“Uno de los objetivos principales del Reglamento es reforzar el control de las personas sobre sus propios datos de carácter personal”


La directora de la Agencia Española de Protección de Datos, Mar España, analiza en esta entrevista los aspectos más relevantes del Reglamento General de Protección de Datos que comenzó a aplicarse el pasado 25 de mayo.


 

Con la entrada en vigor del RGPD y la gran carga de trabajo que le supondrá a las autoridades de control nacionales, ¿está preparada la AEPD para asumir sus nuevas competencias en la materia y dispone de los medios suficientes para acometer estos nuevos retos?

Desde la AEPD hemos constatado que, como ya ocurriera en 2007 con la entrada en vigor del Reglamento de desarrollo de la LOPD, la aplicación del Reglamento General de Protección de Datos ha supuesto un incremento en la carga de trabajo de la Agencia. Desde el 25 de mayo de 2018, la AEPD ha registrado casi 4.000 reclamaciones, lo que representa más de un 30% adicional que en el mismo periodo de 2017.

En lo que se refiere al ámbito competencial, la normativa española de protección de datos ya establecía un elevado nivel de garantías, incluyendo el apartado de competencias, por lo que el nuevo Reglamento no ha incorporado grandes cambios en este sentido. No obstante, el RGPD sí ha supuesto una armonización de las mismas para el conjunto de las autoridades de control de la UE, que ahora cuentan con las mismas herramientas para garantizar el cumplimiento de la normativa de protección de datos. 

Es necesario destacar en este punto que el Reglamento regula procedimientos transfronterizos, en los que las autoridades estaremos obligadas a cooperar en el caso concreto de que varias puedan verse afectadas como consecuencia de un determinado tratamiento. Esta obligación de cooperación se regula en los complejos procedimientos de cooperación y coherencia, lo que influye en la gestión de los procedimientos que se tramitan. Por lo que respecta al capítulo de medios, en 2017 se incorporaron 11 personas a la plantilla de la Agencia, otras seis procedentes de la oferta de empleo público, y está prevista la incorporación de 11 personas más en 2018 que se han solicitado. Confiamos en que los presupuestos de 2019 reflejen un refuerzo proporcionado de los medios personales con las actuales competencias, para equipararnos a los países de nuestro entorno y poder afrontar con eficacia los retos actuales.

Como ente centralizador de las peticiones y consultas de empresas y ciudadanos en materia de protección de datos, ¿en qué grado considera que este Reglamento Europeo ha supuesto un antes y un después respecto de la visión de estos grupos de interés en el cumplimiento del mismo?

El RGPD entró en vigor el 25 de mayo de 2016 y pese a que, desde entonces, la Agencia ha intensificado de forma gradual sus esfuerzos para que ciudadanos, empresas y administraciones conocieran las implicaciones de la nueva normativa, probablemente el punto de inflexión fue el 25 de mayo de este año, fecha en que comenzó a aplicarse el Reglamento. En los meses previos, la Agencia multiplicó las acciones divulgativas en todas las comunidades autónomas, ante organizaciones empresariales y administraciones, y completó la oferta de guías, orientaciones y herramientas para facilitar la adaptación al Reglamento. Es preciso destacar el esfuerzo que las organizaciones están haciendo para adaptarse al nuevo modelo que supone el RGPD. Al introducir el principio de responsabilidad activa, el Reglamento supone una aproximación distinta a la protección de datos de la que se venía empleando. El Reglamento cambia el tradicional enfoque reactivo por uno preventivo, lo que implica que aquellos que tratan datos personales deben adoptar las medidas oportunas para estar en condiciones de demostrar que cumplen con el nuevo marco normativo.

Por otra parte, en la Agencia hemos trabajado en la elaboración de materiales de concienciación sobre los nuevos derechos que el RGPD reconoce a los ciudadanos, labor que se ha complementado con una campaña de difusión en televisión. Asimismo, en la actualidad la Agencia dispone de un espacio de concienciación sobre protección de datos en Radio 5, que cada semana aborda un tema y ofrece recomendaciones para los ciudadanos y consejos para facilitar el cumplimiento de la normativa a las organizaciones que tratan datos personales.

En definitiva, todo cambio legal supone un esfuerzo de adaptación a la nueva normativa. Pero creo que nos encontramos en un momento en el que la protección de datos es una materia conocida mayoritariamente por los ciudadanos – el 76% reconoce que les preocupa mucho o bastante la privacidad y el tratamiento de sus datos, según datos recientes del CIS- y que nivel de cumplimiento de las empresas seguirá en ascenso. En todo caso, la AEPD continuará haciendo un esfuerzo de difusión de la normativa vigente entre todos los colectivos implicados.

