España, uno de los países más adelantados en cuanto al cambio normativo derivado de la aprobación del RGPD
El 1 de febrero de 2017 se celebró el IX Foro de la Privacidad en el Auditorio Principal de CaixaForum Madrid organizado por Data Privacy Institute (DPI).
En el foro intervinieron expertos, profesionales y representantes institucionales del mundo de la privacidad que analizaron temas de actualidad como la aplicabilidad del Reglamento General de Protección de Datos (RGPD) y las cuestiones relacionadas con la privacidad de los datos a la luz del desarrollo de las nuevas tecnologías. Los ponentes, entre los que cabe destacar a la Directora de la AEPD, Mar España, al Secretario de Privacidad de la ONU y a la Responsable de la Unidad de Protección de Datos de la UE, que hablaron sobre el impacto del RGPD en las legislaciones nacionales así como en los retos a los que se enfrenta la sociedad en la era de la ciberseguridad, recalcando los cambios sociales que ha supuesto el desarrollo tecnológico, nuevas formas de comunicación, redes sociales y los riesgos inminentes para la privacidad que pueden suponer las nuevas tecnologías.
En las intervenciones se elogió a España como uno de los países más adelantados en cuanto al cambio normativo que se produjo después de la aprobación del RGPD. Asimismo se destacó la cada vez más estrecha colaboración entre las autoridades de control nacionales en materia de protección de datos que podrían abordar de forma colectiva algunas decisiones que serían aplicables en todos los países miembros de la UE.
Intervención de Mar España, Directora de la AEPD
En su ponencia, la Directora de la AEPD, destacó el papel de España en la consagración del derecho del olvido a nivel extraterritorial, y presentó el estado de trabajos llevados a cabo de forma conjunta con el Ministerio de Justicia sobre el anteproyecto de ley que modificará la Ley Orgánica de Protección de Datos (LOPD) para adaptarla al nuevo reglamento europeo. Según informó, el primer borrador de dicha reforma debería estar listo para marzo de este año.
Asimismo, la Directora de la AEPD trató otros temas de especial interés:
- La invalidación del consentimiento tácito, admitido actualmente por la LOPD. Conforme se explicó el consentimiento debería expresarse siempre mediante una manifestación inequívoca o una clara acción afirmativa del interesado. Por lo que las empresas tienen que buscar la forma de legalizar los consentimientos obtenidos previamente para adecuarlos al RGPD, antes de que éste sea aplicable, un proceso que puede resultar muy complejo.
- Además se informó que la AEPD va a actualizar la guía de “evaluaciones de impacto sobre la protección de datos” para que las empresas que realizan tratamientos de cierta tipología de datos puedan utilizarla. En este aspecto se pidió la colaboración de todos los profesionales del sector de la seguridad de la información y protección de datos con al AEPD.
- Otro tema tratado fue la certificación de los Delegados de Protección de Datos (Data Privacy Officer – DPO) puesto que el RGPD no determina cuáles deben ser exactamente sus cualificaciones, ni la forma en que dichos profesionales deben probar a las empresas que cuentan con las capacidades requeridas. La AEPD ya se puso en contacto con ENAC para regularizar este tipo de certificaciones pero aún es necesario establecer criterios que deberían cumplir tanto los DPO`s como las empresas certificadoras.
Asimismo, se hizo especial hincapié en el importante papel que puede desempeñar el DPO en la solución de conflictos entre la empresa y el cliente de forma amistosa.
- Al respecto del régimen sancionador, la Directora indicó que las empresas que tuvieran asignados a los DPO`s o estuvieran adheridas a los Códigos de conducta podrían beneficiarse de un tratamiento menos riguroso si se les detectaran infracciones en materia de protección de datos y añadió que el reconocimiento de una infracción podría suponer una rebaja de hasta 40% de la sanción impuesta.
- Como resultado de la colaboración de la AEPD y el DPI se elaboró un Código de buenas conductas en materia de Big Data y que tiene todos los parabienes legales en convertirse en un Código de conducta siempre y cuando se vayan adhiriendo a éste otras empresas.
Mesa redonda
En la sesión de tarde, se organizó una mesa redonda en la que participaron los DPO`s de las grandes empresas españolas y multinacionales como Huawey, Caixabank y Hewlett Packard Enterpise. Como expertos en la privacidad debatieron sobre los problemas prácticos que puede suponer la implantación de algunos artículos del reglamento europeo.
Por ejemplo se puso de relieve el inconveniente que podía suponer la notificación de las brechas de seguridad puesto que el plazo de 72 horas para el aviso a las autoridades y afectados podía no ser suficiente para detectar y determinar adecuadamente las causas de las incidencias.
Según los participantes de este debate también la actualización de los consentimientos y cumplimiento con el deber de información conforme a las nuevas exigencias legales puede suponer un gran problema operativo.
Sin embargo todos estuvieron de acuerdo con las disposiciones del Reglamento por las que el responsable del fichero debe asumir más responsabilidad en caso de externalizar sus servicios y ofrecer a los afectados las garantías suficientes de que sus prestadores de servicios cumplen estrictamente con la normativa. En este sentido se recomendó realizar auditorias a los encargados de tratamiento o establecer certificaciones que permitan reconocer a los proveedores de confianza.
En definitiva, el Foro ha puesto de manifiesto que las autoridades están muy involucradas en fomentar la cultura de tratamiento de datos y ha dado algunas pistas al respecto de los planificados cambios legislativos. No obstante, también se ha vuelto a poner de manifiesto el enorme trabajo que aún queda por hacer en la implantación efectiva del RGPD.
Karol Sedkowski
Departamento Legal