Mar España: “Los DPO podrán resolver en un mes las reclamaciones y evitar nuestro procedimiento sancionador”

La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, explica en en esta entrevista en cómo se encuentran las empresas privadas y organismos públicos ante la recta final de la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD). 

Reconoce que “En esta fase el trabajo de apoyo de la AEPD al sector público y al privado está siendo importante en diversos frentes”. Se trata sobre todo “de que las empresas e instituciones se den cuenta que hay un nuevo modelo de privacidad, mucho más proactivo diferente del anterior que incorpora nuevos derechos como el derecho al olvido o a la portabilidad”, asegura Mar España.

Hace un año la AEPD publicó tres guías en colaboración con la agencia catalana y vasca de protección de datos: Guía sobre obligaciones del responsable; Guía sobre obligación de informar y la Guía sobre modelos de contratos entre responsables y encargados.

“En el ámbito privado me preocupa las pymes y los autónomos, y profesionales liberales. Eso ha hecho que hayamos trabajado con Unión Profesional que representa a 1.300.000 de profesionales en nuestro país. Al mismo tiempo firmamos un convenio con CEPYME para impulsar ese asesoramiento y recientemente presentamos en CEOE la herramienta Facilita que ayuda a esa implantación”.

Los datos señalan que la aceptación de Facilita es creciente. Ya hay más de 29.000 accesos a esa herramienta  online utilizada para adecuarse mejor a esta nueva forma de entender la privacidad “ es un buen dato porque la presentamos a final de año. A nivel sectorial pensamos que puede ser muy útil en colectivos como los registradores de fincas que tratan datos de escaso riesgo”.

Nuestra interlocutora ofrece a CONFILEGAL un dato revelador “De los cuatro millones y medio de ficheros que tenemos inscritos en la AEPD, cerca del 75% son de nivel básico. Eso supondrá que habrá un porcentaje de empresas en nuestro país que pueden adaptarse al RGPD de forma gratuita sin tener que pagar una consultoría. Su adaptación será más sencilla si emplean Facilita en este nivel”.

Sobre las pymes que están a otro nivel y utilizan datos más sensibles, Mar España señala que “están a otro nivel de riesgo y en ese ámbito creamos el Esquema de certificación de Profesionales de Privacidad y próximamente presentaremos la Guía de Análisis de riesgos y evaluación de impacto. Con ello cerramos el círculo de actividades a nivel privado”.

Desde fuera se observa mucha actividad a nivel privado por adaptarse al RGPD, pero ¿Qué están haciendo los organismos públicos y la Administración a este respecto?

Con el sector público también trabajamos en diferentes niveles. Por un lado presentamos a través del  Centro Criptológico Nacional (CCN) la herramienta Micropilar para dentro del Esquema Nacional de Seguridad dar a los gestores de los tres administraciones publicas parámetros que ya conocen para al adaptación al RGPD.

Al mismo tiempo trabajamos con el Instituto Nacional de Administración Pública (INAP) desde cuatro acciones formativas para explicar a las administraciones públicas lo que es el RGDP y su impacto.

Mención destacar el trabajo con COSITAL, Colegio de Secretarios e Interventores Municipales y con la Federación Española de Municipios y Provincias (FEMP) para organizar  una jornada técnica con las diputaciones para así llegar a los municipios de menos de 20.000 habitantes.

En este escenario que usted dibuja podrían estos municipios compartir Delegado de Protección de Datos (DPO) para gestionar su privacidad…

Perfectamente. De hecho, desde la AEPD, en la ponencia que está sirviendo para elaborar la nueva Ley Orgánica de Protección de datos (LOPD), estamos promoviendo que la figura del DPO tenga el perfil más flexible y dinámico posible.

De esa forma, abrimos la puerta a la contratación voluntaria de estos Delegados de Protección de Datos a tiempo parcial o externo.  En este contexto el propio CGAE que ya anunciado a José Luis Piñar como su DPO podría ofrecer este servicio a otros colegios aprovechando la ventaja de las economías de escala.

Mar España, directora de la Agencia Española de Protección de Datos (AEPD).

Esta pueda ser la tendencia a nivel público, sobre todo en cuanto a organismos autónomos..

Creemos que puede ser una ayuda para la gestión de la privacidad. No todos estos organismos públicos tienen obligatoriamente que contar con un DPO. En algún caso, con que exista una unidad a nivel central puede cubrir esa necesidad para diferentes organismos autónomos que dependan de ello.

