Highlights de la 10ª Sesión Anual Abierta de la AEPD

Sesión abierta AEPD

 

El 4 de junio tuvo lugar en Madrid la 10ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (“AEPD”) entre gran expectación al ser la primera celebrada tras la obligatoriedad del Reglamento General de Protección de Datos (“RGPD”). Procedemos a enumerar en sencillos bullets los aspectos más interesantes expuestos a lo largo de la mañana:

– Responsabilidad proactiva: Todos los ponentes incidieron en la importancia de que, desde el 25 de mayo de 2018, desaparece el listado de obligaciones formales que la antigua Ley Orgánica de Protección de Datos (“LOPD”) facilitaba. Se abre paso a un enfoque basado en el análisis de riesgos y en la evaluación proactiva de los tratamientos, que debe resultar en la implantación y adaptación de los procedimientos que se consideren adecuados para minimizar los riesgos detectados. Respecto a medidas de seguridad, se hizo hincapié en la desaparición de los niveles indicados bajo el régimen de la LOPD y su reglamento de desarrollo. Con el RGPD, estos niveles se sustituyen por la aplicación de las medidas de seguridad que el responsable o encargado del tratamiento considere convenientes para mitigar los riesgos a los que se expone.

– Régimen sancionador: Se advirtió la posibilidad de que, a raíz de una denuncia por un incumplimiento concreto, la AEPD podrá analizar de oficio íntegramente el cumplimiento del RGPD por parte del responsable o encargado denunciado, sin estar obligada a limitarse al análisis del incumplimiento concretamente denunciado. Como contrapartida, la AEPD afirmó que la proactividad en la adecuación y en la implementación de procedimientos basados en el análisis de riesgos, sería tenida en cuenta para atenuar, dentro de las posibilidades facilitadas por el RGPD, las posibles sanciones. Asimismo, se puso de manifiesto que, sin perjuicio de la potestad sancionadora de la AEPD, se pretende hacer uso de la posibilidad de advertir y apercibir a los denunciados como una medida alternativa a la sanción en los casos en los que sea posible. En este sentido, la AEPD animó a responsables y encargados a promover métodos de resolución extra-administrativa de conflictos con los usuarios.

– Delegado de Protección de Datos (“DPO”) y códigos de conducta: Se destacó el importante papel del DPO con respecto al cumplimiento del principio de responsabilidad proactiva. También se incitó a promover la redacción y la adhesión a los códigos de conducta sectoriales de protección de datos, haciendo hincapié en el hecho de que obligarse por un código de conducta será tenido en cuenta de cara a la atenuación de determinadas sanciones.

– Cookies: Sin perjuicio de que la actualización de la Guía de Cookies de la AEPD será publicada en breve, se adelantaron ciertas reflexiones al respecto. Se indicó que el RGPD permite que la información relativa a la instalación de cookies se facilite en dos capas, siguiendo el formato validado con anterioridad a la obligatoriedad del RGPD:un banner de cookies (primera capa) que informe sobre los aspectos principales del tratamiento y que dirija a una segunda capa de información ampliada. Respecto al consentimiento del usuario para la instalación de cookies, se adelantó entre otras cosas, que la fórmula de “seguir navegando”, que ha sido aceptada bajo el régimen anterior, entre otras fórmulas, puede seguir siendo válida siempre que se refuerce la toma de decisiones por el usuario sobre cookies – esto podría lograrse, en determinados casos, incluyendo un link en el banner de cookies a un panel que permitiera la activación/desactivación de las cookies de la web. De cualquier modo, se debe analizar cada caso concreto junto con las posibilidades que tiene cada editor web para garantizar el poder decisorio del usuario respecto de la instalación de cookies. Asimismo, se debe tener en cuenta que está pendiente la aprobación del Reglamento Europeo de e-Privacy, que regulará aspectos relativos a la instalación de cookies, lo cual indica que las medidas que se tomen en la actualidad a este respecto deberán ser revisadas cuando el texto definitivo de dicho reglamento haya sido aprobado.

– Registro de Actividades de Tratamiento (“RAT”): Se definió como el documento primordial en una adaptación al RGPD porque incluye la pormenorización y detalle de cada actividad de tratamiento. Se enfatizó en que puede resultar útil en algunos casos tomar como punto de partida para la redacción del RAT los ficheros registrados ante la AEPD bajo el régimen de la LOPD sin perjuicio de que se debe realizar una labor de profundización en cada tratamiento.

