El pasado 4 de junio la Sección TIC del Colegio de Abogados de Madrid y el Capítulo de Madrid de la International Association of Privacy Professionals (IAPP), con la colaboración de ISACA Madrid e IAB Spain, organizaron en la sede colegial una sesión en la que, bajo el título “Tras el primer aniversario del RGPD: presente, futuro e impacto internacional”, se analizó el impacto de la plena aplicación del Reglamento General de Protección de Datos para empresas, administraciones y ciudadanos, así como los principales retos que se plantean a futuro.
La sesión, que fue presentada por Alejandro Touriño Pena (Presidente de la Sección TIC del Colegio de Abogados de Madrid), contó con la participación de David Javier Santos Sánchez (Jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos), Marisa Boronat Velert (Delegada de Protección de Datos. Jefa de la División de Gobernanza y Transparencia en el Banco de España), Rosa María Lago Espejo Saavedra (Subdirectora de Seguridad y Delegada de Protección de Datos en MAPFRE España), Ricardo Barrasa García (Presidente de ISACA Madrid y Socio de NTASYS), Paula Ortiz López (Directora de Asuntos Jurídicos e Institucionales de IAB Spain) y Daniel López Carballo (Co-Chairman IAPP Madrid Knowledge Chapter y Socio del Área de IT, Privacidad y Protección de Datos de ECIJA)
En su presentación Alejandro Touriño hizo especial hincapié en el cambio que había supuesto la plena aplicación del RGPD, no sólo desde el punto de vista jurídico, sino también organizativo y en materia de seguridad, aspectos que deben entenderse como una oportunidad de crecimiento y desarrollo para las empresas y administraciones, atendiendo al marco normativo y la conciliación con aspectos tales como la innovación, el desarrollo de nuevos modelos de negocio y la visión europea de una realidad, que en ocasiones, supera las propias fronteras. Así, puso de relieve que, dentro del proceso de cumplimiento, uno de los primeros pasos que han de darse, es el conocimiento de la estructura, negocio, equipos, riesgos y bondades, desde un análisis no sólo con la mirada en el hoy, sino en el futuro, definiendo los tratamientos que se quieren llevar a cabo. Realidades que, en la era del big data, internet of things y el blockchain, facilitan el crecimiento y evolución de los diferentes modelos de negocio, la optimización de recursos y evolución de servicios por la propia administración, dentro del respeto a la intimidad, privacidad y honor de las personas.
En el desarrollo de la jornada, los diferentes ponentes analizaron el presente valorando los doce meses transcurridos desde la plena aplicación del RGPD. En este sentido, para David Javier Santos Sánchez “el RGPD ha supuesto una transformación muy importante en lo que se refiere al tratamiento de los datos personales, y ha obligado a las entidades, públicas y privadas, a realizar un importante esfuerzo para adaptarse a los mismos. Con la finalidad de facilitar dicha transición, la AEPD ha publicado diferentes guías en relación con los diferentes tratamientos, análisis de riesgos, evaluaciones de impacto y otras cuestiones. Asimismo, ha creado la herramienta FACILITA, orientada a pymes que realizan tratamientos de bajo riesgo y que ha sido utilizada en 170.000 ocasiones y el canal Informa para resolver dudas, habiendo contestado a más de 4.000 consultas. No obstante, en relación con las consultas que llegan al Gabinete Jurídico se observa que hay modificaciones que todavía no han calado del todo en la nueva cultura de protección de datos, como es el caso de las bases legitimadoras de la licitud del tratamiento recogidas en el artículo 6, que suponen un nuevo enfoque en el que el consentimiento del afectado ha perdido su carácter esencial para ser una base más en igualdad de condiciones que el resto de bases legitimadoras, por lo que cuando concurra una de las restantes no será necesario ni deberá pedirse el consentimiento. Y especialmente, la falta de adaptación al nuevo modelo basado en la responsabilidad activa, que supone que el responsable está obligado a realizar una serie de actuaciones, como el análisis de riesgos y, en su caso, la evaluación de impacto y la consulta previa a la AEPD, que sólo a él le competen, asistido, en su caso por el delegado de protección de datos, que se convierte en una figura central del nuevo sistema, tal y como lo demuestra, por otro lado, que las dos terceras partes de las reclamaciones que se han trasladado a dichos delegados han sido resueltas de forma satisfactoria para los afectados”.
Por su parte Marisa Boronat Velert, enfatizaba en la idea de que, “el RGPD ha marcado un antes y un después de la Privacidad. Por un lado, el ciudadano ha tomado conciencia del incalculable valor de sus datos personales y de que dispone de herramientas para recuperar su privacidad. Por otro, el nuevo modelo de responsabilidad proactiva respecto de su cumplimiento (accountability) unido al endurecimiento de las sanciones en caso de incumplimiento, ha conllevado que todas aquellas empresas y organizaciones que tratan datos personales tomen conciencia de que la protección de datos personales es un derecho fundamental al que le deben prestar especial atención”. Una reflexión que compartían los asistentes, entendiendo que, con la vista atrás hace un año, las entidades obligadas se planteaban el RGPD como una carrera contrarreloj que finalizaba el 25 de mayo, cuando en realidad, este proceso de cumplimiento implicaba una carrera de fondo, de la que el 25 de mayo solo era el punto de partida y de la que todavía queda mucho por correr.
“En una sociedad global, donde constantemente hablamos de nuevos modelos de negocio, del impacto tecnológico, y la necesidad de abordar determinadas cuestiones de una óptica internacional, el RGPD ha venido a facilitar dichos aspectos, reconocimiento la mayoría de edad de empresas e instituciones para tratar datos personales, poniendo de manifiesto que, junto con la innovación entendida desde la óptica empresarial y tecnológica, debe darse un paso firme hacia la innovación legal, dando soluciones a las nuevas cuestiones que se plantean y mitigando los riesgos asociados, desde el respeto a los derechos de las personas” reflexionaba Daniel López Carballo.
Para Paula Ortiz López, “este primer año de Reglamento ha sido un año de ajustes y de aprendizajes en cuanto a la aplicación de esta norma en entornos complejos, como el de la publicidad digital, en el que multitud de actores y tecnologías tratan datos y toman decisiones respecto a los mismos en tiempo real. El reto que tenemos por delante, y la solución para dar cumplimiento a la norma en este entorno viene de la mano de sistemas en los que toda la cadena de valor pueda asegurarse que cuenta con una base legal legítima para el tratamiento, y que informa adecuadamente al usuario sobre todas las finalidades para las que se tratan sus datos, algo sobre lo que se ha estado trabajando antes incluso de mayo de 2018”. Mismo sentido en que se pronunció Rosa María Lago Espejo.
En este sentido, y dentro del proceso de adecuación y revisión continua del cumplimiento, desde la triple óptica (jurídica, organizativa y de seguridad, Ricardo Barrasa García, puso mucho énfasis en la necesidad de contratar buenos y solventes profesionales para cumplir y mantener con el actual reglamento. Estos deben tener conocimientos jurídicos adecuados y las habilidades y aptitudes necesarios para la realización de análisis de riesgos y conocer las medidas, técnicas y organizativas, mitigantes para recomendar e incluso implementar, para reducir el riesgo sobre la privacidad y protección de los datos personales, en el nivel adecuado.
Marisa Boronat Velert, trasladaba la necesidad de seguir trabajando en todos los aspectos del nuevo modelo: que el consentimiento no es la base legitimadora por excelencia que todo lo permite; adoptar desde en el inicio del diseño de un tratamiento medidas pertinentes para asegurar la privacidad y necesidad de los datos personales tratados; registrar todos sus tratamiento y evaluar los riesgos para la privacidad intrínsecos a los mismos y, en su caso, realizar evaluaciones de impacto. Respecto de los titulares de datos personales, deberán informarles de forma clara y precisa sobre el tratamiento que realizan de aquellos y ofrecerles procedimientos efectivos para el ejercicio de sus derechos.
Otro de los aspectos que se planteó es que, a esta labor contribuirá la figura del Delegado de Protección de Datos, obligatoria para las Administraciones Publicas y aquellas empresas cuyos tratamientos de datos personales se consideran de mayor riesgo, bien por realizar operaciones de tratamiento requieran una observación habitual y sistemática de interesados a gran escala o de datos especialmente protegidos. El Delegado de Protección de Datos está concebido como un importante instrumento para asegurar el cumplimiento de RGPD, a través de sus funciones de asesoramiento y supervisión en materia de protección de datos, pero la realidad en este momento es que el número de Delegados de Protección de Datos comunicados a la AEPD (la notificación es un trámite necesario) son muchos menos de los que deberían ser y todavía son menos los que han solicitado su certificación como tales.
Con las vistas puestas en los retos que viene, David Javier Santos Sánchez, explicaba que “el mayor reto para el futuro, atendiendo al nuevo modelo de actuación de las autoridades de protección de datos pasa por una adecuada coordinación de criterios y de procedimientos en los que el papel del Comité Europeo de Protección de Datos será esencial”.
En la sesión también se analizaron cuestiones planteadas por los asistentes, tales como el tratamiento de datos biométrico, el tratamiento de datos no personales, la efectividad de los planes de cumplimiento, el futuro de la publicidad digital y la utilización de cookies, entre otros aspectos.
