Ayer, tuvo lugar la 9ª Sesión Anual Abierta AEPD, de la Agencia Española de Protección de Datos. Sobre las 10 de la mañana hicimos un breve resumen de la primera parte de la jornada. Hoy pretendemos hacer un resumen de la segunda parte de la jornada, que no será más corto, pero si más sustancial.
Hemos de decir que mucha parte de la jornada transcurrió en la reivindicación de lo que ha hecho la agencia hasta ahora respecto a su plan estratégico. En este artículo nos centramos solo en los datos de la jornada que consideramos relevantes, o nuevos, que no se encontrarán en guías o documentos ya publicados. Esperamos que os sea de utilidad.
La jornada de la AEPD. Expectativas
Las expectativas eran muy altas, todos esperábamos, el que más o el que menos:
-
- El borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, pero no llegó.
- RGPD: Nueva información sobre los criterios de la AEPD, aclaración de términos indeterminados o ambiguos, etc. y claro, documentación.
Por los comentarios de twitter, y corrillos que se formaron en el evento, podemos decir que la jornada se inició con grandes expectativas, que a medida de su desarrollo, no se vieron del todo alcanzadas. Quizás es que la agencia tampoco tiene claro muchas de las cosas que esperamos conocer. Podéis ver los vídeos de la jornada, aquí.
Sobre la modificación de la LOPD
Como antes dijimos, casi todos esperábamos el borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. Nos hubiéramos conformado con una fecha de publicación del mismo. Pero no, nada de nada, excepto una calendario previsible.
La única información facilitada a este respecto, es la que dio la directora de la AEPD, Dª. Mar España, en su intervención.
El pasado viernes 19/05/17 se aprobó en la Comisión General de Codificación, el texto presentado por la ponencia de Agencia Española de Protección de Datos, ahora es el momento, del impulso legislativo por parte del ministerio. Comenzara a circular próximamente a través de la Comisión de Secretarias y subsecretarias de estado, y antes de verano previsiblemente será publico el trámite de información pública, donde todos ustedes podrán hacer propuestas. Ha sido una ley compleja …. Me van a perdonar, que por el principio de confidencialidad no pueda dar más detalles.
Confiemos que pueda estar aprobada, dependiendo de la tramitación, para mayo del 2018
Re-resumen de la primera parte
- La AEPD está trabando con ENAC sobre el certificado del Delegado de Protección de Datos DPO – DPD, en España. Están preparando directrices sobre requisitos técnicos y de evaluación.
- La AEPD está trabajando con CCNCERT para adaptar la herramienta PILAR al RGPD, para que sea a utilizada por los Responsables de Tratamiento Públicos y así facilitar su cumplimiento.
- Anuncia la colaboración con los distintos ministerios para la difusión y formación en materia de Reglamento Europeo de Protección de Datos para todas las Administraciones Públicas AAPP.
- Para después del verano según les concedan medios, la AEPD tiene previsto la puesta en marcha Unidad de atención a los responsables y profesionales de privacidad. Solo habrán dos personas, así que la agencia sugiere sistematizar y canalizar las consultas de los profesionales a través de las asociaciones profesionales. No coment.
- El grupo del artículo 29, está trabajando en varios documentos de directrices sobre, Consentimiento, Perfilado, Certificaciones, Transparencia, Notificaciones de violación de seguridad y Herramientas de transferencias internacionales. La adopción de estos documentos está prevista para el año 2018, pero algunas serán aprobados y publicados para recoger las opiniones de los interesados, en el próximo plenario del grupo, a principios de junio.
- El consentimiento tácito que se darán indicaciones y sugerencias, algunos ejemplos en los cuales la AEPD, entiende que podrá encontrarse en algunas causas de legitimación en casos concretos.
- Presentación de la Herramienta NanoPymes
Herramienta NanoPymes.
Se trata de una herramienta diseñada por la AEPD para facilitar el cumplimiento de micro pymes, que traten datos con nivel de riesgo para la privacidad, muy bajo (prácticamente inexistente). La herramienta es una herramienta web, gratuita y que facilita parte del cumplimiento por parte de los sujetos antes mencionados.
Resaltamos la aclaración del D. Andrés Calvo, coordinador de Evaluación y Estudios tecnológicos de la AEPD:
La cumplimentación de los formularios de la herramienta, no significa que se haya cumplido con la herramienta. El asesoramiento por parte de la Agencia o un tercero va a seguir siendo necesaria.
En ningún caso se va a reducir el cumplimiento a pulsar un botón o rellenar un formulario.
Ahora sí, la segunda parte de la jornada
Quien escribe este post, cree que la segunda parte fue muy atropellada, mucha información a la vez que los ponentes batían récords de palabras por minuto. Por este motivo, hablaremos de forma global de las ponencias de esta parte:
Ponencia Exposición nuevas directrices para aplicación del RGPD
El ponente, D. Rafael García Gonzalo. Jefe del Departamento Internacional de la AEPD. Habló de las 4 guías hasta ahora presentadas, por el Grupo del Artículo 29. El ponente procuró comentar el contenido de las guías, y a su manera, aclarar en parte su contenido. Aclaraciones importantes:
-
- Aceptación significativa o sustancial en Tratamientos Transfonterizos: no hay definición pero facilitan elementos para determinar si existe tal afectación. Y así se mantiene. Ver el RGPD.
- El Delegado de Protección de Datos:
- Que sea externo deberá cumplir con los mismos requisitos técnicos y profesionales exigibles a los delegados internos.
