A menos de cuarenta días ya
para el comienzo de la aplicación del Reglamento general de protección de datos
(RGPD), una de las dudas más frecuentes de los profesionales del sector es cuál
será la actitud de la Agencia Española de protección de datos (AEPD), en
particular cuál será su nivel de exigencia ante la nueva normativa.
La directora de la Agencia,
Mar España, lo ha dejado claro en todas sus recientes intervenciones: no habrá
ningún tipo de moratoria a este respecto, por lo que a partir del 25 de mayo
todas las organizaciones deberán cumplir con el Reglamento y estar en
condiciones de demostrarlo.
Así lo ha reiterado en una
jornada organizada en Madrid por Nueva Economía Fórum, en la que ha sido
presentada por el Ministro de Justicia, Rafael Catalá.
Planes de inspección
En este acto Mar España ha
añadido un dato: los planes de inspección de la Agencia van a focalizarse en
tres sectores concretos: la salud, las instituciones financieras y las empresas
de telecomunicaciones.
Esto parece coherente con lo
que nos dijo en la entrevista que la realizamos en marzo pasado y en la que nos
informó de su intención de concentrar sus recursos en aquellos sectores cuya
actividad pueda tener un mayor impacto en la privacidad de los ciudadanos,
entre los que claramente parecen incluirse los tres indicados.
Además, recordó, el RGPD
introdujo una importante ampliación de las competencias de las autoridades de control
de protección de datos nacionales, como es la Agencia Española, y esto implica
que las organizaciones deberán estar en condiciones de suministrar un amplio
conjunto de información en supuestos de inspección.
En este sentido, destacó que
a diferencia de la legislación anterior, que exigía tener implantada una serie
tasada de medidas en función de riesgo leve, medio o alto para los derechos de
los interesados que se hubiera identificado, el RGPD permite que cada empresa
implante aquellas medidas necesarias para garantizar un nivel de garantía
adecuado en función de los tratamientos que realice, del nivel de riesgo
identificado y en proporción a su los mismos.
Por tanto, en opinión de Mar
España, las organizaciones deben considerar este momento más como una buena
oportunidad de poner al día sus sistemas de tratamientos de los datos de sus
usuarios, para asegurar su adaptación a las exigencias de la nueva norma.
Teniendo en cuenta que la principal dificultad provendrá de la necesidad de
combinar el principio de responsabilidad proactiva de los responsables y
encargados del tratamiento con el ejercicio de la libertad organizativa que la
norma les concede en un entorno tan variable
No debe olvidarse además, que
el Reglamento prevé un régimen sancionador muy estricto para el caso de
infringirse su normativa, y aunque la Agencia está desarrollando una actividad
divulgativa y de concienciación muy intensa, ello no va a evitar la atribución
de responsabilidades a las entidades incumplidoras.
En este sentido Mar España
recomendó acudir a la figura asesora y supervisora del Delegado de protección
de datos (DPO), incluso en aquellos casos en los que no sea legalmente
preceptivo y aunque no sea a jornada completa, pues aunque este no sea el
responsable del cumplimiento, puede aportar valiosas orientaciones sobre las
obligaciones a cumplir y el modo de hacerlo.
Necesitamos imperiosamente
una nueva LOPD
Una de las afirmaciones más
destacadas de la directora de la Agencia en este acto fue la relativa a la
necesidad de contar con una normativa nacional adaptada al Reglamento.
Como se sabe, el Gobierno
presentó el pasado mes de noviembre en las Cortes un proyecto de Ley Orgánica
de protección de datos, que recientemente acaba de concluir su período de
presentación de enmiendas (ampliado en numerosas ocasiones a instancias de los
grupos parlamentarios) y cuya aprobación a tiempo del comienzo de la aplicación
del Reglamento parece en estos momentos muy dudosa.
Según subrayó Mar España,
carecer de una Ley Orgánica de protección de datos armonizada con la norma
europea puede provocar numerosos problemas de aplicación del RGPD. Entre ellos,
citó como ejemplo el riesgo de prescripción de los procedimientos
transnacionales por falta de regulación del cómputo de los plazos.
Pero además, añadió, también
puede impedir aprovechar muchas de las ventajas que se han incorporado al
Proyecto de Ley, como consecuencia del margen de actuación que el Reglamento
permite a las legislaciones nacionales, y que en el caso español ha sido aprovechado
para regular temas como los canales de denuncias internas en el sector privado
(el conocido whistleblowing del derecho anglosajón); la posibilidad de otorgar
últimas voluntades digitales; la identificación de los interesados en las
notificaciones por medio de anuncios y publicaciones de actos administrativos o
las potestades de verificación de las Administraciones Públicas.
No dejar puertas abiertas
Finalmente Mar España recordó
que el desarrollo de la tecnología está asociada al respeto a los derechos de
las personas, que son los titulares de los datos.
Y en este sentido ejemplos
recientes han puesto de manifiesto que un uso malicioso e inconsentido de esos
dados pueden utilizarse incluso para intentar socavar los principios mismos de
una sociedad democrática, al tratar de influirse en la opinión pública.
Por ello la directora de la
AEPD destacó que cuantos más datos personales dejen accesibles los ciudadanos,
más probabilidades habrá de que algo pueda ir mal con ellos. Por tanto, los
titulares de los datos deben prevenir el tratamiento no previsto, injusto o
ilegal de los mismos, adoptando las medidas necesarias, al igual que cuando
salen de casa cierran la puerta de la calle.
Contenido curado por Isabel Asolo
(Community Manager) HERAS ABOGADOS BILBAO S.L.P.
No hay comentarios:
Publicar un comentario