Gráfico ‘La Agencia Española de Protección de Datos en cifras’ (2018)

Gráfico ‘RGPD: un año de aplicación’

(Madrid, 21 de mayo de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2018, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La publicación de esta Memoria coincide con el primer año de aplicación del Reglamento General de Protección de Datos (RGPD), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones.

En cuanto a las reclamaciones recibidas a la Agencia durante 2018, se incrementaron casi un 33% (32.8%), pasando de 10.651 a 14.146. Actualizando estas cifras al primer año de aplicación del RGPD, (desde el 25 de mayo de 2018 al 15 de mayo de 2019) se han presentado ante la AEPD 14.397 reclamaciones. En cuanto a la temática recogida en la Memoria 2018, las reclamaciones corresponden a las siguientes materias: inserción indebida en ficheros de morosidad (16%), videovigilancia (11%), servicios de Internet (10%), reclamación de deudas (10%), Administración pública (7%), sanidad (7%), publicidad -excepto spam- (5%), comercios, transporte y hostelería (5%), entidades financieras/acreedoras (4%) y publicidad a través de e-mail o teléfono móvil (4%).

En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019. Este mecanismo, contemplado en el Reglamento para promover la resolución amistosa de las reclamaciones y que no existía con anterioridad, ha generado que dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelvan de forma satisfactoria para el particular. Además, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Por otro lado, el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación.

En cuanto a los casos con otras autoridades europeas (sistema coordinado), de los casi 400 casos analizados, en 2018 la Agencia se ha personado como interesada en 237 de ellos, siendo autoridad líder en 11. Desde el 25 de mayo de 2018 al 15 de mayo de 2019 la Agencia ha analizado 1.026 casos procedentes de otras autoridades europeas, actuando como interesada en 539 de ellos y siendo autoridad líder en 18.

En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se han resuelto 1.784 peticiones en la Agencia. De ellas, casi 200 (191) corresponden a reclamaciones por derecho al olvido. La proporción estimadas/desestimadas de estas 191 tutelas/reclamaciones es prácticamente de un 50%. En cuanto a las entidades reclamadas, Google y sus servicios aglutinan 125 de las 191 (65%), 18 a medios de comunicación (9%), 14 a otros buscadores de Internet (7%), 13 corresponden a Administraciones Públicas y boletines (6%), cifras que se completan con un apartado de peticiones a Otras entidades.

Durante 2018 se han elaborado y puesto en marcha procedimientos para la gestión de las notificaciones de brechas de seguridad y evaluaciones de impacto. Desde el 25 mayo de 2018 hasta el 31 de diciembre, se atendieron 44 consultas previas sobre evaluaciones de impacto y se recibió un total de 547 notificaciones de quiebras de seguridad. Tras el análisis y la clasificación de estas últimas, sólo 16 se han remitido a la Subdirección General de Inspección de Datos, que afectaban a datos de salud, menores, ideología política, y tratamientos masivos de datos.

En el primer año de aplicación del Reglamento (del 25 de mayo de 2018 al 15 de mayo de este año) se han recibido en la Agencia 966 notificaciones de brecha de seguridad. Un 72% de ellas indican que se ha comprometido la confidencialidad de los datos personales y un 36% indican compromiso de la disponibilidad. Más del 53% de las notificaciones de brechas de seguridad tienen como origen un contexto externo e intencionado y, de ellas, el 44% fueron a consecuencia de ciberincidentes mediante algún tipo de técnicas de hacking, malware o mediante phishing. Con respecto a los aspectos procedimentales, el análisis de los incidentes de seguridad notificados apunta a que el 31% de éstos se deben a la pérdida o robo de dispositivos o documentación.

En 2018 se han dictado 907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de Morosidad, Videovigilancia, Spam (LSSI), Publicidad (excepto spam), Servicios de Internet, Reclamación de Deudas, Telecomunicaciones, Administración pública y Sanidad. En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros). Con respecto al año anterior, crecen las reclamaciones por contratación fraudulenta y descienden levemente las de morosidad. Estas dos áreas acumulan un 67% del volumen total de sanciones impuestas en 2018. En cuanto a la temática de las infracciones por parte de las AAPP, estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos o incumplimiento de medidas de seguridad.

En cuanto a las cifras de Delegados de protección de datos notificados ante la Agencia, en 2018 se tramitó la inscripción de 20.043 Delegados de Protección de Datos (17.296 del sector privado y 2.747 del sector público). Cuando ha transcurrido casi un año completo desde la aplicación del RGPD, se han comunicado 34.193 Delegados de Protección de Datos (29.908 del sector privado y 4.285 del sector público).

En lo relativo a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, la Herramienta FACILITA_RGPD, orientada a pymes que realizan tratamientos de bajo riesgo, ha sido utilizada en 2018 en más de 150.000 ocasiones, una cifra que se amplía a 170.000 a fecha 15 de mayo de 2019. Por otro lado, el canal INFORMA_RGPD, que presta soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación del RGPD, ha atendido en 2018 un total de 4.116 consultas. Hasta el 15 de mayo de 2019, esa cifra se ha ampliado a las 4.607. Las consultas más frecuentes de este servicio son las relativas a la obligatoriedad de nombrar un DPD, cuestiones sobre videovigilancia o la utilización de la huella y datos biométricos como medidas de control de acceso y horario del trabajo.