¿Cada ministerio existente debería tener un DPO?

En principio sí, pero hay que respetar la autonomía organizativa de cada administración publica. Sin embargo creo que no bastaría con uno. En el caso del Ministerio de Empleo o Sanidad que tratan datos sensibles seguramente tendrían que contar con varios. Sabemos que la Tesorería de la Seguridad Social y la Agencia Tributaria ya trabaja en ello.

De toda esta adaptación al RGPD que ustedes desde la AEPD orientan a empresas y entidades públicas ¿qué es lo más complicado a la hora de entender?

Hay varios elementos que nos preocupan. En primer lugar, que sean conscientes del cambio de modelo de privacidad y que no es una carga sino que puede ser una ventaja competitiva tras el primer año de consolidación e implantación. Es una forma a medio plazo de ganar en reputación y competitividad, sin duda.

Desde la AEPD, nuestra entidad tiene el reto de adaptarse a la nueva situación y ver como gestionan los llamados procedimientos transfronterizos donde puede haber varios países y reguladores implicados en algunos asuntos.  Es importante tener uniformidad de criterios para abordar una denuncia en este entorno global.

Usted que forma parte de este Grupo de Trabajo Europeo que dará lugar al Comité Técnico Europeo ¿Cómo van los trabajos de adaptación al RGPD?

Cada país lleva su ritmo de implantación pero nuestro reto es que el próximo 25 de mayo este Comité Técnico esté ya operativo.  Muy pocos reguladores tenían las competencias de enforcement y reguladoras que la AEPD tenía ya desde hace años.

De hecho con la autoridad holandesa hemos creado un subgrupo de trabajo para ir ayudando al conjunto de otras entidades a implementar esa estrategia. El proceso es lento porque hay reguladores que aún no han modificado su ley nacional para adaptarse el RGPD.

Al RGPD le ha salido un competidor en el tiempo que es el Reglamento de e-privacy. Algunas voces de experto critican que se solapen y que se aprueben en el mismo tiempo ¿Le preocupa este asunto?

Sabemos que entrarán en vigor aunque el reglamento de e-privacy tardará algo más en aprobarse. Desde algunos sectores nos han informado de la preocupación que tienen por esta norma. Sin embargo de aquí a que se apruebe el texto final habrá enmiendas y modificaciones. Es mejor no ser alarmista y esperar el texto definitivo tras dichos cambios y enmiendas.

En este primer año de implantación del RGDP, me imagino, directora que es consciente que todo el mundo estará pendiente de la AEPD y su régimen sancionador…

Es un reto que tenemos sobre la mesa. Lo primero que estamos haciendo es impulsar la cultura de la prevención en el seno de la empresa. Me interesa sobre todo que la empresa cumpla por encima de todo.

En el proyecto de ley de la futura LOPD hay un artículo el 65.4  que plantea la posibilidad de que en el plazo de un mes el DPO pueda gestionar dicha reclamación en el seno de la empresa, sin perjuicio de acudir a la AEPD. Si se resuelve internamente, el procedimiento sancionador se evitaría. También desde la AEPD podemos volver a enviar ese caso a la empresa para que tenga una segunda oportunidad de resolver en la propia empresa.

Al mismo tiempo, impulsamos los mecanismos de mediación. El RGPD establece la regulación de los Códigos de Conductas en las empresas como algo obligatorio y la posibilidad de resolver extrajudicialmente algunos conflictos. Hemos empezado con Autocontrol y los operadores de telecomunicación que se han adherido al sistema.

Son casi 8.000 denuncias de las más de 10.000 que la AEPD recibe al año este sector.

Si logramos que la empresa resuelva el conflicto individual, el papel de la AEPD desde un punto de vista estratégico estará más centrado en otras cuestiones de mayor calado, tanto en la elaboración de Guías como en analizar procedimientos sancionadores más complejos.

En cuanto a las sanciones, ¿se van a modular al final su impacto final?

Esas sanciones que vienen en el RGPD estarán sometidas a criterios de modulación en función del asunto concreto. Se irán  atendiendo caso por caso, como no podría ser de otra manera.

¿Cómo está afectando esta implantación del RGPD a la propia AEPD, en la práctica?

Estamos en un proceso de adaptación también. Contamos con nuestro DPO propio que ya está haciendo las labores propias de su cargo dentro de la Agencia. Este año tiene que aprobarse la nueva LOPD y su Reglamento que regula en veinte páginas los diferentes casos de los procedimientos transfronterizos y el Estatuto de la Agencia.

