Francisco Javier Sempere: "El RGPD no sólo posibilita imponer multas, creo que la advertencia no se está utilizando y podría ser muy efectiva para determinados casos"
Entrevistamos a Francisco Javier Sempere Samaniego, Letrado del Consejo General del Poder Judicial, con ocasión de la celebración del I INSIGHT Club DPD AEC 2021.
1.- Hola Francisco Javier, nos acercamos a la fecha del próximo 25 de mayo de 2021 en la que celebraremos el tercer aniversario de la plena aplicación del Reglamento General de Protección de Datos. En su opinión y poniendo el foco en la figura del DPD ¿cuál es el balance de estos tres primeros años de andadura?
Bueno, aunque la figura del Delegado de Protección de Datos ya existía con anterioridad al RGPD, la aplicación de la norma europea ha supuesto un impulso a esta profesión. Cada vez más las organizaciones, tanto públicas como privadas, demandan un asesoramiento en protección de datos, teniendo en cuenta que es una materia de carácter horizontal, y que, además, en la actualidad se utilizan tecnologías a través de las cuales se realizan tratamientos de datos personales, muchas de veces, de forma masiva. Éste es el “hábitat” donde el DPD debe jugar un papel fundamental.
A esa labor de asesoramiento añadiría su labor de supervisión, pero debe quedar claro que la responsabilidad recae siempre en el responsable o encargado del tratamiento de los datos personales, ya que, en ocasiones, me encuentro con situaciones o comentarios que parecen dar a entender que la responsabilidad recae en el Delegado, cuando no debe ser así. Como digo, su función es asesorar y supervisar, pero quien responde del cumplimiento de la norma debe ser la organización pública o privada que realice el tratamiento de datos personales.
2.- El RGPD se edificó normativamente en un contexto diferente y más claro que el actual marcado por la pandemia y sus efectos. ¿Hasta qué punto la nueva realidad propiciada por la crisis de la COVID-19 está afectando en la labor de los DPD?
Sinceramente creo que las tecnologías que han aparecido en los últimos años y que han sido estudiadas y analizadas en relación con su afectación al tratamiento de datos personales, han confluido todas ellas en este tiempo de COVID-19. Por ejemplo, en el caso de las Apps y en su modalidad de auto-diagnóstico o rastreo, el uso de drones para controlar aforos o la vertiente de la utilización de cámaras en su modalidad de control de temperatura. El uso de reconocimiento facial en los exámenes on-line, la comunicación de datos a la policía para controlar los aislamientos, o la recogida de datos personales de restaurantes y locales comerciales a los efectos de posibles rastreos de contagiados. Todo ello ha supuesto importantes retos para los Delegados de Protección de Datos, en aquellas organizaciones que han implementado o valorado la puesta en marcha de alguna de las medidas anteriormente citadas, y que, obviamente, se les ha consultado con carácter previo.
Además, también ha supuesto poner de manifiesto la relevancia de la protección de datos en un mundo tan tecnológico como el actual, su ponderación con el derecho a la salud, sirviendo también, todos estos acontecimientos a los que me he referido, para concienciar a la población.
3.- En este encuentro en el que usted ha intervenido se ha abordado entre otras cuestiones el tema del Procedimiento sancionador y sus últimas tendencias. Pensando en el interés de aquellos de nuestros lectores que no han podido asistir al evento ¿podría indicarnos cuáles son esas últimas tendencias?
Antes de nada, quiero aprovechar para agradecer a la Asociación Española para la Calidad, AEC, y al Club del DPD que lidera, que me hayan invitado, una vez más, a participar, en esta ocasión en el primer INSIGHT del año, cuyo fin es abordar cuestiones específicas sobre protección de datos impartidas por aquellos que puedan mostrar una mayor experiencia.