Por último, se han planteado 1.564 cuestiones ante el área de menores de la Agencia, lo que supone un incremento de casi el 74,75% con respecto a 2017 (895). En cuanto a la temática de las consultas que se suelen recibir con mayor frecuencia destacan las siguientes: la toma de imágenes y si es necesario el consentimiento para ello, tanto en las aulas, como en eventos escolares y extraescolares (campamentos, excursiones, funciones teatrales, etc.), así como quién debe otorgar el consentimiento para tratar datos personales de menores cuando los padres están separados. Además, desde la entrada en vigor del RGPD y la Ley Orgánica 3/2018, se plantea la necesidad de designar un DPD por distintos actores en este ámbito y sus funciones.

(Madrid, 21 de mayo de 2019). La solicitud de copia del contenido de la inscripción de ficheros dejará de estar disponible en la Sede Electrónica de la Agencia el próximo día 15 de junio de 2019.

El Reglamento General de Protección de Datos, en vigor desde el 25 de mayo de 2016 y de aplicación efectiva desde el 25 de mayo de 2018, suprimió la obligación de notificar los ficheros de datos de carácter personal a la autoridad de control para su publicación en el Registro General de Protección de Datos estableciendo, en su lugar, como alternativa a dicha obligación la de que cada responsable y, en su caso el encargado, mantenga su propio registro de actividades de tratamiento.

Transcurrido más de un año desde la aplicación efectiva del Reglamento europeo, período en el que los responsables del tratamiento han tenido disponible el citado trámite de solicitud de copia de inscripción como fuente de información para elaborar el registro de actividades de tratamiento de sus organizaciones, la Agencia Española procederá a deshabilitar el formulario disponible hasta ahora en su Sede Electrónica.

(9 de abril de 2019). La Agencia Española de Protección de Datos (AEPD) ha lanzado una nueva versión de Facilita RGPD, una herramienta gratuita para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

Está planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.

A continuación se detallan algunas de las mejoras implementadas en Facilita_RGPD:

Se han desarrollado con mayor detalle las cláusulas de información que se generan para cada uno de los tratamientos realizados por la persona responsable, incluyendo la referencia al derecho a presentar una reclamación ante la Agencia si la persona interesada no ha quedado satisfecha en el ejercicio de sus derechos ante la entidad.
Se facilita el ejercicio de derechos por medios electrónicos al añadir un nuevo campo en el cuestionario de la herramienta que ofrece la posibilidad de incluir un correo electrónico habilitado al efecto para atender las solicitudes de ejercicio de derechos, quedando reflejado este nuevo canal de atención en las cláusulas informativas.
En el caso de tratamiento de datos de la potencial clientela con fines publicitarios, se ha incluido una cláusula en el contrato suscrito con las agencias de marketing -como encargadas- que les obliga a consultar los sistemas de exclusión publicitaria (Lista Robinson) de forma previa a la realización de comunicaciones comerciales.
En el caso de que existan contratos suscritos con empresas de servicios, se ha incorporado una nueva cláusula de confidencialidad para aquellos casos en los que el servicio prestado suponga únicamente un acceso accidental y accesorio a los datos personales, pero sin llegar a tener acceso a los sistemas de información.
Se ha reestructurado el anexo final, separando claramente la información relativa a la atención de las solicitudes de ejercicio de derechos, las medidas de seguridad y el protocolo a seguir en caso de captación de imágenes mediante cámaras de videovigilancia.
Se ha ampliado la información en el apartado de atención de solicitudes de ejercicio de derechos en materia de protección de datos, desarrollando más extensamente la información de cada uno de los derechos e incluyendo un enlace a los formularios publicados en la web de la Agencia.
En cumplimiento del deber de información establecido en el Reglamento General de Protección de Datos y en el artículo 22.4 de la Ley Orgánica 3/2018, se facilita el distintivo informativo de señalización de zona videovigilada ya cumplimentado con los datos de la persona responsable del tratamiento.

La herramienta Facilita_RGPD se lanzó en septiembre de 2017 con la colaboración de CEOE y CEPYME, y durante 2018 más de 150.000 profesionales y empresas obtuvieron sus documentos de apoyo al cumplimiento a través de ella.

La información que las empresas aportan –y que la AEPD no conserva ni monitoriza de forma alguna– les permite obtener esos documentos casi completados. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento; las cláusulas informativas; las cláusulas que deberían incluirse si la empresa contrata con la persona encargada del tratamiento y un nuevo anexo reestructurado que incluye las directrices para atender las solicitudes de ejercicio de derechos en materia de protección de datos que se reciban de las personas interesadas, las recomendaciones sobre las medidas de seguridad mínimas a implantar en la organización por parte de la persona responsable del tratamiento y los requisitos a seguir para un correcto tratamiento de las imágenes captadas mediante cámaras de videovigilancia.

El cuestionario está dividido en cuatro bloques. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata. A continuación, una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, Facilita_RGPD pedirá a la persona responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros). En el tercer bloque, la aplicación solicitará información sobre los tratamientos que realiza (clientela, personal empleado, currículums de personas candidatas, etc.) Con la información aportada, en la última fase se generarán los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.

No obstante, la persona responsable del tratamiento, en cumplimiento de la responsabilidad proactiva que establece el RGPD, debe revisar la documentación generada y verificar que refleja las circunstancias exactas de los datos recogidos, las comunicaciones realizadas y demás condiciones de cada uno de los tratamientos que realiza, así como las medidas de seguridad, técnicas y organizativas que haya implantado.