- Para evitar conflictos de intereses, se debe hacer una lista de actividades compatibles e incompatibles, en las que podrá o no participar el delegado.
- Sobre el derecho a la portabilidad, no supone que los Responsables del tratamiento, tengan que adoptar sistemas compatibles sino interoperables. Importante, ¡eh
- Sobre los criterios para evaluar si es necesario hacer una Evaluación de Impacto en la Privacidad. Si de la lista facilitada por el Grupo del Artículo 29. Regla básica, si aparecen 2 o más de los criterio se debería hacer la EIPD.
- La Consulta a la Autoridad de Protección de Datos, es exclusiva para aquellas situaciones en las que una vez realizada la EIPD, y puestas las medidas correctivas, persiste un alto nivel riesgo que no puede ser corregido.
Ponencia. Nuevas funciones de las autoridades de control y evaluaciones de impacto.
Ponente, D. Pedro Colmenares, Subdirector General de Inspección de la AEPD. Os diremos que fue una de las ponencias más entretenidas. La ponencia versó sobre los retos de cambio que deben afrontar las Autoridades de Control, deberán cambiar a la realidad del RGPD. Sobre los cambios generales que introducirá la aplicación del reglamento en la memoria anual de la AEPD.
El segundo tema de esta ponencias fue las EIPD, y nos gustaría destacar una aclaración hecha por el ponente.
Teniendo capacidad de hacer la EIPD, aunque no se vean obligados a hacerla, pues seguramente, será muy oportuno que en su caso, ante la duda, las realicen
Ponencia. Informes y sentencias Relevantes
Ponencia de D. Agustín Puente. Como siempre, en este punto los temas tratados son completamente variopintos, y útiles. Algunas de las sentencias mencionadas que recomendamos ver, tienen que ver con pseudoanonimización; condiseración de la IP dinámica como dato personal; acceso y utilización de datos de los clientes del franquiciado por la franquicia; recogida de datos de internet con software; publicación en youtube de ceremonia religiosa; uso de datos de personas de contacto; culpa in vigilando de Responsable respecto al cumplimiento del Encargado. Entre muchos otros.
Ponencia. Actualización de criterios
Ponente, D. Jesús Rubí. Esta ponencia fue muy práctica, D. Jesús, sentencias en mano, se dedicó a recordar los criterios clásicos de la AEPD, aplicadas en las instrucciones y expedientes sancionadores.
-
-
- Cruce de de bases de datos publicitarios con la Lista Robinson, siempre, salvo que se tenga autorización expresa. pantallazo
- Acceso indebido a historias clínicas, por parte de profesionales. La AEPD sanciona al Responsable, pero le solicita que depure responsabilidades del profesional.
-
Consultas planteadas por los asistentes durante la inscripción.
La mayoría de presuntas tuvo que ver con el Reglamento Europeo de Protección de Datos. No cabe duda que es un tema que preocupa e interesa a la par. Datos que podríamos considerar aclaratorios y se pueden considerar interesantes.
-
-
-
- El Delegado de Protección de Datos:
- Puede ser externo o interno, pero en cualquier caso deberán cumplir con todos los requisitos exigidos. Por ser externo no se rebajan.
- Debe ser una persona concreta, con independencia de si le apoya un grupo o un departamento completo. Consulta contestada por D. Agustín Puente.
- Lista orientativa de la AEPD, sobre Responsables que seguramente necesitarán un DPO.
- El Delegado de Protección de Datos:
-
- Certificación de profesionales.
- No es requisito indispensable para acceder al puesto de DPO.
- Habrán otras maneras de acreditar los conocimientos y cualidades profesionales que el reglamento requiere.
- Cualidades profesionales. Especialización y práctica.
- Capacidad para desempeñar las funciones.
- Será un instrumento para garantizar transparencia y garantía.
- Certificación de profesionales.
-
- Desaparece la exención del artículo 2.2 RDLOPD sobre tratamiento de datos de contacto. Son datos personales en todo caso, aunque a veces exista legitimación para tratarlos. Pantallazo
- Consentimiento.
- En el RGPD es una clara acción informativa.
- Se podrán agrupar las finalidades en lugar de tener mil casillas.
- Si en el aviso legal está claro todo, con la aceptación del mismo el usuario está aceptando.
- Mencionan la opción de consentimientos en sentido negativo. Siempre que el usuario manifieste su aceptación.
- El consentimiento tácito en la publicidad se considera nulo y genera un efecto en cascada respecto a todos las partes inmersas en el tratamiento de los datos.
- El marketing como interés legítimo.
- Con el RGPD decimos adiós al concepto de datos accesibles al público.
- Las opciones puestas en la presentación son múltiples, miradlas.
- No se puede considerar el Título VIII del RDLOPD como metodología de Análisis de riesgos.
-
-
Conclusiones
Como antes mencionamos, esperábamos que la jornada diera mucho más de sí. Más información sobre el Reglamento, sobre los criterios que aplicará la agencia, materiales, en fin, mucho más. Ahora bien, tal como salió, también fue de gran utilidad, y estamos seguros que lo dicho, ya ha abierto caminos y opciones.
Esperemos que en breve tengamos noticias de la modificación de la LOPD, más guías de la agencia y del grupo del artículo 29. Esa es la única manera de que podamos llegar al 25 de mayo del 2018, cuando inicia la aplicación total del Reglamento Europeo de Protección de Datos, y que estemos cumpliendo al máximo.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!