El 25 de mayo de 2017, a falta exactamente de un año para que el Reglamento General de Protección de Datos (“RGPD”) sea de plena aplicación en la UE, la Agencia Española de Protección de Datos (“AEPD”) celebró su 9ª sesión anual abierta, centrada una vez más en las implicaciones que tendrá la nueva normativa europea.

De esta sesión, durante la que se abarcaron multitud de temas, destacamos lo siguiente:

  • Aunque las previsiones iniciales eran más optimistas, la AEPD ha anunciado que la nueva normativa española de protección de datos, adaptada al RGPD y que sustituirá a la LOPD, probablemente no verá la luz hasta mayo de 2018.
  • La AEPD ha mostrado una versión en pruebas de una herramienta de ayuda para pymes, denominada “NANOPYMES”, que permitirá generar, mediante las respuestas a un cuestionario, la documentación mínima indispensable para cumplir el RGPD respecto de tratamientos de datos que tengan un riesgo bajo (registro de actividades de tratamiento, cláusulas informativas, contratos de encargo de tratamiento y un listado de medidas de seguridad mínimas).
  • La AEPD también ha presentado su nueva guía de protección de datos para el ciudadano, que: (i) explica las principales obligaciones en el tratamiento de datos, así como los derechos de protección de datos y cómo ejercerlos; (ii) analiza tratamientos específicos, como, por ejemplo, los relacionados con ficheros de morosos, comunidades de propietarios y publicidad; y (iii) enumera los recursos que la AEPD pone a disposición de los ciudadanos.
  • La AEPD ha reiterado que el artículo 2.2 del Reglamento de desarrollo de la LOPD (que prevé la inaplicación de la normativa de protección de datos a determinados datos de contacto profesionales) no será válido cuando el RGPD sea plenamente aplicable, aunque, según el caso, el tratamiento de estos datos podrá justificarse en otra base jurídica, como puede ser el interés legítimo.
  • Respecto de la obligación de información, la AEPD ha insistido en la recomendación de facilitar la información por capas, según describe en su guía para el cumplimiento del deber de informar, y ha recordado que la información que el responsable debe facilitar a los interesados conforme al RGPD no será exigible para los tratamientos respecto de los que ya se haya informado con anterioridad al 25 de mayo de 2018 en cumplimiento de la LOPD.
  • Igualmente, la AEPD ha recordado en que el consentimiento tácito dejará de ser válido y ha hecho especial hincapié en la importancia de aprovechar este periodo transitorio para adecuar los consentimientos obtenidos de esa manera. No obstante, también ha resaltado que en caso de que ese consentimiento no se “subsane” mediante la obtención de un nuevo consentimiento inequívoco conforme a lo dispuesto en el RGPD, aún cabrá plantearse si existe otra base jurídica que permita continuar el tratamiento.
  • La AEPD prevé publicar una lista de tratamientos de alto riesgo para los que será necesario, por tanto, realizar la evaluación de impacto. No obstante, esta lista no tendrá carácter oficial hasta su aprobación por el todavía inexistente Comité Europeo de Protección de Datos.
  • La AEPD ha vuelto a recalcar que las medidas de seguridad del Reglamento de desarrollo de la LOPD no podrán considerarse suficientes para cumplir las obligaciones en materia de seguridad del RGPD. Ha apuntado, no obstante, que las auditorías de seguridad serán necesarias, porque si bien el RGPD no prevé expresamente esta obligación, la proactividad exigida por esta norma determina la necesidad de controlar que las medidas de seguridad implementadas funcionan adecuadamente y son suficientes. Respecto de su periodicidad, ha indicado que corresponderá a responsables y encargados determinarla según las circunstancias del tratamiento. La AEPD ha anunciado que publicará recomendaciones sobre análisis de riesgo y medidas de seguridad.
  • Respecto del delegado de protección de datos, la AEPD está trabajando con la ENAC y un grupo de expertos en un esquema de certificación (habida cuenta de que conforme al RGPD, para ser delegado no es exigible ninguna clase de certificación).
  • La AEPD ha recordado que el RGPD no da margen a los Estados para tipificar las infracciones con mayor grado de detalle, de forma similar a como lo hace la LOPD, salvo en lo relativo al plazo de prescripción y la posibilidad de imponer sanciones económicas a las administraciones públicas.
  • A lo largo del próximo año, las autoridades europeas continuarán trabajando en la publicación de directrices para ayudar al cumplimiento del RGPD, incluyendo en relación con el consentimiento, la transparencia, la creación de perfiles, las transferencias internacionales y las notificaciones de violaciones de seguridad.

Autor: Sergio Sanfulgencio