En cuanto a las nuevas tendencias, mi ponencia estuvo dividida en varios apartados destacando los siguientes: como se están gestionando las denominadas reclamaciones transfronterizas, con ejemplos como que en ocasiones no se está siguiendo lo dispuesto en el RGPD, ya que no se están tramitando como tal; las dos multas impuestas por la AEPD a dos bancos que han supuesto un récord en la historia de nuestra autoridad de control ya que se les ha multado con 6 y 5 millones de euros, respectivamente; el ranking de multas impuestas por otras autoridades de control, siendo la más alta hasta la fecha de 50 millones; qué ocurre cuando la Inspección de la AEPD procede a la apertura de un expediente en relación a las brechas de seguridad que previamente se le han notificado; qué ha sucedido cuando se ha denunciado tanto a organizaciones privadas como las Administraciones públicas que no había designado delegado de protección de datos estando obligados a ello; y por último, el análisis de resoluciones en cuatro bloques temáticos como son videovigilancia, publicidad de datos, tratamiento de datos en el ámbito laboral, y COVID-19.
4.- ¿La Agencia y sus sanciones serán más severas una vez pasemos la etapa pandémica o al menos la situación se haya “normalizado”, o preguntado de otra forma, estamos en fase de “tregua sancionatoria”?
Antes de nada, recordemos que el RGPD no sólo recoge la posibilidad de imponer multas sino también otras figuras como el apercibimiento o la advertencia.
De hecho, creo que la advertencia no se está utilizando y podría ser muy efectiva para determinados casos para los que creo que no es necesario proceder a la apertura de un procedimiento sancionador, ni siquiera aunque acabe en un mero apercibimiento. Por ejemplo, podría usarse en reclamaciones sobre videovigilancia.
Por otra parte, se ha continuado con criterios que ya se aplicaban con la normativa anterior respecto a determinados expedientes, como serían los supuestos de contratación irregular, o incluir a una persona en los tratamientos de solvencia patrimonial sin cumplir los requisitos para ello, en que la multa oscila entre 50.000 y 80.000 euros.
Recientemente hemos tenido las dos sanciones a los bancos que he mencionado anteriormente, por vulneraciones del derecho de información y la legitimación para el tratamiento de datos en relación con las políticas de privacidad utilizadas.
En todo caso, no creo que se vaya a producir un aumento automático de la cuantía de las sanciones, si bien cada año es posible que sí se impongan algunas multas con altas cuantías pero sin que sea la norma general.
5.- Sin abandonar el ámbito sancionador ¿la figura del DPD goza o no hoy día en las organizaciones del nivel de independencia que debiera, y hasta qué punto habría que ponderar el nivel de independencia que se concede al DPD en su organización a la hora de sancionar?
Creo que hay que diferenciar, de forma muy clara, cuál es el papel del Delegado de Protección de Datos, y cuál del responsable y del encargado a los que presta su servicio, ya sea un Delegado de carácter interno formando parte de la plantilla, o externo si se ha acudido a su contratación.
Como ya he expuesto, el Delegado debe asesorar y supervisar, acompañar en los proyectos que pongan en marcha los citados para que sean acordes a la normativa de protección de datos y respetuosos con los derechos de los afectados.
Cuanto mayor sea la independencia funcional del Delegado, mejores resultados se obtendrán, y la relación con los responsables y encargados será más fluida y fructífera.
El Delegado no es un enemigo ni un espía al servicio de la autoridad de control, sino un aliado.
Por otra parte, para determinar la cuantía de una infracción tanto el RGPD como la LOPDGDD, establecen una serie de criterios que pueden utilizarse como agravantes y atenuantes, pero no se encuentra entre los mismos valorar esa independencia. Sí lo está, que podría usarse como atenuante, disponer de un Delegado cuando no sea obligatorio.
No obstante, lo que sí se podría sería sancionar a un responsable o encargado por no garantizar la independencia del Delegado.
6.- El RGPD es un Reglamento dónde no siempre se dice cómo hacer las cosas, pues solo marca a los DPD lo que tienen que garantizar. Esto nos lleva a que pueda haber discrepancias significativas en la aplicación del Reglamento en distintas organizaciones. En este sentido ¿cree que se echa en falta la presencia de una autoridad armonizadora?
Creo que esa labor le corresponde, hasta cierto punto, al Comité Europeo de Protección de Datos, dado los poderes y funciones que le ha atribuido el RGPD. En la práctica se está traduciendo en los numerosos informes y directrices que ha aprobado interpretando los artículos del RGPD.
