La adaptación, ahora hace justamente cinco años, al Reglamento General de Protección de Datos (en adelante, el “RGPD”), supuso un gran reto para el sector de la privacidad en general debido al cambio sustancial que implicaba dicha normativa respecto al sistema anterior. Por aquel entonces, eran pocas las organizaciones que trabajaban activamente en el mantenimiento de los programas de privacidad basados en los principios de enfoque de riesgos y responsabilidad proactiva establecidos por la nueva normativa.
Por aquel entonces y pese al esfuerzo hecho por las distintas autoridades de control y el Grupo de Trabajo del Artículo 29 (grupo precedente a lo que es en la actualidad el Comité Europeo de Protección de Datos, en adelante, el “CEPD”) para interpretar ciertos principios u obligaciones a través de la publicación de distintas guías, recomendaciones y directrices, existía en las organizaciones una enorme incertidumbre sobre qué era un enfoque basado en riesgos o cómo demostrar la responsabilidad proactiva a la que se le daba tanto peso en la nueva norma, así como una gran preocupación sobre el nuevo sistema de sanciones que consagraba el RGPD ante las cuantías tan vertiginosas que éste proponía.
Es por ello que fuimos testigos cómo las compañías trataron de priorizar la implantación de la nueva normativa en la parte más expuesta, centrando, por tanto, sus esfuerzos en cubrir las obligaciones relativas a la transparencia e información a los interesados, la legitimidad de los tratamientos o la gestión de los derechos de los interesados, entre otras y, dejando para más adelante, otras obligaciones que requerían de cambios organizativos o más laboriosos.
Habiendo pasado un tiempo más que prudencial y como hemos analizado estas últimas semanas en nuestra serie de artículos “RGPD: cinco años después”, podemos afirmar que la madurez de las organizaciones ha incrementado de manera muy sustancial. Así lo muestran tanto el hecho que a principios de año se haya superado el número de 100.000 delegados de protección de datos (DPD) designados por las organizaciones españolas ante la Agencia Española de Protección de Datos (en adelante, la “AEPD”) o que, según se recoge en la “Memoria Anual 2022” de la AEPD, pese a haberse incrementado en 2022 un 46,5% el número de reclamaciones a la AEPD con respecto al año 2021, el volumen de las sanciones impuestas a las organizaciones ha disminuido un 41% con respecto al año anterior.
De acuerdo con lo anterior, son numerosas las lecciones aprendidas durante estos primeros 5 años de la aplicación del RGPD, por lo que pasamos a continuación a repasar aquellas que consideramos más destacables:
La primera de ellas es que no existe una única forma de cumplir la normativa en materia de protección de datos, sino que existen tantas formas como circunstancias o factores concurran en el tratamiento de los datos. Ello se debe a la flexibilidad dada por la norma al, a diferencia del sistema anterior y salvando algunas excepciones, incluir obligaciones de resultados y no de medios.
Es decir, la norma obliga a las organizaciones a asegurar el cumplimiento de ciertos principios como serían los de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; responsabilidad proactiva y privacidad por defecto y desde el diseño, pero no establece las medidas que deben implementar para asegurar el cumplimiento de los mismos. Un ejemplo de dicho cambio de paradigma sería el relativo a las medidas técnicas y organizativas a implementar por las organizaciones para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los datos que tratan, respecto a las que la normativa anterior especificaba las medidas a implementar, mientras que la normativa actual obliga a determinarlas por parte de las organizaciones en base a un enfoque de gestión de los riesgos a los que se encuentran expuestos.
El papel del delegado de protección de datos o DPD, que es la figura que vela por el cumplimiento del RGPD y la LOPDGDD, es esencial si bien, no se debe considerar que la responsabilidad del cumplimiento de dicha normativa recae únicamente sobre el mismo.
Por un lado, los departamentos que prestan servicios in-house como tecnología o ciberseguridad son imprescindibles en el apoyo de ciertos procesos de privacidad como pueden ser las evaluaciones de impacto (EIPDs), la homologación de proveedores a los que se recurra o la gestión de brechas de protección de datos. Por otro lado, las áreas de negocio deberán contar con la información y formación suficientes para acudir o solicitar soporte del DPD, oficinas de privacidad o los equipos de protección de datos cuando identifiquen un nuevo tratamiento o quieran poner en marcha una iniciativa que suponga el tratamiento de datos personales.