Dentro del nuevo marco sancionador que establece el RGPD, ¿cuál será el peso de las actividades preventivas adoptadas y el de riesgo de los datos tratados a la hora de imponer las elevadas multas que prevé el RGPD? ¿Y en el caso de administraciones públicas?

El RGPD, respecto de la LOPD, contempla un mayor abanico de medidas correctivas que pueden aplicarse con flexibilidad para garantizar el cumplimiento sin tener que llegar a imponer multas. No obstante, también recoge sanciones económicas, que pueden ser, en su caso, de cuantía muy elevada con el fin de ser disuasorias de graves lesiones del derecho a la protección de datos personales. La adopción de unas u otras estará muy relacionada con la diligencia en la aplicación de las medidas proactivas de cumplimiento y de la acreditación documental que permita probarlas. El Proyecto de Ley Orgánica en tramitación no establece sanciones con cuantía económica para las entidades recogidas en su artículo 77, manteniendo el mismo criterio recogido en la actual ley vigente y estableciendo otras actuaciones para garantizar el cumplimiento.

“El Reglamento cambia el tradicional enfoque
reactivo por uno preventivo”

En términos generales, ¿cuál es el grado actual de cumplimiento de las obligaciones de protección de los datos personales de las administraciones públicas en España? ¿Cree que la Administración Pública está actualmente preparada para el cumplimiento normativo integral en materia de protección de datos?

Creo que es pronto para poder realizar una valoración rigurosa en este sentido. En cualquier caso, la Agencia viene desplegando una intensa actividad para informar, asesorar y acompañar a las AAPP en la adecuación y cumplimiento del RGPD. Las AAPP cuentan con magníficos profesionales que, con la debida formación, sin duda van a ayudar en el cumplimiento de la nueva normativa de protección de datos. Para ello, desde la Agencia se están impulsando un abanico de acciones dirigidas a proporcionar esa formación, en particular en colaboración con el INAP, pero también con otras instituciones y organismos, desde las propias CCAA, o con la FEMP y COSITAL. En este sentido, la Agencia ha publicado una guía de adaptación al Reglamento para la Administración Local, y vamos a seguir realizando actuaciones diversas para fomentar el cumplimiento. 

En relación a la actividad propia en el Cuerpo de Registradores a través de su colegio profesional, ¿con que tipo de actividades cree que los colegios profesionales deben fomentar entre sus colegiados la cultura de la protección de datos?

Los registradores, como todos aquellos responsables del tratamiento de datos personales, han de observar el RGPD, por lo que deben conocerlo y aplicarlo. Dado que los tratamientos que realiza el colectivo de registradores en el desarrollo de su actividad son comunes a todos ellos, sería interesante que por parte del Colegio de Registradores se especifiquen criterios para el cumplimiento, facilitando esta labor a cada uno de ellos y optimizando los recursos de los que disponen con la finalidad de que les sea más sencilla su adaptación al tratamiento concreto. 

Atendiendo a lo establecido en el artículo 2.2.a) del Reglamento (UE) 2016/679, según el cual éste no se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derechos de la Unión (como son los tratamientos de los Registros de la Propiedad y Mercantiles) y que no existe en la actualidad una LOPD nacional aprobada conforme a este Reglamento, ¿sería correcto entender que la protección de datos en los tratamientos públicos derivados de los Registros de la Propiedad y Mercantiles se les debe aplicar la LO 15/1999 interpretada según los principios y criterios fundamentales del Reglamento (UE) 2016/679 siendo conscientes de la multiplicidad de situaciones que pueden darse carentes de una regulación legal precisa que deberán resolverse aplicando fundamentalmente el principio de responsabilidad proactiva?

A partir del 25 de mayo de 2018 la normativa aplicable a estos tratamientos será su legislación específica y, en su caso, La Ley Orgánica de 1999. Tras la aprobación del Proyecto de Ley Orgánica en tramitación en las Cortes Generales, en la redacción del proyecto (art. 2.3), serán aplicables su legislación específica, el RGPD y la nueva Ley Orgánica que se haya aprobado.

Uno de los principales retos tanto de particulares como de Administraciones Públicas es el conocimiento y comprensión del RGPD. ¿Qué acciones formativas tiene previsto llevar a cabo la AEPD al respecto y a qué colectivos irán dirigidas?

La labor que la Agencia ha desarrollado para el conocimiento, sensibilización y cumplimiento del RGPD ha tenido como destinatarios los sujetos obligados tanto públicos como privados, y ha consistido, por una parte, en la elaboración de materiales, recursos y herramientas, accesibles en la web de la Agencia, como guías, directrices, hojas de ruta para cumplir con el RGPD y herramientas como FACILITA, una ayuda al cumplimiento del RGPD para aquellas empresas que realizan tratamientos de datos de escaso riesgo.

