El 25 de mayo de 2017 tuvo lugar esta jornada anual de la AEPD. Para quienes no pudimos asistir ni de forma presencial ni vía streaming, los vídeos y textos de las ponencias están publicados en la web de la AEPD.  A continuación incluyo un resumen comentado de los puntos tratados que en mi opinión cabría destacar y que se centran, como no puede ser de otra forma, en el Reglamento General de Protección de Datos (RGPD):

1. La norma que derogará la LOPD, se espera que esté finalizada en los próximos meses para que su aplicación coincida con la del RGPD. No se adelantó nada sobre el contenido del borrador. En algún medio se ha publicado que se duda acerca de que esta nueva norma esté publicada antes de mayo de 2018.
2. La AEPD ha publicado ya varias guías que permiten orientar a los interesados en el cumplimiento de los requisitos del RGPD y está trabajando en nuevos documentos, entre ellos, una actualización de la guía para la realización de Evaluaciones de Impacto.
3. Se va a crear en la AEPD una Unidad de Atención al Responsable y a Profesionales de la privacidad. No obstante, respecto a los profesionales, se pretende que las consultas se canalicen a través de las asociaciones de especialistas en la materia. Seguro que ENATIC ya está manos a la obra :-).
4. La figura del DPO fue tratada en varias ponencias y motivó consultas por parte de los asistentes. El DPO podrá certificarse, como ya sabemos, aunque dicha certificación no será obligatoria. Dudo mucho que cualquier profesional del sector que se precie, no realice la prueba necesaria para obtener la certificación. Asimismo, se mencionó que el DPO precisa tiempo para realizar su labor de forma adecuada, por lo que habrá que tener cuidado en el caso de entidades que designen a un empleado que ya desempeña otras funciones propias de su puesto, para compaginarlas con las de un DPO. Sobre el DPO aún queda mucho por concretar y veremos en qué medida favorece a los profesionales de este sector, que aún hoy tenemos que lidiar con asuntos como la “LOPD a coste 0”.
5. Siguiendo con el DPO, se insta a las administraciones públicas, especialmente a los Ayuntamientos, a ir contando ya con un DPO para poder afrontar las obligaciones que conllevará cumplir con el RGPD. Me consta que hay Ayuntamientos que actualmente ni siquiera cuentan con un Responsable de Seguridad y no cumplen debidamente la Ley Orgánica de Protección de Datos. El RGPD será uno de tantos temas que algunos Ayuntamientos aborden más tarde de lo debido.
6. Se ha creado una aplicación para facilitar a las pymes que tratan datos personales de nivel básico (bajo riesgo) el cumplimiento del RGPD. Se pretende que estas empresas no necesiten contratar profesionales que les asesoren en esta materia. Pero claro, se advierte a estas empresas que rellenar los formularios de la aplicación y disponer de los documentos no implica que se cumpla la legislación de protección de datos. Siempre debe haber un trabajo continuo. Seguramente muchas empresas harán uso de esta aplicación. Otra cosa será que una vez que la utilicen gestionen correctamente la documentación generada y cumplan la normativa de manera continuada.
7. Respecto a qué son datos personales de bajo riesgo y de alto riesgo, cuando se explicó el funcionamiento de la aplicación comentada en el punto anterior, se indicó que la empresa interesada no debía estar integrada en ninguno de los siguientes sectores de actividad:

• Sanidad
• Solvencia patrimonial y crédito
• Generación y uso de perfiles
• Actividades políticas, sindicales o religiosas
• Servicios de telecomunicaciones
• Seguros
• Entidades bancarias y financieras
• Actividades de servicios sociales
• Publicidad
• Videovigilancia masiva

Se deduce que los datos de alto riesgo vienen a ser una mezcla de lo que aún conocemos como datos de nivel medio y alto con el añadido del sector de la publicidad y de la videovigilancia masiva.

8. El Documento de Seguridad desaparece como concepto, pero eso no significa que las empresas que dispongan de uno deban desecharlo. Puede seguir siendo útil, integrándolo en el inventario de tratamientos de una empresa y junto a otros documentos relacionados. Al fin y al cabo, se trata de un documento que recoge las medidas de seguridad que se aplican en una empresa. Es cierto que el RGPD no lo menciona, pero de alguna forma debemos documentar la labor de cumplimiento que se realiza.
9. Lo mismo ocurre con las Auditorías. Ni se mencionan en el RGPD pero no por ello dejan de ser necesarias. Son la única forma de analizar y dejar constancia de si el trabajo que se realiza permite cumplir con los requisitos de la normativa aplicable.
10. Conceptos como “Gran escala” y “Regular y sistemático” fueron tratados para intentar concretarlos, recurriendo en el primer caso a aspectos como el número de afectados, el ámbito geográfico, el volumen de datos, etc. Y en el segundo caso se expusieron definiciones como “continuado o que se produce a intervalos concretos”, “recurrente o repetido en momentos prefijados”, etc. Siguen siendo conceptos indeterminados que se irán concretando en la práctica.

Mamen Fernández. Abogada TIC & Compliance.