Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Mar España, Directora de la Agencia Española de Protección de Datos (AEPD)

"Desde la aplicación del RGPD, las reclamaciones han aumentado un 30% respecto al año pasado"

16/10/2018 - Tx: Enrique González Herrero. Ft: AEPD.
El Reglamento General de Protección de Datos (RGPD) entró en aplicación el 25 de mayo, pero no puede decirse que haya plena satisfacción con la adaptación de las empresas. Especialmente en el caso de las pymes, a las que más les está costando asimilar la norma. Por ello, la Agencia Española de Protección de Datos (AEPD) continúa su trabajo de difusión de esta disposición, cuyo incumplimiento puede acarrear sanciones importantes. No en vano, las reclamaciones se han multiplicado, como asegura Mar España.

El 25 de mayo entró en aplicación el Reglamento General de Protección de Datos (RGPD). Si tuviera que quedarse con una de las novedades que ha introducido esta norma, ¿cuál diría que es la más importante de todas?

Es difícil quedarse con una de las novedades, ya que son numerosas y todas tienen importancia. Uno de los cambios más significativos es el principio de responsabilidad activa, que supone una perspectiva de la protección de datos distinta de la que se venía empleando en el pasado. El Reglamento modifica el enfoque reactivo que existía con anterioridad por uno preventivo, lo que implica que los responsables que tratan datos personales deban adoptar las medidas oportunas para estar en condiciones de demostrar que cumplen con lo dispuesto en el nuevo marco normativo.

Por otro lado, en un mundo fuertemente tecnologizado, era necesario ofrecer una respuesta global. El Reglamento se aplica también a multinacionales que ofrecen servicios desde fuera de la Unión Europea cuando estos se dirigen específicamente a usuarios en España o hacen un seguimiento de su comportamiento en la Red, algo habitual en los servicios de Internet. Además, el Reglamento ha ampliado los derechos de los ciudadanos en relación con la información que se les debe facilitar, incorporando también nuevos derechos como el de portabilidad.

¿Cuál es su percepción sobre el proceso de adaptación de las empresas? En términos generales, ¿cree que se ha dejado todo para el último día?

Nos consta que ha habido empresas que, debido a la cantidad y complejidad de los tratamientos, comenzaron la adaptación con un margen amplio. Otras quizás no lo hicieron con tanto margen, pero disponían de los recursos humanos y técnicos necesarios como para hacerlo en un tiempo menor.

Por otro lado, soy consciente del esfuerzo adicional que ha podido y puede suponer la adaptación al Reglamento para pymes y autónomos, que son precisamente las que en algunos casos disponen de menos recursos. Por eso presentamos en septiembre de 2017, cuando faltaban ocho meses para la aplicación del Reglamento, la herramienta gratuita Facilita_RGPD, un test online que se realiza en menos de 20 minutos y que ayuda a adaptarse en el caso de pymes y autónomos que traten datos de escaso riesgo. Facilita_RGPD ha recibido más de 500.000 visitas en este tiempo.

Pymes y autónomos abarcan el 99 por ciento del tejido empresarial español. ¿Cuál es la situación de este tipo de empresa en cuanto al cumplimiento del RGPD? 

La AEPD y la Confederación Española de la Pequeña y Mediana Empresa (CEPYME) presentamos hace unos meses la Encuesta sobre el grado de preparación de las empresas españolas ante el RGPD, donde se pone de manifiesto que seis de cada diez pymes conocen el nuevo Reglamento. Asimismo, y pese al esfuerzo de adaptación, los resultados nos indicaron que nueve de cada 10 pymes considera que el Reglamento es mejor que la normativa anterior y ocho de cada 10 lo percibe como positivo.

Desde la entrada en vigor del Reglamento, la Agencia ha desplegado una intensa y creciente actividad enfocada a dar a conocer las implicaciones y desafíos de la normativa a empresas, administraciones y ciudadanía. Dentro de esta iniciativa se incluye la elaboración y puesta a disposición de los interesados de guías, orientaciones y herramientas para facilitar el proceso de adaptación, así como la realización de acciones de difusión en todas las comunidades autónomas con organizaciones empresariales autonómicas con la colaboración de CEOE y CEPYME, así como con Unión Profesional.

Todos los materiales están a disposición de los interesados en la página web de la AEPD. Además, también disponemos de la Unidad de Atención al Responsable, creada para acompañar en este proceso a las empresas que alberguen dudas en cuanto a las obligaciones de Reglamento. Con todo, la Agencia continuará realizando acciones formativas y de concienciación a través de organizaciones y asociaciones sectoriales.

El RGPD entraña también retos para la propia AEPD. ¿Cuáles son los principales cambios que han de afrontar como autoridad?

El RGPD ha supuesto una armonización en el nivel de garantías para las autoridades de protección de datos de la UE, que ahora disponen de las mismas potestades para garantizar el cumplimiento de la ley. En el caso de la AEPD, la normativa española de protección de datos ya le atribuía potestades relevantes. Esas potestades se mantienen y, además, hay que destacar la colaboración establecida entre las diferentes autoridades europeas de protección de datos y la creación del Comité Europeo de Protección de Datos. Las autoridades tendremos que cooperar en procedimientos transfronterizos en el caso de que un determinado tratamiento pueda afectar a varias autoridades. 

Por otro lado, desde el punto de vista interno, la AEPD también ha tenido que adoptar medidas para adaptarse al Reglamento. Entre ellas, la elaboración del Registro de Actividades de Tratamiento, para lo cual hemos revisado los tratamientos que realiza la Agencia, así como las obligaciones que impone el RGPD y que deben figurar en dicho registro, o la designación del Delegado de Protección de Datos (DPD). Asimismo, al desaparecer la inscripción de ficheros, esa área se ha reconvertido a una unidad de apoyo y ayuda al responsable. 