Asimismo, viene realizando una labor de información y concienciación de las entidades del sector público y privado. Se han organizado sesiones, jornadas, talleres y encuentros en colaboración con organizaciones empresariales y profesionales (CEOE, CEPYME, Unión Profesional y otros agentes involucrados) con las que se ha cubierto la práctica totalidad del territorio español, y de los distintos sectores de actividad y de las profesiones colegiadas.

Igualmente, y como ya he apuntado, hemos impulsado la organización de cursos para conocer y aplicar correctamente el RGPD dirigido a los empleados públicos, en particular a los que desempeñan o van a desempeñar funciones de Delegado de Protección de Datos, impartidos por profesionales de la propia Agencia y desarrollados en colaboración con el INAP, la FEMP y otras instituciones públicas. 

En el caso del derecho a la privacidad de los ciudadanos, ¿hasta qué punto la nueva normativa de protección de datos protege a los ciudadanos frente a la realidad incuestionable de una sociedad anclada de manera integral en las redes sociales y en los servicios de la sociedad de la información a través de Internet?

Uno de los objetivos principales del Reglamento es, precisamente, reforzar el control de las personas sobre sus propios datos de carácter personal, más si cabe en un contexto como el actual, marcado en gran medida por las nuevas tecnologías y la constante aparición de nuevos servicios en internet. No hay que olvidar que la anterior normativa de protección de datos data de 1995, fecha en que Google o Facebook ni siquiera existían.

Consciente de esta realidad, el legislador recoge en el Reglamento derechos que ya existían -como del derecho de acceso, rectificación, oposición y cancelación (supresión)-, e incorpora otros nuevos, como el derecho a la portabilidad, que recoge expresamente que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado, por ejemplo, una red social, podrá solicitar la recuperación y traslado de esos datos a otra plataforma.

Por otra parte, en un mundo globalizado en el que se prestan servicios de internet a usuarios en España desde terceros países fuera de la Unión Europea, el RGPD ha incorporado garantías específicas exigiendo su cumplimiento a estas terceras empresas cuando dirijan sus servicios a usuarios en la UE o monitoricen su conducta, práctica habitual en la prestación de servicios gratuitos que se financian con publicidad. De no ser así, los usuarios españoles estarían desprotegidos 

En relación al proyecto de LOPD, que se encontraba en fase de enmiendas antes del último cambio de Gobierno, ¿para cuándo se prevé su aprobación y entrada en vigor? ¿Cómo afectará esta ley al marco general legislativo nacional en materias sectoriales que no incorporen en la actualidad el cumplimiento de los principios de la LOPD?

El Reglamento recoge un total de 56 remisiones al derecho interno de los Estados miembros y, en otros casos, es el propio texto el que exige que se realice una adaptación. Esa necesidad de adaptación supuso la aprobación por el Consejo de Ministros del Proyecto de Ley Orgánica, que actualmente se encuentra en tramitación en el Congreso de los Diputados. Desde la perspectiva de la autoridad de supervisión es necesario poner de relieve la necesidad de que se apruebe la nueva Ley lo antes posible.

Teniendo esto en cuenta, y sin perjuicio de que los aspectos que configuran el contenido esencial del derecho fundamental a la protección de datos de carácter personal deben regularse en la Ley Orgánica, recientemente se ha aprobado el Real Decreto-Ley 5/2018 para la adaptación del Derecho español a la normativa de la UE sobre protección de datos. Este Real Decreto era imprescindible para poder garantizar de forma efectiva los derechos de los ciudadanos y ofrecer seguridad jurídica a los responsables. 

Por último, en su opinión, ¿cuáles son las medidas clave recogidas en el RGPD para que cualquier empresa pueda tener un alto grado de cumplimiento de la normativa?

El cumplimiento del RGPD implica la observancia de todas las obligaciones que impone, que serán distintas según el nivel de riesgo que para los derechos y libertades de las personas implique el tratamiento de sus datos, para lo que todas las medidas a adoptar resultan clave. Por ello prefiero referirme a dos de los principios que inspiran el RGPD, que son el de la proactividad de los responsables y encargados del tratamiento, por el que no sólo han de cumplir el RGPD sino que han de poder demostrarlo, y el del análisis de los riesgos al que he hecho referencia, que va a determinar las medidas técnicas y organizativas que se han de aplicar para garantizar la seguridad en el tratamiento de los datos.