El pasado 20 de julio se celebró la primera Jornada Anual sobre Protección de Datos y la Abogacía en el Consejo General de la Abogacía Española. La jornada buscaba acercar a los profesionales del sector de la abogacía al marco jurídico actual de protección de datos y trasladar su incidencia en esta profesión.
Como sabéis, recientemente pudimos conocer el borrador de anteproyecto de lo que será la futura Ley Orgánica de Protección de Datos, que modifica la actual Ley 15/1999 de Protección de Datos de Carácter Personal, teniendo como objetivo la adaptación al Reglamento Europeo de Protección de Datos (en adelante, GDPR).
El GDPR y el anteproyecto de LOPD han puesto de manifiesto los nuevos retos que entidades privadas, públicas y particulares del sector de la abogacía deberán afrontar para su aplicación en la práctica profesional de su día a día.
Durante la jornada pudimos percibir cómo instituciones como el Consejo General de la Abogacía, el Consejo General del Poder Judicial, o la Comisión General de Codificación están trabajando conjuntamente con el objetivo de definir y aclarar las cuestiones que van surgiendo por los principales sectores afectados antes del próximo mayo.
Entre las intervenciones de la jornada, destacamos la de Mar España, Directora de la Agencia Española de Protección de Datos (AEPD), el Ministro de Justicia, Rafael Catalá o el Secretario General Técnico del Ministerio de Justicia, José Amérigo.
Intervención de Rafael Catalá, Ministro de Justicia
El Ministro puso de manifiesto el evidente cambio de paradigma que supone el GDPR, dado que pasamos de aplicar una cultura “reactiva”, que responde a la imposición de la sanción, a la obligación de implantar una cultura “preventiva” en el marco de nuestro sector profesional (ya sea despacho, empresa privada o administración pública) y que se traduce en un nuevo enfoque basado en el análisis de riesgo previamente a aplicar cualquier tipo de medida de seguridad.
Catalá comunicó que el anteproyecto de LOPD se encontraba en trámites de Audiencia Pública, recibiendo informes de instituciones como el Consejo General del Poder Judicial o el Consejo de Estado que lo están valorando actualmente.
Como complemento necesario a este anteproyecto, el Ministro advirtió que la AEPD deberá desarrollar actividades de comunicación, formación, sensibilización y certificación respecto de las nuevas obligaciones que supone la aplicación del GDPR y nuestra próxima LOPD.
Asimismo, el Ministro repasó las principales singularidades que suponía el GDPR como, entre otras, el tratamiento de datos de personas fallecidas por sus herederos, la exclusión absoluta del consentimiento tácito, la edad para consentir conforme al marco europeo pasando de los 14 a los 13 años o la inserción de las denuncias en el ámbito del sector privado.
Señaló también que el anteproyecto de LOPD no busca tener un desarrollo propio o crear un nuevo sistema español sino que se enmarca dentro del contexto del marco europeo, de ahí el refuerzo que el Reglamento hace respecto de una colaboración activa entre las distintas Autoridades de Protección de Datos.
Concluyó citando los desafíos a los que nos enfrentamos:
- Ser capaces de aprobar una LOPD en un plazo reducido, dado el poco tiempo con el que contamos antes de la aplicación directa del GDPR.
- Generar una sensibilización real a todas las instituciones implicadas.
- Desarrollar y crear espacios y oportunidades de negocio, como puede ser la implantación de la figura del Delegado de Protección de Datos (DPD).
Intervención de Mar España, Directora de la AEPD
En relación con el GDPR, la Directora de la AEPD aclaró que, a pesar de que dicha norma supone una continuidad de los principios y derechos de protección de datos con los que ya contábamos, cabe destacar nuevos ejes que presenta el GDPR respecto al régimen jurídico actual:
- Armonización plena. El GDPR, supone una armonización de normativa entre todos los Estados Miembros.
