Interesante Jornada hoy organizada por ENATIC, sobre el RGPD.
Por María del Aguila Bigorra – Responsable de Proyectos de Audisec
Ha intervenido primero Jose Luis Piñar Mañas, ex Director de la Agencia Española de Protección de Datos (AEPD). Algunas notas en relación con su exposición, son las que se exponen a continuación.
El RGPD en una reforma que entra en vigor a los 20 días de la publicación, aunque se aplique en dos años. Dos años pasan volando, ha dicho el ex Director de la AEPD. Además, pasamos de Directiva a Reglamento, de directa aplicación en los países miembros.
El RGPD quiere garantizar la libre circulación de datos en el seno de la UE. Se va a aprobar antes de junio. Y no deben adoptarse medidas por los estados miembros, que sean contradictorias a lo establecido por el RGPD en estos dos años, es la llamada lealtad reglamentaria.
Pueden adoptarse normas que vayan en la misma línea. Latinoamérica ya lo está haciendo: sus normativas son muy semejantes, se han fijado en nosotros, lo que facilitará y abaratará las relaciones profesionales en su caso.
Es la primera vez que un derecho constitucional se va a regular casi plenamente por un reglamento europeo.
¿Y cuál es la relación entre LOPD y RGPD? ¿La desplaza? ¿Supone su definitiva defunción? No, no la desplaza totalmente. El tema es muy complicado. La AEPD está trabajando en la compatibilidad entre LOPD y Reglamento. Se ha constituido un grupo de trabajo a instancia del gobierno y el Ministerio de Justicia, para que se valore incluso la necesidad de una legislación de adaptación entre ambas normas. Jose Luis Piñar forma parte de dicho grupo de trabajo.
El RGPD no exige transposición en España (ni en los Estado Miembros), y las diferencias son sustanciales. Para empezar, en su extensión, además de su contenido. El reglamento es considerable y no fácil de comprender en muchos de sus extremos.
«Este Reglamento pasa por ser una de las normas que más presiones ha recibido: lobbys, compañías, estados, autoridades de protección de datos…»
Este Reglamento pasa por ser una de las normas que más presiones ha recibido: lobbys, compañías, estados, autoridades de protección de datos… Ha sido muy complicado elaborarlo. El primer texto se presente en enero de 2012, y se ha tardado 4 años en aprobarlo. Ha habido más de un comisario que se ha quedado con las ganas de ver el RGPD aprobado durante su mandato. Se han confrontado muchos regímenes jurídicos, muchas posiciones.
El RGPD quiere fortalecer la idea de su aplicación extraterritorial. Una de las grandes tensiones con EEUU es que el RGPD quiere que ser aplicado fuera de la UE, en algunos casos, siendo el artículo 3.2 uno de los más importantes. Se refiere a casos de control de comportamiento por empresas de servicios, por ejemplo, si el ciudadano es europeo. Se han tenido en cuenta sentencias como la de Google y la AEPD, de mayo de 2014.
El RGPD define conceptos nuevos: autoridad de control interesada, establecimiento de tratamiento principal, consentimiento…
En palabras de Piñar, los principios del RGPD están mejor configurados en la LOPD, se podría haber hecho un mejor trabajo en su regulación en el nuevo texto. Hay nuevos principios que vienen del derecho anglosajón: privacidad desde el diseño, privacidad por defecto y “accountability”, traducido como responsabilidad (art 5).
De las más importantes precisamente son la regulación de esos principios (a partir del art 24). El RGPD quiere acercarse a los modelos anglosajones.
La Responsabilidad en concreto va a obligar a los responsable del fichero a ser más activos, a no esperar a que venga la AEPD a investigarnos… Por eso, en palabras de Piñar, la mejor traducción del término en este principio sería “compromiso”.
La Privacidad desde el diseño debe ser garantizada por defecto, adoptándose la medida más garantista en relación con la protección de datos. Por ejemplo, en una red social, por defecto, la privacidad debe ser la más garantista, no la abierta. Que sea el usuario quien la cambie, si quiere. Pero no al revés, como pasa ahora.
