La jornada estuvo marcada por el Reglamento General de Protección de Datos
El pasado 25 de mayo se celebró la 9ª Sesión Abierta de la Agencia Española de Protección de Datos (AEPD), a la que Áudea asistió. Estos son los temas más destacables que se mencionaron acerca del Reglamento General de Protección de Datos (GDPR).
Nueva herramienta
La Agencia, además de las Guías u orientaciones que han publicado para los responsables y encargados del tratamiento, anunció la próxima implantación de una herramienta dirigida a las Pymes y micropymes que les servirá de apoyo para cumplir con el GDPR. Va dirigida a las empresas y profesionales que realicen un tratamiento de datos de bajo riesgo y la herramienta propondrá los documentos mínimos necesarios para cumplir con el GDPR, como pueden ser el registro de actividades de tratamiento, cláusulas informativas o las medidas de seguridad que, como mínimo, deben cumplir.
Novedades del GDPR
En la Sesión también se trataron algunas de las novedades que el GDPR añade respecto del texto de la LOPD, como por ejemplo:
- La necesidad de justificar la base jurídica sobre la que se legitima el tratamiento (sea el consentimiento u otra de las bases previstas en el GDPR).
- La obligación de establecer un plazo de conservación de los datos desde el momento de la recogida.
- La anulación de los consentimientos tácitos recabados durante estos años.
- La necesidad de volver a firmar contratos de encargo de tratamiento con todos los proveedores que manejen datos personales.
- El derecho de portabilidad, que implica la posibilidad de descarga y transmisión a otro prestador de servicios de los datos del interesado, que no deberá afectar al derecho a la intimidad de terceros, salvo circunstancias excepcionales.
- En cuanto a las Evaluaciones de Impacto se destacó su importancia para que se cumpla con el principio de Accountability, y la necesidad de que se haga con antelación al tratamiento, para poder detectar y corregir deficiencias (y, en su caso, plantear la oportuna consulta previa a la AEPD).
- En lo referente a la seguridad de los datos, no se va a publicar ningún catálogo de medidas de seguridad y todas las medidas implantadas en las empresas deberán estar orientadas al riesgo. Se valoraron distintas opciones de catálogos de medidas que pueden ser utilizadas como referencia, como por ejemplo, los controles del estándar ISO 27002, o los del Esquema Nacional de Seguridad (aprobado por Real Decreto 3/2010).
Certificación para DPO´s
Por otro lado, la Agencia anunció que está trabajando con la Entidad Nacional de Acreditación (ENAC) en la implantación de un esquema de certificación de profesionales que vayan a acceder al puesto de Delegado de Protección de Datos. La intención no es que dicha certificación sea obligatoria, sino que garantice a la empresa la cualificación y capacidad profesional del candidato.
Otras novedades
Por destacar algo positivo, la AEPD resaltó que el apercibimiento, figura que implica la resolución de una infracción sin sanción económica y que hasta ahora tenía un carácter excepcional en la LOPD, ya no tiene tal carácter excepcional en el GDPR. Sin embargo, su aplicación seguirá siendo discrecional para la AEPD, por lo que está por ver si se nota este cambio positivo en la normativa.
Os adelantamos que la AEPD no tiene muchas esperanzas de que la nueva LOPD esté lista antes de mayo de 2018, por lo que parece necesario, mientras tanto, empezar a trabajar ya en la adecuación al GDPR.
Para más información, la AEPD ha puesto a disposición en su web el programa con cada una de las presentaciones de la 9ª Sesión.
Lara Puyol
Departamento Legal