Habrá Cambios en la Subdirección de Registros y Ficheros que se va a transformar en sus cometidos para junto con la Unidad de Apoyo impulsar más de 120 actuaciones previstas en el Plan Estratégico 2015-2019 y que acompañará al sector público y privado en la implementación del RGDP.

En este escenario crearemos la Unidad de Atención al Responsable que pondremos en marcha en este primer trimestre para atender las dudas que empresas y organismos tengan sobre la actividad de los DPO.  La plantilla de la AEPD se ha incrementado en once personas pero necesitamos más medios para este reto del RGPD.

Le pregunto por las grandes multinacionales como Facebook o Google ¿Cómo están viendo ellos el reto de aceptar una normativa europea como es este RGPD?

Tenemos reuniones con estas empresas. Estamos informados de cómo están trabajando en su implementación al RGPD o los cambios que tienen previstos con su política de privacidad. Llevan tiempo trabajando desde equipos  que están abordando en cada una de estas entidades esta cuestión.

Desde el nuevo derecho a la portabilidad queremos que cualquier cambio de operador a otro se haga de la mejor manera y más rápida posible, sin conflictos de ningún tipo

Usted ha mostrado su preocupación por la gestión de los conflictos transfronterizos en varios países y con varios reguladores implicados ¿En la práctica, como se van a gestionar?

La clave de estos procedimientos estará en decidir los criterios de la autoridad principal en cada caso. Estamos buscando un consenso desde criterios objetivos.  Y luego ya en el desarrollo del procedimiento administrativo debemos ponernos de acuerdo en las actividades de investigación, donde esa autoridad principal puede pedir colaboración de otros reguladores.

También habrá que encontrar un acuerdo de inicio del procedimiento sancionador donde debe haber unanimidad y consenso entre las autoridades afectadas. Y, por supuesto,  el propio procedimiento sancionador. El idioma de trabajo acordado será el inglés. Ahora mismo no sabemos de qué cantidad de denuncias estamos hablando.

Mar España subraya que desde la AEPD, en la ponencia que está sirviendo para elaborar la nueva Ley Orgánica de Protección de datos (LOPD), estamos promoviendo que la figura del DPO tenga el perfil más flexible y dinámico posible.

A priori, entiendo que la clave está en que este procedimiento sancionador no sea muy largo…

Estamos trabajando para que no sea muy burocrático pero no puedo adelantar mucho más sobre este tema. En el proyecto de la LOPD hemos incluido la suspensión del procedimiento cuando necesitemos un informe de las autoridades europeas para que no corran los plazos.

En principio es posible que este tipo de procedimientos duren algo más de un año. Ya está claro que la sanción la impondrá la autoridad principal de cada procedimiento. En el caso que no exista acuerdo podría ser el propio Comité Europeo quien decidiera sobre el tema.

Sin embargo, en aquellos casos en que no coincida autoridad principal con nacional, existe la posibilidad en el RGPD que  la autoridad nacional del reclamante le comunicará esa sanción para que pueda recurrir ante los tribunales de su país en su idioma nativo.

De los nuevos derechos que incorpora el RGPD da la sensación que el derecho a la portabilidad, cambio de un operador a otro, que genera muchos conflictos habitualmente, va a ser un reto defenderlo…

Habrá que ver como evoluciona a corto y medio plazo. En la web de la AEPD hemos creado un microsite con consejos prácticos sobre cómo y dónde hay que reclamar en materia de telecomunicaciones.

Lo hemos explicado de la forma más sencilla posible porque hay mucho desconocimiento sobre esta cuestión. Se trata de que si te cambias de compañía te atiendan de la mejor manera y más rápida posible.

Noticias Relacionadas:

Uría Menéndez, firma europea del año en los IFLR Europe Awards 2024

Andersen asesora a UDIT en un acuerdo con Ibervalles para el alquiler de un edificio, que albergará el nuevo campus universitario

Un 67% de los expertos afirma que los departamentos fiscales están involucrados en las decisiones empresariales estratégicas, según BDO

Eversheds Sutherland refuerza su práctica de Arbitraje en Latinoamérica con Ana María Ordóñez como nueva ‘of counsel’

Ana I. Rodríguez: «No hace falta entregar la sentencia de divorcio íntegra en el colegio al tener datos sensibles»

Baker McKenzie incorpora un equipo de transacciones de 17 abogados procedente de Munger Tolles & Olson