Los Derechos ARCO pasan a ser Derechos del Interesado. Hay otros más de los que ahora conocemos: portabilidad y supresión (“derecho al olvido”). Según Piñar, tendremos que pasar poco a poco a olvidar el tan manido término ARCO… La portabilidad va a aplicar a los servicios de telecomunicaciones, incluido en el correo electrónico.
Hay una regulación en el RGPD muy detallada de responsable y encargado de tratamiento. Se define la posibilidad de que haya corresponsables de tratamiento, y la necesidad de que haya un responsable establecido en la Unión Europea cuando el responsable inicial esté fuera de la Unión.
Se regula por primera el registro de actividades de tratamiento: las empresas deben llevar un registro de actividades de protección de datos que se genere en su actividad, obligación tanto para el responsable, como para el encargado, y a disposición de la autoridad de control que lo solicite. Esto viene a colación de que ya no es necesario notificar los ficheros a las autoridades de control. Piñar lo ve razonable porque la inscripción de ficheros “conciencia” a las empresas de que tienen que aplicar la LOPD, que por otro lado lleva a que ya todo hecho, ya se ha cumplido con la LOPD, cuando esto no es real. Este registro de actividades, junto con el principio de responsabilidad, va a ser más práctico en el día a día.
Hay que notificar también las violaciones de seguridad. Es un tema ya previsto en el sistema anglosajón, que España no tenía asumido por evitar el principio de autoinculpación: me callo y nadie se entera, porque si lo digo me sancionarán… Hay 72 horas para notificar a partir de ahora.
«El RGPD quiere evaluar el riesgo de tratar datos personales»
Una de las novedades más importantes es la valoración del riesgo, la perspectiva del riesgo. El RGPD quiere evaluar el riesgo de tratar datos personales. Es un contrapeso más a la obligación de notificar ficheros. Pasamos de una perspectiva formalista de cumplimiento, a una perspectiva funcional, real de cumplimiento. Además, el responsable tendría que consultar a la autoridad de control cuando haya un riesgo alto en el tratamiento de los datos, según la evaluación de riesgos.
Una novedad más: el delegado de protección de datos. Piñar comenta que se tendrían que crear 28000 DPO en toda la UE. Más de 1000 en España. ¿Obligatorio para todos o no? Es un gran caballo de batalla en la negociación del texto. Habrá que ver el que se apruebe finalmente… Las AAPP u organismos públicos tendrán que tenerlo en todo caso, cuando haya tratamientos a gran escala, y categorías especiales de datos. Se podrían compartir delegados en las AAPP. Piñar deja abierto el debate de que las diputaciones provinciales podrían prestar un servicio importante a los ayuntamientos en este caso.
El RGPD hace un guiño a otro concepto muy anglosajón: la autorregulación y la certificación. Sellos y marcas de protección de datos, que demuestren el cumplimiento de la normativa, por parte de organizaciones que a su vez estén acreditadas.
Y por fin se regula con detalle y de forma extensa, la BCR (binding corporate rules) como título habilitante de las transferencias internacionales.
Los países que tienen autorizada la transferencia internacional la seguirán teniendo en tanto que no se revise o derogue esa autorización (Argentina, Israel, Uruguay…).
Se distingue también entre autoridades de control principal e interesada, porque el afectado podría presentar una reclamación ante la filial en España de una multinacional con sede en Holanda. Se establece un procedimiento de cooperación y coherencia entre autoridades de control. La resolución debe ser dictada por autoridad de control principal, salvo que se desestime la petición del interesado, que tendría que tomar la decisión la autoridad de control donde se presentó la reclamación.
Se crea un Comité Europeo de Protección de Datos, que sustituye al Grupo del Artículo 29.
Se regula la responsabilidad por daños materiales o inmateriales que se hayan producido por un tratamiento de datos, dando cabida a indemnizaciones por daños y perjuicios.
Y, también, cambia el régimen de responsabilidad de las AAPP, a las que se podrá sancionar económicamente por primera vez.
Como consecuencia de la entrada en vigor del RGPD, se deroga la Directiva.