Con la introducción de distintas bases jurídicas del tratamiento en el RGPD, la metodología para la elaboración de los planes y políticas de protección de datos de las organizaciones tomó nueva forma, pues, consecuentemente, el paso previo a la observancia de las restantes obligaciones previstas en la normativa y, evidentemente, a la realización de cualquier tratamiento, ha pasado a ser la identificación de la base legitimadora del mismo.
La determinación de la base es pues esencial para, en primer lugar, evitar tratamientos ilícitos y, en segundo, puesto que la base jurídica concreta delimitará el alcance de las demás obligaciones aplicables al tratamiento de datos personales específico, como sería el cumplimiento de los requisitos establecidos en relación con la obtención de un consentimiento cuando ésta sea la base jurídica que justifica el tratamiento o el cumplimiento del principio de transparencia, ya que la indicación de la base jurídica forma parte de la información a facilitar a los interesados de los que se tratan sus datos.
Es clave entender el registro de actividades del tratamiento no solamente como un papel o archivo para cumplir con una obligación meramente formal, sino como el documento clave donde conste toda la información relevante en cuanto a las distintas actividades del tratamiento llevados a cabo por parte de una organización y que permita en cualquier momento consultar cualquier información sobre los tratamientos llevados a cabo por una organización, recomendando no limitarse a incluir la información estrictamente exigida por la normativa así como revisarlo y actualizarlo con carácter periódico a los efectos que muestre una fotografía real y lo más actual posible de dichos tratamientos.
Pese a los numerosos recursos dados por la AEPD y el CEPD y tal y como se reconoce de forma explícita en la Memoria Anual de 2022 de la AEPD, existe margen de mejora significativa en relación con la realización con las evaluaciones de impacto a la protección de datos llevadas a cabo por las organizaciones que suelen estar más centradas en el cumplimiento normativo y no tanto en la determinación del riesgo para los derechos y libertados de los interesados que conlleva dicho tratamiento que es al fin el motivo que justifica la realización de las mismas.
El RGPD también ha reconfigurado el papel de los proveedores de servicios a los que recurren las organizaciones en cuanto al tratamiento de los datos al haber introducido un nuevo actor en el tratamiento de los datos que no existía en el sistema anterior, el corresponsable del tratamiento.
Además, como reconoció el CEPD en sus Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD, no todos los proveedores que tratan datos tienen la consideración de encargado del tratamiento sino que, dependiendo de sus funciones y circunstancias, que deben analizarse caso por caso, pueden tratar los datos en su consideración de responsables o corresponsables del tratamiento, lo que rompe con la tradicional asunción que operaba de forma automática anteriormente en España de que un proveedor que trataba datos lo hacía siempre en su calidad de encargado del tratamiento.
La gestión de los derechos de protección de datos supone uno de los aspectos en los que más tiempo invierten las entidades. Las organizaciones trabajan en implantar modelos que permitan cierta automatización disminuyendo los tiempos de dedicación de sus equipos a esta tarea, pero asegurando un mínimo de intervención humana y calidad en la gestión de cara a facilitar una respuesta adecuada a los interesados y en última instancia a demostrar cumplimiento.
El apoyo en herramientas que permitan automatizar la gestión de la privacidad y el uso de Privacy Enhancing Technologies (PET) será necesario para evolucionar hacia un modelo de gestión más eficiente y automático en el que la inversión del trabajo de los equipos de protección de datos pueda centrarse en tareas de más valor añadido.
Por último, queremos destacar como lección aprendida durante este primer lustro de aplicación directa del RGPD, la necesidad de entender la privacidad no como un impedimento a los avances sociales y técnicos que se están produciendo en la sociedad, sino como un aliado competitivo que garantice que estos avances se realicen con pleno respeto al derecho fundamental a la protección de datos que tenemos los ciudadanos europeos. Lo anterior conlleva la necesidad de los DPD, oficinas de protección de datos y profesionales de la privacidad en general a estar permanentemente en alerta e informados de las tecnologías emergentes que se implementan en las organizaciones.
Deja un comentario