Algunas cuestiones comentadas por la AEPD en la 9º Sesión Abierta

En base al RGPD el grupo de Trabajo del Art. 29 de la Directiva pasará a ser el Nuevo Comité Europeo de protección de datos y sus hasta ahora recomendaciones pasarán a ser vinculantes.

 

La nueva LOPD es posible que inicie su trámite de consultas públicas antes del verano y por lo tanto tendremos un primer contacto con ella en ese momento, aunque sea en modo borrador.

 

Para las PYMES con tratamientos de datos sencillos y de riesgo bajo se presentará una aplicación llamada NanoPymes que les ayude a gestionar sus obligaciones con el nuevo RGPD, esta herramienta que está en fase Beta, es posible que vea la luz antes del verano. Recuerda a las Pymes que incluir los datos en esta herramienta no es sinónimo de cumplimiento, pues deberán aplicar las preceptivas medidas de seguridad.

 

El esquema de certificación de DPD o DPO es posible que se haga público antes del verano ENAC la AEPD y las empresas que serán capacitadas para su expedición están trabajando en ello.

 

La nueva guía de evaluación de impacto a la protección de datos se publicaría en el segundo semestre del año, al igual que la lista inicial de tratamientos sujetos a su realización obligatoria.

 

En breve se publicarán:

  • Guía para centros docentes y padres explicativas de vías de comunicación con la AEPD con la inclusión de material audiovisual
  • Resultados de la inspección de oficio realizada a Hospitales
  • Herramientas para el análisis de riesgos
  • Anuncia la reciente publicación de la Guía de Protección de Datos para el Ciudadano.

Las medidas de seguridad del título VIII del RLOPD no están basadas en el análisis de riesgo y afectan a la seguridad que los responsables aplican a sus organizaciones. El análisis de riesgos del RGPD se basa en riesgos que el tratamiento de datos implica para los interesados, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas

 

La auditoría es un proceso necesario que verifique el nivel de cumplimiento de la norma, actualice y realimente los procesos de análisis de riesgo y las evaluaciones de impacto y verifique la seguridad del tratamiento en base al estado de la tecnología el alcance, el contexto y los fines del tratamiento

 

El ENS que se aplica a las AAPP es perfectamente aplicable a la empresa privada, al igual sucede con la ISO 27001

 

Aunque el Documento de Seguridad como tal no queda regulado en el RGPD la mayor parte de su contenido estará vigente si es debidamente actualizada, en especial las normas, estándares y procedimientos de seguridad, así como todas las autorizaciones y delegaciones en él contenidas.

 

Algunas incompatibilidades del DPD o DPO serán:

Si es externo: que tenga alguna otra relación o colaboración empresarial o de negocio con el responsable o encargado.

Si es interno: que realice otras tareas dentro de la organización, en especial si está involucrado en la toma de decisiones que afecten a los tratamientos de datos que se están llevando a cabo

 

La portabilidad se aplicará a los tratamientos automatizados basados en el consentimiento, si la base jurídica del tratamiento es otra desaparece esa obligatoriedad. También se excluirán de la portabilidad los tratamientos secundarios o inferidos como la elaboración de perfiles.

La portabilidad necesita de formatos interoperables no de compatibilidad en sentido estricto.

 

Las evaluaciones de impacto se podrán hacer para varios tratamientos con idénticas finalidades, por ejemplo si se establece un sistema masivo de videovigilancia, bastará con hacerlo en una de las ubicaciones y será extensible al resto, ojo con características similares.

Las metodologías para realizar una evaluación de impacto deben ser reconocidas.

 

Es importante tener en cuenta los criterios de evaluación de altos riesgos establecidos por el GT 29, donde cuando más de un criterio sea positivo el riesgo será considerado elevado y por tanto implicará necesariamente la realización de una evaluación de impacto.

 

El RGPD determina la obligación de contratar un DPO:

  • Administraciones Públicas
  • Tratamiento de datos sensibles a gran escala
  • Seguimiento regular y sistemático a gran escala

 Algunos ejemplos orientativos en el sector privado

  • Aseguradoras y reaseguradoras
  • Empresas de suministro básicos como energía eléctrica o gas natural, tanto los distribuidores como los comercializadores
  • Las entidades de crédito
  • Las entidades que desarrollen actividades de publicidad que elaboren perfiles
  • Los centros sanitarios
  • Los centros de formación reglada como universidades
  • Los colegios profesionales
  • Las empresas dedicadas al juego on-line

El DPO será único, pero podrá tener detrás un equipo de trabajo igualmente cuando se contrate externamente con una persona jurídica, esta deberá especificar a una única persona que realice dichas tareas.