En cuanto a la carga de trabajo, además de las numerosas acciones de concienciación y difusión que llevamos realizando los últimos dos años entre los organismos públicos y las empresas, la aplicación del RGPD también ha supuesto un significativo incremento en el número de reclamaciones que los ciudadanos plantean ante la Agencia. Se han registrado más de 4.000 reclamaciones desde el 25 de mayo, un 30 por ciento adicional que en el mismo periodo de 2017.

¿En qué situación se encuentra el proyecto de nueva Ley Orgánica de Protección de Datos?

El Proyecto se encuentra en tramitación en el Congreso de los Diputados. Si bien se ha aprobado el Real Decreto-Ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la UE sobre protección de datos, que era imprescindible para poder garantizar los derechos de los ciudadanos de forma efectiva, confiamos en la aprobación de la ley orgánica se produzca lo antes posible. En el debate de convalidación, los grupos parlamentarios manifestaron su voluntad de impulsar la aprobación de la ley.

La creación de la figura del DPD ha sido una de las novedades principales del RGPD. España es la única autoridad en Europa que cuenta con un esquema de certificación para estos profesionales. ¿En qué nos beneficia del resto de países europeos contar con dicho esquema?

El Esquema de Certificación de Delegados de Protección de Datos facilita un punto de referencia para tratar de evitar cualificaciones de baja calidad. Este esquema ha despertado interés tanto dentro como fuera de España, pero nuestro objetivo es ofrecer un modelo para los profesionales de la protección de datos en España. Varias entidades se han interesado en él, y puede consultarse tanto en nuestra web como en la página de la Entidad Nacional de Acreditación.

El esquema beneficia tanto a aquellos que tienen que incorporar esta figura a sus organizaciones como a los profesionales de la privacidad. Los primeros tienen la opción de elegir a personas que disponen de una cualificación que ha sido demostrada ante un tercero (entidad de certificación acreditada) y el profesional dispone de un marco de referencia con el que encaminar su formación si así lo desea. En cualquier caso, es importante mencionar que la certificación no es la única vía para ser DPD, que en ningún caso es obligatorio utilizar un determinado esquema y que puede ejercerse la función de DPD a través de otros procesos formativos o de experiencia en la materia.

En cuanto a las sanciones que incluye el Reglamento, usted ha expresado en alguna ocasión que antes de multar se optará por otras medidas, como apercibir a las empresas que no cumplan. ¿Se aplicará esto en todos los casos? 

Se ha hablado mucho del régimen de sanciones del RGPD destacando las cifras más elevadas, pero el Reglamento también prevé otras opciones, un conjunto de medidas correctivas que pueden aplicarse con flexibilidad para garantizar el cumplimiento sin tener que llegar a la imposición de multas, como las advertencias o los apercibimientos. La adopción de unas u otras estará vinculada, entre otros aspectos, a la diligencia que se haya tenido en la aplicación de las medidas proactivas de cumplimiento y a las pruebas aportadas que permitan demostrarlo.

El Reglamento deja abierta la opción de que los Estados sancionen o solo adviertan a las administraciones públicas que incumplan. Si en España no se las va a sancionar, ¿cómo van a garantizar que se cumple la normativa y que los datos de los ciudadanos van a estar seguros?

El Proyecto de Ley Orgánica que se está tramitando no establece, en su actual redacción, sanciones económicas a las entidades recogidas en su artículo 77, y contempla otras actuaciones para garantizar el cumplimiento, siguiendo la línea de la LOPD vigente. Entre esas actuaciones se incluye el establecimiento de medidas para que cese la conducta o se corrijan los efectos de la infracción cometida, la proposición para que se inicien actuaciones disciplinarias o la comunicación al Defensor del Pueblo de la resolución dictada. 

En cuanto a la notificación de incidentes de seguridad, las empresas habrán de dirigirse a la autoridad competente en la materia. No obstante, teniendo en cuenta que también se acaba de aprobar la nueva Ley de Sistemas y Redes de la Información, donde también se obliga a informar de los incidentes, parece que el concepto de "ventanilla única" desaparece en el caso de las brechas de datos. ¿Podría haber incompatibilidades en este sentido?

El RGPD obliga a notificar aquellos casos en los que la brecha suponga un perjuicio para los derechos y libertades de las personas. En consecuencia, sigue siendo necesaria la existencia de ventanillas para aquellos casos en los que la brecha no afecta a los derechos y libertades de las personas. La Agencia seguirá manteniendo el canal de notificaciones de brechas de seguridad, sin perjuicio de la futura plataforma común de incidentes a la que refiere la disposición adicional tercera del Real Decreto-ley de Seguridad de las Redes y Sistemas de Información.

¿Qué criterios empleará la AEPD para determinar si la evaluación de impacto o el análisis de riesgos que han de realizar las compañías respecto a sus datos es adecuado?

Cuando un responsable decide consultar a Unidad Tecnológica de la Agencia porque considera que no puede eliminar los riesgos que ha encontrado tras haber realizado el correspondiente análisis, la AEPD estudia la documentación aportada, analiza los riesgos detectados e informa al responsable sobre la licitud del tratamiento si este fuera posible con unas salvaguardas adicionales.

Con carácter general, analizamos la información siguiendo las pautas que se han planteado en nuestras guías de análisis de riesgos y evaluaciones de impacto en protección de datos, que recogen una metodología adecuada tanto para evaluar el nivel de riesgo como para establecer las medidas de control más adecuadas para minimizarlo. Ambas guías, disponibles en la página web de la Agencia, incluyen además plantillas y anexos de gran utilidad para empresas y profesionales a la hora de realizar estos procesos.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual