(Madrid, 4 de junio de 2018). La Agencia Española de Protección de Datos (AEPD) ha celebrado hoy su 10ª Sesión Anual Abierta, en la que se ha efectuado un repaso por las implicaciones prácticas del Reglamento General (RGPD) y las iniciativas de adaptación al mismo, haciendo especial hincapié en herramientas como Facilita_RGPD -para empresas que traten datos de bajo riesgo-, que ya ha recibido 180.000 visitas, y las guías de análisis de riesgos y evaluación de impacto en la protección de datos.

En la Sesión también se ha analizado el gran volumen de comunicaciones enviadas a los ciudadanos en los días previos al 25 de mayo que, con carácter general, solicitan renovar el consentimiento con el argumento de que es necesario para cumplir con el Reglamento. La Agencia recuerda que el RGPD no obliga, en principio, a renovar el consentimiento que se prestó previamente si éste cumple con los requisitos del Reglamento, como tampoco es necesario obtener dicho consentimiento si la base jurídica para tratar los datos es una relación contractual previa.

Asimismo, la Agencia ha remarcado que la prestación de estos consentimientos no es necesaria salvo en los casos en los que el tratamiento anterior se justificara en un consentimiento tácito, o que al amparo de esa renovación del consentimiento se pretenda obtenerlo para nuevas finalidades.

Durante la apertura de la 10ª Sesión Anual, la directora de la AEPD, Mar España, se ha referido al amplio número de empresas y profesionales que en estos días están recibiendo ofertas de asesoramiento para la adaptación al RGPD. La Agencia ha alertado que en ocasiones únicamente se facilita documentación que crea una apariencia de cumplimiento sin incluir las actuaciones necesarias para verificar el mismo; en otras, se incluye la designación como Delegados de Protección de Datos (DPD) a quienes les han asesorado sin que sea obligatoria ni necesaria esta figura para dichas empresas, e incluso se genera una apariencia de estar actuando en colaboración con la autoridad de protección de datos sin que ello sea cierto.

En este sentido, la Agencia ha subrayado que en el caso de que la Agencia tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas. Estas actuaciones, se ha añadido durante la Sesión, pueden verse reforzadas con la inclusión en el Proyecto de Ley Orgánica de Protección de Datos en tramitación, de una enmienda que considera estas conductas como prácticas agresivas a los efectos de la Ley de Competencia Desleal.

Mar España también ha hecho referencia a los DPD y al volumen de notificaciones realizadas a la AEPD para comunicar la designación de esta figura. Esta cifra actualmente supera las 8.000 notificaciones.

La Agencia también ha analizado en una de sus ponencias el registro de actividades de tratamiento, una de las primeras medidas de cumplimiento que debe adoptarse y cuya elaboración puede ser considerada un primer paso de gran relevancia para acometer la adaptación a los requisitos del RGPD, ya que supone revisar los tratamientos que se están realizando dando lugar a una actualización de los mismos.

En el caso de pymes que traten datos de riesgo bajo, la AEPD recuerda que el registro de actividades de tratamiento es uno de los documentos que ofrece la herramienta FACILITA_RGPD. Para responsables o encargados con un nivel de riesgo más elevado se podría utilizar el registro de ficheros de datos personales elaborado durante la vigencia de la LOPD como punto de partida para la elaboración del citado registro. Por su parte, la AEPD ha publicado su propio Registro de actividades de tratamiento, facilitando criterios como los plazos de conservación, o las categorías de datos y de destinatarios.

Por otra parte, la 10ª Sesión Anual Abierta ha abordado los códigos de conducta, un mecanismo de autorregulación por el que las entidades se dotan de normas para regularse a sí mismas a partir de las estipulaciones del RGPD, lo que proporciona un valor añadido al sector de actividad correspondiente. La Agencia no sólo debe impulsar su elaboración, sino que se muestra convencida de que se trata de un instrumento que va a permitir un correcto cumplimiento del RGPD y que proporciona seguridad jurídica a las entidades adheridas.

El régimen sancionador ha sido otro de los aspectos que han sido objeto de análisis de la Sesión Anual Abierta. En este sentido, la Agencia ha incidido en que existen medidas, como la advertencia o un apercibimiento dotado de una mayor flexibilidad, que pueden adoptarse en lugar de una sanción económica cuando, pese a producirse un error, se aprecie y documente una adecuada diligencia en el cumplimiento del RGPD. Asimismo, ha señalado que las autoridades de control también pueden, en vez de imponer una multa, o además de imponerla, ordenar medidas como la limitación o la suspensión del tratamiento, que impedirían a un responsable continuar llevando a cabo esos tratamientos que constituyen un riesgo para los derechos y libertades de los ciudadanos, todo ello sin menoscabo de la facultad de ejercer la potestad sancionadora cuando el caso así lo requiera.

(Madrid, 11 de mayo de 2018). La Agencia Española de Protección de Datos  ha publicado su registro de actividades con el objetivo de mostrar de forma transparente cómo puede elaborarse este registro en caso de tratamientos complejos o Administraciones Públicas. El espíritu de esta publicación es ayudar a otros responsables a encontrar respuesta a su búsqueda de un ejemplo de cómo cumplir con esta obligación, aunque el principio de responsabilidad activa recogido en el Reglamento General de Protección de Datos (RGPD) deja a cada responsable la decisión de cómo implementarlo.

El artículo 30 del Reglamento establece que “cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. La realización de este registro servirá a cada responsable o encargado para responder a lo expuesto en el considerando 82, que afirma que “todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.

Con este objetivo, la AEPD ha puesto a disposición de los responsables la herramienta  FACILITA_RGPD que construye, entre otros, el registro de actividades para tratamientos de escaso riesgo para empresas y organizaciones privadas.

Si bien en este momento no existe ninguna previsión legal que obligue a responsables y encargados de tratamiento a publicar su registro de actividades, con el objetivo de mostrar cómo construirlo en caso de tratamientos más complejos o para la administración pública, la AEPD ha elaborado y publicado el suyo, que refleja los tratamientos de datos de carácter personal que realiza.

Para ello, ha partido del registro de ficheros que había definido a lo largo de sus 25 años de actividad, revisando y agregando aquellos tratamientos que podrían responder a la misma base jurídica, colectivo y finalidad y añadiendo, en su caso, aquellos nuevos tratamientos derivados de las obligaciones que el Reglamento General de Protección de Datos impone.

El registro de actividades publicado, y que responde al detalle descrito en el artículo 30.1 del RGPD, además de incorporar la base jurídica que legitima el tratamiento, pretende mostrar de modo transparente cuáles son los tratamientos. La AEPD ha descrito hasta el momento veintiuna actividades de tratamiento, muchas de las cuales  pueden corresponder con las que muchos responsables realizan: “Registro de E/S”, “Gestión de RRHH”, “Gestión y control de biblioteca”, “Transparencia: acceso a la información”, “Seguridad”, “Quejas y reclamaciones”, “Gestión presupuestaria y económica”. Estas actividades pueden reconocerse en otros responsables, aunque corresponde a cada uno decidir el nivel de agregación o desagregación que impone a su registro de actividades.