– Comité Europeo de Protección de Datos: Se destacó su reciente creación, así como se ensalzó la labor realizada por su predecesor, el Grupo de Trabajo del Artículo 29, en la ayuda a la interpretación de conceptos que emanan del RGPD, a través de sus directrices e informes. Como futuros trabajos que el Comité publicará, se anunció una guía sobre criterios para determinar la aplicación territorial del RGPD, así como las directrices sobre los límites a la utilización de la base legal del cumplimiento de un contrato o la toma de medidas precontractuales como legitimación del tratamiento.

– Proyecto de Ley Orgánica de Protección de Datos: Los aspectos principales del mismo fueron analizados, resaltando que esta norma pretende adaptar el derecho nacional al europeo (no al revés), y pormenorizando ciertos aspectos que el proyecto desarrolla de acuerdo con las habilitaciones del RGPD a favor de los estados miembros.

– Prácticas desleales y engañosas de ciertos prestadores de servicios: La AEPD advirtió de la proliferación de “asesores” en protección de datos que ofrecen una serie de sesiones formativas a sus clientes, acompañadas de documentos modelo que se venden como proyectos de adaptación al RGPD pero que no son tales. Se ofrecen a precios muy bajos y, desgraciadamente, suelen ir acompañados de la ausencia de cumplimiento por parte de las compañías que los reciben. La AEPD apeló de nuevo al principio de responsabilidad proactiva para pedir que se valore con cautela la profesionalidad y garantías que los asesores externos aportan, pidiendo que se descarten fórmulas milagrosas (y baratas) que conducen al incumplimiento y, con facilidad, a la sanción.

– Reflexión final: Las compañías y organismos públicos deben tomarse el cumplimiento del RGPD como un modo de convertir los datos personales que tratan en un activo, gracias a la reflexión sobre los tratamientos realizados y sobre su encaje dentro de la nueva regulación, para tratar de sacar el máximo partido a sus bases de datos. Tomarse la adaptación como una tarea simplemente enfocada a evitar sanciones sería, a ojos de la AEPD y de cualquier profesional de la privacidad, una pérdida tanto de recursos como de oportunidades.
Campo para personalizar la url del elemento. Ejemplo: /blog/titulodelarticulo
Highlights de la 10ª Sesión Anual Abierta de la AEPD

El 4 de junio tuvo lugar en Madrid la 10ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (“AEPD”) entre gran expectación al ser la primera celebrada tras la obligatoriedad del Reglamento General de Protección de Datos (“RGPD”). Procedemos a enumerar en sencillos bullets los aspectos más interesantes expuestos a lo largo de la mañana:

– Responsabilidad proactiva: Todos los ponentes incidieron en la importancia de que, desde el 25 de mayo de 2018, desaparece el listado de obligaciones formales que la antigua Ley Orgánica de Protección de Datos (“LOPD”) facilitaba. Se abre paso a un enfoque basado en el análisis de riesgos y en la evaluación proactiva de los tratamientos, que debe resultar en la implantación y adaptación de los procedimientos que se consideren adecuados para minimizar los riesgos detectados. Respecto a medidas de seguridad, se hizo hincapié en la desaparición de los niveles indicados bajo el régimen de la LOPD y su reglamento de desarrollo. Con el RGPD, estos niveles se sustituyen por la aplicación de las medidas de seguridad que el responsable o encargado del tratamiento considere convenientes para mitigar los riesgos a los que se expone.

– Régimen sancionador: Se advirtió la posibilidad de que, a raíz de una denuncia por un incumplimiento concreto, la AEPD podrá analizar de oficio íntegramente el cumplimiento del RGPD por parte del responsable o encargado denunciado, sin estar obligada a limitarse al análisis del incumplimiento concretamente denunciado. Como contrapartida, la AEPD afirmó que la proactividad en la adecuación y en la implementación de procedimientos basados en el análisis de riesgos, sería tenida en cuenta para atenuar, dentro de las posibilidades facilitadas por el RGPD, las posibles sanciones. Asimismo, se puso de manifiesto que, sin perjuicio de la potestad sancionadora de la AEPD, se pretende hacer uso de la posibilidad de advertir y apercibir a los denunciados como una medida alternativa a la sanción en los casos en los que sea posible. En este sentido, la AEPD animó a responsables y encargados a promover métodos de resolución extra-administrativa de conflictos con los usuarios.