Es decir, digamos que en esa interpretación, ya que no puede imponer obligaciones que no contemple la norma europea, fija unos criterios mínimos sobre cada artículo en esos documentos. Pues bien, a partir de ahí, puede existir margen de maniobra, pero este hecho sigue la línea del RGPD, ya que se optó por una norma flexible y no rígida. Un ejemplo sería el cambio de un modelo seguridad basado en niveles (básico, medio, alto) en función del tipo o categorías de datos a tratar, a los que les correspondía unas medidas tasadas, a otro que se fundamenta en el análisis del riesgo y una vez obtenido el resultado de ese análisis, implementa las medidas de seguridad que se consideren.
Otra cuestión sería que el RGPD dejó margen para que los Estados miembros regulasen determinados aspectos, por lo que existen divergencias. El caso más claro es la edad de los menores para el consentimiento, que el RGPD recogía que podía ser entre 13 y 16, y que cada Estado lo ha fijado como ha creído conveniente.
7.- En el borrador existente del futuro Reglamento Europeo de Privacidad Electrónica (e-Privacy) existen referencias y alusiones constantes al Reglamento (UE) 2016/679 (RGPD) respecto a los datos personales aunque sabemos que este nuevo Reglamento de e-Privacy deberá regular también la protección de los derechos y las libertades fundamentales de las personas jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas, aspecto que, en principio, queda fuera del RGPD. Dicho lo cual ¿qué papel corresponderá desempeñar al DPD ante la necesaria armonización y alineación que se habrá de realizar por o para ambos Reglamentos (e-Privacy y GDPR)?
El papel del Delegado de Protección de Datos es esencial a la hora de interrelacionar cualquier norma, ya sea las vigentes, como cualquier otra que se apruebe en el futuro, con lo recogido en el RGPD y en la LOPDGDD, en la medida en que afecten al tratamiento de datos personales. Por ejemplo, el supuesto que planteas de Reglamento e-Privacy, pero podríamos citar otros, como puede ser, en el sector público, la aplicación de las leyes de transparencia y reutilización de la información, o en el sector privado, la Directiva de pagos, conocida como PSD2.
Sobre el Reglamento e-Privacy, el Comité Europeo de Protección de Datos ya puso de manifiesto la interacción existente entre la Directiva 2002/58, que va a ser derogada por el citado Reglamento, y el RGPD, sobre las competencias, funciones y poderes de las autoridades de protección de datos. Tengamos en cuenta que en la actualidad, y respecto a la LSSI, que transpone esa Directiva, la AEPD controla lo referente a los populares “cookies”, cuyos avisos de información son denostados, así como las comunicaciones comerciales.
Tendremos que esperar a que el Reglamento E-Privacy sea aprobado, pero seguirá habiendo esa interrelación con el RGPD. Así se desprende de varios de los preceptos de su última versión, por lo que el papel del DPD, será relevante en aquellas organizaciones donde la norma sea aplicable.
8.- Y para terminar, la aplicación extensiva en todos los ámbitos económicos y productivos de las nuevas tecnologías como son la Inteligencia Artificial, el Machine Learning, la Big Data, la automatización de procesos o RPA, el Blockchain, la computación cuántica, ¿hay que considerarlas como un aliado o una amenaza para el DPD en su labor de cumplimiento de la normativa en privacidad?
Siempre me gusta decir que las tecnologías, como las que citas, así como cualquier otra que aparezca en el futuro, no son ni buenas ni malas, sino que dependerá del uso que se haga de las mismas.
Desde el punto de vista de la protección de datos, cualquier tecnología que se utilice, y que mediante la misma se vaya a realizar un tratamiento de datos personales, debe partir de dos premisas fundamentales: el cumplimiento del artículo 6 sobre legitimación para el tratamiento de datos (también el 9 cuando sean categorías especiales de datos) y el cumplimiento de los principios del artículo 5, todos ellos del RGPD. Es decir, respetar el “cuándo puedo tratar los datos personales” y “cómo debo tratarlos”.
Por ello, la labor del Delegado de Protección de Datos se muestra fundamental para analizar todas las cuestiones que pueden afectar a la protección de datos.
Pero es muy importante que este asesoramiento se realice desde el principio, y no al final en plan “Llamemos al DPD que nos hemos olvidado de la protección de datos”.