Actualmente, citó la directora, se encuentran con 28 transposiciones diferentes de la Directiva, con 28 funciones diferentes de las Autoridades de Control, de las cuales, por ejemplo, sólo 13 tienen competencias sancionadoras.
- El GDPR ofrece un mayor control a los titulares de los datos, en el sentido de que se incorporan nuevos derechos, como el derecho al olvido o el derecho a la portabilidad.
- Principio de responsabilidad proactiva.
- Supone mayor flexibilidad. Que se traduce en la libertad del responsable o encargado de establecer las medidas técnicas, organizativas y de seguridad en función del análisis de riesgo que se haga lo que genera a su vez una mayor responsabilidad.
- Establece un procedimiento pionero y complejo para garantizar este derecho fundamental. Ya que estamos ante la primera vez que una norma europea establece que para garantizar un derecho fundamental, los 28 estados miembros se tienen que poner de acuerdo.
Como ejemplo de esta garantía de mecanismo coordinado, Mar España señalo por ejemplo los casos en que se reciba una denuncia de un ciudadano donde el responsable o encargado del tratamiento opere en más de un estado miembro.
- El concepto de extraterritorialidad. Debemos ser conscientes que hoy en día toda la información que recibimos en el ejercicio de nuestra profesión esta informatizada lo que supone que un riesgo a un ataque o brecha de seguridad es exponencial. Según esto, el GDPR da cobertura a los nuevos derechos, de forma que aunque la empresa no opere en el continente europeo, si ofrece bienes o servicios a ciudadanos españoles y europeos o realiza un perfilado de los datos, se le aplicará en todo caso las garantías y derechos que establece el GDPR.
- La flexibilidad del GDPR. Se deja un margen de decisión a los Estados Miembros en determinadas materias, como por ejemplo el establecimiento de la edad de los menores respecto al consentimiento.
Por otro lado, la Directora comentó algunas diferencias que hay entre nuestra LOPD actual y la futura y comunicó estar trabajando sobre las siguientes cuestiones:
- Ofrecer supuestos de interpretación respecto en qué casos cabe el interés legítimo conforme el GDPR.
- Ofrecer seguridad jurídica y establecer criterios únicos respecto del consentimiento expreso que ofrecerá la que será la LOPD. Todo ello a través del grupo de trabajo que se ha creado entre las distintas autoridades de protección de datos.
- La AEPD esta coordinando junto con la Autoridad Holandesa el diseño de una estrategia de “enforcement” o cumplimiento y el establecimiento de criterios comunes en este sentido. Asimismo, puso como ejemplo de mecanismos de solución amistosa, la figura del DPD.
- Impulsar los códigos de conducta y los mecanismos de autorregulación, para que voluntariamente las empresas se adhieran a los mismos.
¿Qué deberá cumplir un despacho de abogados en el marco de la LOPD?
La directora presentó como ejemplo un despacho de abogados en el que si la base que legitima el tratamiento de los datos de un cliente es el consentimiento, lo ordinario será establecerlo en un contrato. Recordándonos que en estos casos:
- Deberá indicarse la limitación para el tratamiento de los datos.
- Si se basa en el consentimiento expreso, este deberá darse para cada una de las finalidades.
- Ofrecer expresamente al cliente la información que debe dar el responsable o encargado, como puede ser la base jurídica del tratamiento o si va a existir una cesión de datos a terceros o la posibilidad de acudir a la Autoridad de protección de datos, entre otras.
Aparte de las guías que ya conocemos como la del deber de información, o las nuevas obligaciones de los responsables y encargados, Mar España comunicó que el próximo septiembre se dará a conocer una herramienta sobre el tratamiento de datos para aquellas pequeñas empresas (pymes) que hagan un tratamiento de datos de bajo riesgo. Si bien, detalla que la misma podría no ser efectiva para los despachos de abogados, ya que son muchos los casos en que estos tratan datos sensibles o de alto riesgo o hacen tratamiento de datos a gran escala.