– Delegado de Protección de Datos (“DPO”) y códigos de conducta: Se destacó el importante papel del DPO con respecto al cumplimiento del principio de responsabilidad proactiva. También se incitó a promover la redacción y la adhesión a los códigos de conducta sectoriales de protección de datos, haciendo hincapié en el hecho de que obligarse por un código de conducta será tenido en cuenta de cara a la atenuación de determinadas sanciones.

– Cookies: Sin perjuicio de que la actualización de la Guía de Cookies de la AEPD será publicada en breve, se adelantaron ciertas reflexiones al respecto. Se indicó que el RGPD permite que la información relativa a la instalación de cookies se facilite en dos capas, siguiendo el formato validado con anterioridad a la obligatoriedad del RGPD:un banner de cookies (primera capa) que informe sobre los aspectos principales del tratamiento y que dirija a una segunda capa de información ampliada. Respecto al consentimiento del usuario para la instalación de cookies, se adelantó entre otras cosas, que la fórmula de “seguir navegando”, que ha sido aceptada bajo el régimen anterior, entre otras fórmulas, puede seguir siendo válida siempre que se refuerce la toma de decisiones por el usuario sobre cookies – esto podría lograrse, en determinados casos, incluyendo un link en el banner de cookies a un panel que permitiera la activación/desactivación de las cookies de la web. De cualquier modo, se debe analizar cada caso concreto junto con las posibilidades que tiene cada editor web para garantizar el poder decisorio del usuario respecto de la instalación de cookies. Asimismo, se debe tener en cuenta que está pendiente la aprobación del Reglamento Europeo de e-Privacy, que regulará aspectos relativos a la instalación de cookies, lo cual indica que las medidas que se tomen en la actualidad a este respecto deberán ser revisadas cuando el texto definitivo de dicho reglamento haya sido aprobado.

– Registro de Actividades de Tratamiento (“RAT”): Se definió como el documento primordial en una adaptación al RGPD porque incluye la pormenorización y detalle de cada actividad de tratamiento. Se enfatizó en que puede resultar útil en algunos casos tomar como punto de partida para la redacción del RAT los ficheros registrados ante la AEPD bajo el régimen de la LOPD sin perjuicio de que se debe realizar una labor de profundización en cada tratamiento.

– Comité Europeo de Protección de Datos: Se destacó su reciente creación, así como se ensalzó la labor realizada por su predecesor, el Grupo de Trabajo del Artículo 29, en la ayuda a la interpretación de conceptos que emanan del RGPD, a través de sus directrices e informes. Como futuros trabajos que el Comité publicará, se anunció una guía sobre criterios para determinar la aplicación territorial del RGPD, así como las directrices sobre los límites a la utilización de la base legal del cumplimiento de un contrato o la toma de medidas precontractuales como legitimación del tratamiento.

– Proyecto de Ley Orgánica de Protección de Datos: Los aspectos principales del mismo fueron analizados, resaltando que esta norma pretende adaptar el derecho nacional al europeo (no al revés), y pormenorizando ciertos aspectos que el proyecto desarrolla de acuerdo con las habilitaciones del RGPD a favor de los estados miembros.

– Prácticas desleales y engañosas de ciertos prestadores de servicios: La AEPD advirtió de la proliferación de “asesores” en protección de datos que ofrecen una serie de sesiones formativas a sus clientes, acompañadas de documentos modelo que se venden como proyectos de adaptación al RGPD pero que no son tales. Se ofrecen a precios muy bajos y, desgraciadamente, suelen ir acompañados de la ausencia de cumplimiento por parte de las compañías que los reciben. La AEPD apeló de nuevo al principio de responsabilidad proactiva para pedir que se valore con cautela la profesionalidad y garantías que los asesores externos aportan, pidiendo que se descarten fórmulas milagrosas (y baratas) que conducen al incumplimiento y, con facilidad, a la sanción.

– Reflexión final: Las compañías y organismos públicos deben tomarse el cumplimiento del RGPD como un modo de convertir los datos personales que tratan en un activo, gracias a la reflexión sobre los tratamientos realizados y sobre su encaje dentro de la nueva regulación, para tratar de sacar el máximo partido a sus bases de datos. Tomarse la adaptación como una tarea simplemente enfocada a evitar sanciones sería, a ojos de la AEPD y de cualquier profesional de la privacidad, una pérdida tanto de recursos como de oportunidades.

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid
918 228 031

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla