Mar España, directora de la AEPD: “Vamos a ayudar a las pymes en su adaptación al Reglamento Europeo de Protección de Datos”

Año y medio después de que Rafael Catalá confiase en esta profesional la dirección de la Agencia Española de Protección de Datos (AEPD), nadie puede decir que su nueva responsable, Mar España no haya apostado por el diálogo de la propia Agencia con el resto de interlocutores.

Acaba un año con muchos hitos y es el momento de hacer balance de una gestión donde la prevención ha sido un concepto que se ha incorporado al talante habitual sancionador de la AEPD.

“Hemos puesto en marcha en este año la mayor parte de actividades que venían en el Plan Estratégico que abrimos a consulta de ciudadanos y expertos. Tengo la fortuna de liderar un equipo de trabajo muy cualificado que ha ayudado mucho en mi gestión”, explica.

Reconocer que el campo es inmenso y tiene la sensación que quedan muchas cosas pendientes. En su comparecencia del pasado 2 de diciembre explicó de forma detallada la actividad de este año.

En este final de año la AEPD ha puesto en marcha un «blog» divulgativo desde el cual ofrecer consejos a expertos y ciudadanos sobre diferentes cuestiones relacionadas con la privacidad.

«Este año toca estar presente en redes sociales. Está en el Plan Estratégico y tendremos que buscar el momento para poner en marcha nuestra estrategia en redes sociales siempre que tengamos el refuerzo adecuado”, cuenta.

Llama mucho la atención que con una plantilla estable y un presupuesto similar estos años, la AEPD sea ahora tan productiva, ¿ha hablado ya con el ministro Rafael Catalá del problema de medios tienen ustedes?

Es cierto, el presupuesto es similar al del año pasado. Ahora estamos analizando con el Ministerio de Hacienda los medios que vamos a necesitar. Tuvimos, hace poco, una auditoria de la Inspección General de Servicios del propio Ministerio. Ahora en función de los nuevos retos que tenemos que afrontar necesitamos ese incremento de medios. Tras las próximas reuniones del mes de enero podré decirle exactamente de qué estamos hablando.

Ustedes han hecho un Plan Estratégico con los mismos recursos de la Agencia, a coste cero y que ha tenido un éxito de recogida de sugerencias…

Creímos que era el momento de escuchar las opiniones de todos los expertos del sector. Las cuatrocientas aportaciones que recibimos demuestra que la sociedad desde sus interlocutores está dispuesta a colaborar en un tema como es la privacidad.

Muchas las incorporamos a ese Plan Estratégico del que por transparencia hicimos una presentación en la que usted estuvo y donde hicimos balance de lo realizado hasta la fecha. Ha quedado abierto un buzón «online» de sugerencias para seguir recibiendo ideas tanto de personas físicas como jurídicas.

Este es un Plan vivo evaluable cada seis meses.

En ese Plan se habla de los trabajos de la AEPD respecto a la adaptación de la entidad al Reglamento Europeo de Protección de Datos que entrará en vigor en mayo del 2018…

Es cierto, ya estamos trabajando en dicha normativa. De hecho de las citadas sugerencias que recibimos sobre el Plan Estratégico muchas tenían que ver con el citado Reglamento Europeo.

El Reglamento Europeo de Protección de Datos ha sido la norma europea con más enmiendas en su tramitación. Más de cuatro mil, que recuerde, de los diferentes grupos parlamentarios. Sobre su entrada en vigor y ese plazo amplio que se ha dado para que las normativas nacionales de los 29 países de la UE se adapte al texto europeo parece lógico.

Hay novedades importantes como el procedimiento transfronterizo, que es la primera vez que para la garantía de un derecho fundamental, nos tenemos que poner de acuerdo los 28 Estados afectados.

Al mismo tiempo se incorporan las evaluaciones de impacto con el tratamiento de alto riesgo indica que una empresa que trata datos sensibles o de alto riesgo necesitase un plazo como el que se ha dado para adaptar su organización a estos nuevos cambios normativos.

Desde el principio el papel de la AEPD sobre el Reglamento ha sido muy pedagógico…

Creo que forma parte de nuestra labor como regulador. En la «web» nuestra hemos ido despejando dudas a medida que hemos ido sabiendo más cosas del propio Reglamento y sus preceptos ya consolidados. Este trabajo lo hemos hecho de común acuerdo con las dos autoridades autonómicas que existen en España, la Agencia catalana y la vasca.

Este trabajo de asesoramiento se incrementará durante el 2017.

Tenemos la idea de hacer una campaña potente en la que también estén involucradas las Cámaras de Comercio, CEPYME, asociaciones de autónomos y los Ministerios afectados, en especial Economía, más vinculado a la pequeña empresa para que se conozca bien el espíritu del Reglamento y sus nuevas obligaciones.

Otro dato que llama la atención es el trabajo desde la Agencia próximo a las pequeñas y medianas empresas de este país.

Entendemos que es parte de nuestra labor como regulador. Nuestra idea es poder presentar a finales de enero una serie de herramientas online que sin coste alguno puedan ser utilizadas para las pymes de cara al cumplimiento de la nueva norma europea. Queremos ayudar a las pymes en su adaptación al Reglamento Europeo de Protección de Datos.

Estamos trabajando en modelos de cláusulas informativas; en un modelo de contrato de responsable de datos, también habrá una primera herramienta básica de autoevaluación para que las pymes sepan si cumplen con la nueva normativa y si necesitan contar con el DPO, delegado de protección de datos que, en este Reglamento, solo es obligatorio en determinadas empresas.

Nosotros pensamos que en aquellas pymes que no traten datos especiales ni a gran escala que ese coste de adaptarse al Reglamento Europeo sea mínimo

La directora de la AEPD no considera que sea necesario que el delegado de protección de datos sea un jurista ciento por ciento. AEPD.

En esas reuniones que usted ha mantenido con las empresas, ¿qué retorno ha tenido sobre el Reglamento y el cambio que va a suponer en materia de privacidad?

Creo que tienen que trabajar mucho la labor de formación y concienciación en que el marco normativo se flexibiliza en una parte, la inscripción de ficheros no será necesaria pero se piden otras obligaciones como la de las evaluciones de impacto para determinadas empresas.

El cambio del consentimiento ahora expreso y no tácito como antes es otra modificación muy importante y las propias transferencias internacionales de datos ya no estarán sujetas al criterio de la AEPD.

Las empresas tendrán que llevar un registro interno de actividades, contar con ese DPO, si lo necesitan, y hacer una evaluación de impacto de cómo están tratando esos datos que tienen, ver los riesgos y adaptar las medidas organizativas a este nuevo entorno.

Es el momento de la privacidad por defecto y la privacidad por diseño, dos términos nuevos que obligarán a las empresas a pensar en privacidad antes de crear cualquier producto o servicio.

Sobre el DPO, delegado de protección de datos, usted ya ha manifestado públicamente que su perfil no debe ser jurista, ciento por ciento, lo que ha generado cierta polémica. 

No es imprescindible que sea jurista. El Reglamento si habla de un perfil con conocimiento de derecho pero lo deja abierto y no es excluyente. Nosotros no vamos a establecer ningún requisito de titulación porque el propio Reglamento no lo exige.

Es posible que lo ideal de este profesional tuviera un perfil mixto jurídico y tecnológico. Desde la AEPD trabajamos con ENAC, entidad competente en materia de certificación para establecer los criterios a la hora que entidades externas quieran certificar DPOS. Siempre será un mecanismo de seguridad jurídica para el mercado dicha certificación.

Queremos establecer esos mínimos de tal forma la empresa sabrá si su DPO, que puede ser interno y estar en la empresa o externo, como asesor, tiene los conocimientos adecuados para hacer su trabajo. Esta configuración del DPO también está abierto en el propio Reglamento. Al mismo tiempo puede tener un perfil de persona física o de asesoría o persona jurídica.

Al final se trata que esa empresa que cuida su privacidad se vea en el mercado como una entidad competitiva frente a sus rivales. 

Esa es la idea a medio plazo cuando entre en vigor el Reglamento. Nuestra posición frente a las certificadoras tiene que ser neutral y no podemos recomendar a ninguna. El coste de esta adaptación de cada empresa al nuevo Reglamento dependerá de cada caso.

Nosotros pensamos que en aquellas pymes que no traten datos especiales ni a gran escala que ese coste sea mínimo. Ya tendrán algunas herramientas que les cedemos sin coste como antes le comenté.

Este nuevo Comité Europeo que sustituya al Grupo del Artículo 29 actual tendrá capacidad jurídica y decisiones vinculantes para los países miembros. En mayo del 2018 tiene que estar plenamente operativo

Mar España, presidenta del Agencia Española de Protección de Datos durante su acto de toma de posesión, al que asistió el ministro que la propuso: Rafael Catalá, titular de Justicia. AEPD.

¿Cómo se ve la adaptación del Reglamento Europeo en el grupo del artículo 29, organismo europeo del que la AEPD forma parte activa en estos momentos?

Estamos trabajando de forma coordinada en todos los retos que supone la adaptación del propio Reglamento. En el último Plenario que fue el pasado 12 de diciembre en Bruselas aprobamos ya aprobamos algunas ideas sobre los criterios para determinar la autoridad líder; el DPO y su gestión o el llamado derecho a la portabilidad, opiniones que están recogidas en nuestra web, por cierto.

Y por otro lado, ya está aprobado el calendario de trabajo del año que viene que será muy intenso por lo que he podido revisar. Es un reto adaptarse al nuevo entorno normativo, sin lugar a dudas. Se creará un nuevo Comité Europeo con una Secretaría específica que relevará a este organismo en concreto. Tendremos que trabajar mucho en el procedimiento transfronterizo y adaptar nuestra legislación nacional al propio Reglamento.

¿Cree que la AEPD podrá mantener su estatus en este nuevo Comité Jurídico?

Por lo que he visto, a la Agencia Española se le respeta mucho y se valora su trabajo. Por vez primera en un texto europeo como es el Reglamento se recoge el derecho al olvido, sentencia de la que la propia Agencia tuvo mucho que ver y que generó que Google cambiara su política de privacidad a nivel mundial.

Este nuevo Comité Europeo tendrá capacidad jurídica y decisiones vinculantes para los países miembros en mayo del 2018 tiene que estar plenamente operativo. Desde el punto de vista administrativo tendrá más fuerza que el actual grupo del articulo 29 en el que nuestro país tiene un papel relevante desde sus inicios.

¿Se ve en un puesto directivo de este Comité Europeo en el futuro?

No, no, creo que es muy pronto para asumir esa responsabilidad. No estoy pensando en ello y sí en cómo vamos a digerir todas las obligaciones nuevas del citado Reglamento Europeo a nivel interno y a la vez ser útil a las empresas en ese nuevo cambio de modelo.

En esta traslación de la legislación nacional al Reglamento, ¿Qué aspectos cree que tendrán que modificarse de nuestra LOPD de 1999?

Lo primero que quiero comentarle es que la fama de que nuestro país tiene la normativa más dura en protección de datos no corresponde a la realidad. A raíz de cambios que sufrió con la Ley de Economía Sostenible de marzo del 2011 se bajó sustancialmente el régimen de las sanciones.

Creo honestamente que esta fama es inmerecida. De las 10.000 denuncias que recibimos al año solo acaban en procedimiento sancionador en un 8 por ciento. En un porcentaje alto la sanción se pone en la escala inmediatamente inferior al hecho realizado. En el caso de las personas físicas se usa mucho el apercibimiento en una primera vez.

Y ¿cómo adaptaremos la LOPD, entonces…?

Dicho esto, estamos trabajando en la mencionada adaptación. Creemos que lo más complicado será el combinar el procedimiento administrativo básico que establece la ley 39/2015 con las especifidades del procedimiento transfronterizo.

Tendrán que intercarlarse tramites de coordinación europea en dos o tres fases del procedimiento tanto en las denuncias como en las tutelas de derecho. Al mismo tiempo habrá que adaptar el régimen sancionador del reglamento a nuestro principio de tipicidad, otra cuestión en la que estamos trabajando.

Noticias Relacionadas:

La actividad de fusiones y adquisiciones (M&A) del sector seguros en España aumenta un 20%, según FTI

Los decanos de Huelva y Jaén, nuevos consejeros de la Abogacía Española

Pérez-Llorca, ‘Firma del año en España’ en los Chambers Europe Awards 2024

KPMG ayuda diseñar el futuro profesional de 5.100 alumnos de FP en los últimos 11 años

Adolfo Prego, exmagistrado del TS y abogado: “Las macrocausas se han convertido en un cáncer del proceso penal”

Jorge Arbex, Joana Silveira, Álvaro Fernández y Pablo Ramírez, nuevos socios de Cuatrecasas