En este sentido la AEPD, para intentar compensar esta falta, esta trabajando con la Unión de Colegios profesionales para que, a través de un convenio, ponga a disposición de todos los abogados y resto de profesionales, orientaciones sobre el análisis del riesgo (lo que podría ser similar a la herramienta PILAR) sin deber confundirlo con un asesoramiento personalizado.
Otra novedad destacable y que se pondrá a disposición de los colegios profesionales en septiembre de 2018, es la creación de la Unidad de Atención al Responsable, en torno a las dudas que puedan surgirles a los abogados sobre criterios jurídicos o interpretación de la ley o el Reglamento. Dichas cuestiones se podrán plantear a través de los colegios profesionales. Y desde estos se trasladará a la Unidad citada, que en caso de una mayor complejidad se delegara la consulta al departamento jurídico.
¿Qué papel puede tener el colegio de abogados en este nuevo paradigma?
Mar España puso sobre la mesa la posibilidad de que los colegios profesionales sí podían ser entidades certificadas por Entidad Nacional de Acreditación (ENAC) en relación con el reciente esquema de certificación publicado de los delegados de protección de datos.
Adelantó que la AEPD va a estar especialmente alerta de cara a malas prácticas en materia de protección de datos y que resultará fundamental la calidad en el asesoramiento de esta materia.
Subrayó que, a pesar de que el GDPR no impone que el DPD esté certificado, es altamente recomendable que así sea de cara a garantizar un mínimo de conocimientos y de experiencia profesional en el sector.
Por último, citó algunas de las herramientas y orientaciones que están preparando actualmente en la AEPD y que se presentarán en septiembre en el marco de la herramienta antes citada y orientada a las pymes:
- Se preparara un borrador de un listado orientativo de ejemplos de tratamientos de datos que supongan un alto riesgo y por tanto la obligación de realizar una evaluación de impacto e intentarán publicarlo antes de mayo de 2018, ya que para entonces los profesionales, en su caso, ya deberán haber realizado ésa evaluación de impacto.
- Al mismo tiempo publicarán la lista de tratamiento de datos de riesgo básico o bajo para lo cual no será necesario, cita la directora, nada más que unas recomendaciones básicas de seguridad, un registro general de actividades, las correspondientes cláusulas informativas y el establecimiento de un contrato de encargo de tratamiento, sin perjuicio de otras cuestiones que pueda tener el caso concreto.
Como apunte final, Mar España comunicó que para mayo del año que viene empezaran a trabajar en un primer borrador del Reglamento de desarrollo de la que será nuestra próxima LOPD.
Con respecto al DPD, señaló que están valorando la posibilidad que los propios colegios profesionales y/o el Consejo General de la Abogacía contraten al DPD y estos los propongan a los profesionales. De esta manera se establece una garantía de que los sectores que trabajen con datos de nivel alto se acogen a un asesoramiento serio y fiable.
Tras la intervención de la Directora de la AEPD, el Secretario Técnico del Ministerio de Justicia, José Amérigo, hizo un repaso cronológico y procedimental de todo el proceso que se ha llevado a cabo desde el comienzo del trámite del Anteproyecto de LOPD hasta hoy.
Amérigo, comunicó que se encuentran en proceso de análisis de informes de los distintos organismos competentes, como puede ser el Consejo General del Poder Judicial, previendo llegar el texto definitivo para su aprobación por las Cortes Generales para el próximo otoño.
Conclusión
De la jornada podemos concluir un constante interés por parte de las autoridades y profesionales del sector en resolver y aclarar las cuestiones que giran en torno al Reglamento Europeo y nuestra próxima LOPD. Ése interés se reflejará a través de, por un lado, mecanismos que a medio y largo plazo supondrán herramientas de apoyo y consulta a los profesionales del sector de la mano de las principales autoridades de protección de datos, como son la AEPD o el Consejo General de la Abogacía, y por otro lado, la intervención directa y activa de los colegios profesionales.
Lara Puyol
Departamento Legal