 

Con el RGPD las excepciones de aplicación de la norma de protección de datos que se especificaban en el art. 2.2 del RLOPD desaparecen, esto es, los datos personales de personas físicas que trabajan en personas jurídicas paran a estar bajo el amparo de la nueva normativa, si bien su tratamiento podrá continuar en base al interés legítimo siempre que utilicemos los datos como contacto para llegar a la persona jurídica en la que trabajan y no para otros usos o finalidades

 

El consentimiento actual para los tratamientos seguirá siendo válido si y solo si se ajusta a los requerimientos del RGPD, en caso contrario habrá que solicitarlo de nuevo con arreglo al RGPD.

Los consentimientos tácitos o por omisión son los que dejarán de tener validez, salvo los que se utilicen con finalidad de mercadotecnia para ofrecer productos o servicios de similares características a los que compró o utilizó el interesado.

 

Las fuentes de acceso público como se conocen hasta el momento no existen en el RGPD, ahora nos referiremos a datos manifiestamente públicos.

 

Las clausulas informativas anteriores son válidas si ya lo eran y a partir de la obligatoriedad del RGPD se informará conforme a las nuevas especificaciones del RGPD, preferiblemente en dos capas (básica y ampliada) y con lenguaje claro y entendible

 

Respecto a la información de los plazos de conservación se apuesta por incluir el de mayor duración o el criterio principal que lo justifique.

 

El régimen sancionador no da margen a la actuación de los estados miembros, ya está tipificado y su horquilla de sanciones es descomunal. Solo se podrán realizar aportaciones en los plazos de prescripción de las infracciones y en la posibilidad de aplicar sanciones económicas a las AAPP

 

Los procesos de transparencia no se ven afectados con el RGPD

 

Los actuales códigos tipo podrán seguir funcionando si se actualizan al RGPD y servirán para probar la presunción de cumplimiento de la norma, se pretende fomentar en ellos la inclusión de resolución de conflictos de manera extrajudicial o por mediación.

 

El uso de la Histórica clínica para estudios de investigación será compatible con el atamiento original asistencial siempre que sea anonimizado y supervisado por el comité ético del centro y por tanto exento de información y consentimiento.

 

Los periodos transitorios en el RGPD no existen, ya estamos inmersos en el periodo transitorio que abarca desde la entrada en vigor del RGPD hasta el 25 de mayo de 2018, por lo tanto todos los cambios hay que hacerlos dentro de este periodo para que el 25 de mayo esté todo conforme al RGPD.

 

La figura del responsable de Seguridad. No está regulada ni descrita en el RGPD su mantenimiento en la organización será del todo voluntario, al igual que un responsable de sistemas, de comunicaciones, etc. Es importante que el DPO tenga un equipo detrás y esta figura podrá mantenerse en ese equipo y serán las propias organizaciones quienes determinen su necesidad.

 

Las Transferencias Internacionales autorizadas a fecha actual seguirán siendo válidas con el RGPD que lo que hace es flexibilizar su régimen y adoptar nuevos instrumentos para facilitar su tramitación.

 

En mercadotecnia en principio se podrá aplicar el interés legítimo, pero habrá que analizar los casos, puesto que el perfilado de los interesados no cabe dentro del interés legítimo.

 

Respecto del blanqueo de capitales, si se hace a gran escala y sus datos son sensibles entrañará riesgo para los interesados y quedará sujeto a las prescripciones del RGPD respecto de estos tratamientos, como la realización de evaluaciones de impacto o la necesidad de disponer de un DPO

 

Respecto a la portabilidad de las historias clínicas el GT29 ha establecido que ya existen normas sectoriales que obligan a tal portabilidad y por lo tanto estaremos atentos a la regulación específica

 

Sobre la Memoria Anual de 2016, que aún no ha sido publicada, la AEPD ha aplicado reducciones del 20% de las multas en casos de reconocimiento de la infracción o de pago espontáneo de la misma. Asimismo la Directora resaltó el elevado número de sanciones impuestas a empresas de energía y de telecomunicaciones.

 

Anuncia la futura apertura por parte de la AEPD de un canal de atención al responsable del tratamiento y a los consultores de protección de datos.