RGPD hasta su aplicación, pero ese mes de mayo estuvo impregnado de cierta incertidumbre y muchas dudas sobre el nuevo proceder. Como usuarios, nuestra bandeja de correo alcanzó máximos difíciles de procesar con las peticiones de consentimiento de distintas empresas e instituciones para poder seguir en contacto.

Y desde las entidades, la adecuación de las políticas de privacidad con los nuevos derechos, o el nombramiento del Delegado de Protección de Datos (DPD), el responsable y actualización de los contratos con los proveedores que actuarían como encargados fueron algunas de las acciones y gestiones prioritarias de esos días. No se debe olvidar que la novedad esencial que se introdujo con el RGPD fue un cambio de filosofía que situó el concepto de responsabilidad activa en el centro del tratamiento de los datos personales de clientes y usuarios que habían de asumir todas las personas jurídicas, lo que dejaba atrás el consentimiento tácito para actuar que se realizaba hasta el momento.

Las corporaciones colegiales no fueron ajenas a este cambio pues, como entidades de derecho público, también tuvieron que acometer su adaptación al RGPD. Especialmente, con la obligatoriedad de nombrar DPD de acuerdo al artículo 37 del RGPD, y dentro del tratamiento, diferenciando entre la petición de consentimiento si la comunicación se refería a nuevas informaciones correspondientes a las funciones privadas, o funciones públicas cuyo tratamiento quedaba amparado en el 6.1.f) del RGPD al ser «necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento».

Balance anual de la actuación de la AEPD

En todo este camino, el trabajo de la Agencia Española de Protección de Datos (AEPD) ha sido crucial para divulgar y asesorar a la sociedad. En el caso de las organizaciones colegiales, cabe destacar su inestimable ayuda y divulgación surgida de la colaboración con Unión Profesional. A modo ilustrativo, el balance de actuación de la Agencia desde el 25 de mayo del 2018 al 15 de mayo de este año arroja algunos datos que es interesante señalar en el conjunto del país.

Se han recibido 14.397 reclamaciones entre cuyas temáticas ha sobresalido la inserción indebida en ficheros de morosidad, la videovigilancia o los servicios de internet. Las reclamaciones resueltas de forma satisfactoria para los particulares se han alzado hasta las 2079 siendo remitidas a las responsables o DPD. De este modo, se incide en fomentar la resolución amistosa como se establece en el RGPD. Por su parte, la AEPD ha recibido la notificación de los nombramientos de 34.193 Delegados de Protección de Datos (DPD), de los cuales, 29.908 desarrollan su labor en el sector privado y 4.285 en el sector público, entre los que se encuentran los relativos a las corporaciones colegiales. También se ha tenido constancia de 966 notificaciones sobre brechas de seguridad, con un 72% de ellas que comprometían la confidencialidad de los datos personales. Y se han dictado 907 resoluciones sancionadoras, siendo 96 con resolución de infracción a Administraciones Públicas.

Novedades principales: tratamientos que requieren EIPD y actualización de FACILITA

Mientras, como novedades a tener en consideración más recientemente, en abril, la AEPD publicó un documento centrado en mostrar un listado concreto, aunque no exhaustivo, con los tratamientos que precisan de una Evaluación de Impacto relativa a la protección de datos (EIPD). Una acción que responde a lo dispuesto en el RGPD al referir que las autoridades de control habrán de publicar estos listados. En consecuencia, con este listado se favorece la labor de entidades como las corporaciones colegiales que tratan diversas categorías de datos.

Igualmente, se anunció una nueva versión de la herramienta Facilita cuyo objetivo es ayudar a las empresas y profesionales a generar los documentos básicos, ahora con más detalle en las cláusulas informativas, para cumplir con la normativa de protección de datos. Si bien, es una herramienta que se dirige especialmente a aquellos que tratan datos considerados de bajo riesgo.

Más protagonismo de las corporaciones colegiales y profesionales en la ley

Como decíamos, uno de los hitos más relevantes también en el último año de esta materia es la entrada en vigor el 7 de diciembre de la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Sobre ella, en Unión Profesional realizamos un breve análisis sobre sus principales novedades, entre las que podemos destacar que en el Consejo Consultivo que asesorará a la AEPD uno de los miembros será «un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia».

Cuestión que figura en el artículo 49.1.l) y que abre la puerta a que Unión Profesional, como asociación que agrupa a las profesiones colegiadas en España, sea tenida en cuenta como miembro del citado Consejo Consultivo.

ALGUNOS RETOS QUE SE PLANTEAN

 Registro horario y protección de datos

Como vemos, aún surgen cuestiones normativas y de procedimiento que es imprescindible considerar para realizar una correcta protección de datos personales. Por ejemplo, con el nuevo registro horario que deben realizar las entidades sobre sus trabajadores de acuerdo al Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Un tema que incide en la privacidad y los datos personales de los empleados.

A priori, todo parece apuntar a que las empresas y entidades tienen base legal para su tratamiento al ser una obligación legal, con lo que hablaríamos del supuesto recogido en el artículo 6.1.c) del RGPD y el artículo 8.1 de la LOPDGDD. No obstante, el principal foco de preocupación y confusión vendría en la proporcionalidad de los medios que aplicara el empleador para medir dicho registro horario conforme a la filosofía del RGPD. Problemática que habrá de valorarse jurídicamente y contrastarse.

Delimitación de tratamientos, realización de auditorías y externalización

Asimismo, uno de los asuntos que requiere mayor atención sigue siendo delimitar y afinar cuáles son las actividades dentro de una entidad que conllevan el tratamiento de datos personales, así como su ciclo de vida en ella.

A medida que pase el tiempo, surgirá también el interrogante de la realización de auditorías sobre los sistemas de protección de datos aplicados y el cómo realizarlas para ser leídas como sólidas. Una temática que el RGPD cita obligatoriamente en el artículo 39 para aquellas entidades que deban nombrar DPD, y cuya función en este caso sería supervisarla, pero que queda sin nombrar explícitamente en la nueva ley.

Otro clásico, es la posibilidad de externalización de ciertas funciones de control y cumplimiento de la normativa cuando los recursos económicos de las entidades son más ajustados. En este sentido, uno de los más claros puede ser la formación cuya introducción puede ser más eficiente en ciertas ocasiones que la propia autogestión de estos conocimientos, por ejemplo, si se comparte el coste entre varias entidades.

Eugenio Sánchez, responsable del Departamento de Economía de Unión Profesional