La AEPD alerta de malas prácticas en el asesoramiento para adaptarse a GDPR

Quizá te interese... Estrategias para lograr una experiencia de cliente satisfactoria  Acelera tu negocio con DevOps Claves para escoger las mejores soluciones de gestión empresarial para una pyme Más allá de los 12 factores para crear una aplicación

La AEPD celebró ayer su 10ª Sesión Anual Abierta, evento que aprovechó para hacer un repaso a las implicaciones prácticas del Reglamento General de Protección de Datos Europeo (GDPR) y las iniciativas de adaptación al mismo.

Durante el evento se mencionó el gran volumen de comunicaciones enviadas a los ciudadanos en los días previos al 25 de mayo que, con carácter general, solicitan renovar el consentimiento con el argumento de que es necesario para cumplir con el Reglamento. La Agencia recordó que GDPR no obliga, en principio, a renovar el consentimiento que se prestó previamente si éste cumple con los requisitos de la normativa, como tampoco es necesario obtener dicho consentimiento si la base jurídica para tratar los datos es una relación contractual previa.

Asimismo, la Agencia remarcó que la prestación de estos consentimientos no es necesaria salvo en los casos en los que el tratamiento anterior se justificara en un consentimiento tácito, o que al amparo de esa renovación del consentimiento se pretenda obtenerlo para nuevas finalidades.

Durante la apertura del evento, la directora de la AEPD, Mar España, se refiró al amplio número de empresas y profesionales que en estos días están recibiendo ofertas de asesoramiento para la adaptación al RGPD. La Agencia alertó de que en ocasiones únicamente se facilita documentación que crea una apariencia de cumplimiento sin incluir las actuaciones necesarias para verificar el mismo; en otras, se incluye la designación como Delegados de Protección de Datos (DPD) a quienes les han asesorado sin que sea obligatoria ni necesaria esta figura para dichas empresas, e incluso se genera una apariencia de estar actuando en colaboración con la autoridad de protección de datos sin que ello sea cierto.

En este sentido, la Agencia subrayó que “en el caso de que la Agencia tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas”. Además, estas actuaciones pueden verse reforzadas con la inclusión en el Proyecto de Ley Orgánica de Protección de Datos en tramitación, de una enmienda que considera estas conductas como prácticas agresivas a los efectos de la Ley de Competencia Desleal.

La directora de la Agencia también hizo referencia referencia a los DPD y al volumen de notificaciones realizadas a la AEPD para comunicar la designación de esta figura. Esta cifra actualmente supera las 8.000 notificaciones.

La entidad también analizó en una de sus ponencias el registro de actividades de tratamiento, una de las primeras medidas de cumplimiento que debe adoptarse y cuya elaboración puede ser considerada un primer paso de gran relevancia para acometer la adaptación a los requisitos del RGPD, ya que supone revisar los tratamientos que se están realizando dando lugar a una actualización de los mismos.

En el caso de PYMES que traten datos de riesgo bajo, la AEPD recordó que el registro de actividades de tratamiento es uno de los documentos que ofrece la herramienta FACILITA_RGPD. Para responsables o encargados con un nivel de riesgo más elevado se podría utilizar el registro de ficheros de datos personales elaborado durante la vigencia de la LOPD como punto de partida para la elaboración del citado registro. Por su parte, la AEPD ha publicado su propio Registro de actividades de tratamiento, facilitando criterios como los plazos de conservación, o las categorías de datos y de destinatarios.

Por otra parte, el evento abordó el tema de los códigos de conducta, un mecanismo de autorregulación por el que las entidades se dotan de normas para regularse a sí mismas a partir de las estipulaciones de GDPR, lo que proporciona un valor añadido al sector de actividad correspondiente. La Agencia no sólo debe impulsar su elaboración, sino que se muestra convencida de que se trata de un instrumento que va a permitir un correcto cumplimiento del RGPD y que proporciona seguridad jurídica a las entidades adheridas.

El régimen sancionador fue otro de los aspectos objeto de análisis de la Sesión Anual Abierta. En este sentido, la AEPD incidió en que existen medidas, como la advertencia o un apercibimiento dotado de una mayor flexibilidad, que pueden adoptarse en lugar de una sanción económica cuando, pese a producirse un error, se aprecie y documente una adecuada diligencia en el cumplimiento de GDPR. Asimismo, señaló que las autoridades de control también pueden, en vez de imponer una multa, o además de imponerla, ordenar medidas como la limitación o la suspensión del tratamiento, que impedirían a un responsable continuar llevando a cabo esos tratamientos que constituyen un riesgo para los derechos y libertades de los ciudadanos, todo ello sin menoscabo de la facultad de ejercer la potestad sancionadora cuando el caso así lo requiera.