El pasado jueves 25 de mayo de 2017 se celebró la novena sesión anual abierta de la Agencia Española de Protección de Datos, donde nuestra autoridad nacional, como cada año organiza un evento destinado a funcionar como punto de encuentro entre empresas, organizaciones y profesionales del sector, en el ámbito de la protección de datos y la privacidad, y este año en especial centrado en el nuevo RGPD.
Un año más GrupoIWI ha estado presente en las jornadas anuales de la AEPD para participar del evento, discutir y analizar el contenido del programa, que como no podía ser de otra manera ha girado en torno al Reglamento Europeo de Protección de datos, en vigor desde el pasado 25 de mayo de 2016, si bien su aplicabilidad no será obligatoria hasta dos años después, es decir en mayo de 2018.
EL PROGRAMA SE CENTRA EN EL CUMPLIMIENTO DEL RGPD PARA PYMES
El contenido del programa se ha estructurado en torno a los nuevos retos para la protección de datos, novedades y herramientas de ayuda al cumplimiento del RGPD para pymes, nuevas directrices para la aplicación del Reglamento Europeo de Protección de datos. También se habló de nuevas funciones de las autoridades de control y evaluaciones de impacto, actualización de criterios en la materia, e informes y sentencias relevantes en el ultimo año como viene siendo habitual en todas las jornadas anuales. Se finalizó con la tradicional intervención pública para dar respuesta a las consultas planteadas por los asistentes.
La directora de la Agencia Española de Protección de Datos, Dª Mar España Martí, hizo una presentación de las jornadas introduciendo nuevos eventos en el Plan Estrategico de la AEPD los nuevos retos para la protección de datos y dando a conocer detalles sobre la reforma de la LOPD 15/1999 en relación a su adaptación al Reglamento Europeo de Protección de datos, llegando a decir que ya está terminada, y que el texto definitivo ha sido remitido al Ministerio de Justicia para que pueda comenzar el proceso de tramitación para su aprobación y posterior publicación, según se prevé para antes del verano de 2017.
También se anunció una nueva Guía de Protección de datos para el Ciudadano, que ya está disponible en la propia pagina web de la AEPD. Esta guía tiene como objetivo principal explicar de forma práctica las claves necesarias para que los ciudadanos conozcan qué derechos les amparan, cómo ejercerlos y qué obligaciones deben cumplir aquellos que traten sus datos personales, todo ello con continuas referencias a los cambios que incorpora el nuevo Reglamento General.
NUEVO ENFOQUE Y EVALUACIÓN DE RIESGO
Así mismo, y en base al nuevo enfoque y evaluación del riesgo, uno de los principios novedosos del Reglamento Europeo de Protección de datos, Mar España ha indicado que se publicará una lista de tratamientos de riesgo para que sirva como ejemplo en las futuras evaluaciones de impacto, ayudando a los responsable y profesionales a la aplicación de las nuevas obligaciones del RGPD. Así mismo, indicó que pronto estaría a disposición de los responsables y de los profesionales del sector una Nueva Guía de Evaluación de Impacto que sustituye a la ya publicada en 2014, adecuándose ésta ultima al Reglamento Europeo de Protección de datos.
Se está trabajando con el Centro Criptológico Nacional para la utilización de la herramienta de análisis y gestión de riesgos «PILAR», en la realización de Evaluaciones de Impacto en la Privacidad, tal y como las exige el RGPD. En Este sentido, se prevé qeu esta herramienta pueda estar a disposición de los responsables y profesionales antes de mayo de 2018.
Se ha anunciado igualmente la publicación de nuevas guías e instrucciones basadas en los trabajos del Grupo del Art. 29, para facilitar en gran medidas la adaptación a las nuevas exigencias del Reglamento Europeo de Protección de Datos. También se destacó que si bien el documento de seguridad desaparece tal y como lo concebimos actualmente, será necesario un contar con un registro o inventario de tratamientos y un marco de medidas de seguridad dinámico que deberá estar en permanente revisión, donde sea demostrable la proactividad de los responsables en cuanto al cumplimiento de las medidas; todo ello contenido en algún documento que sustituirá a los Documentos de seguridad actuales,
Se comunicó a los asistentes la creación de un nuevo departamento en la AEPD destinado a la atención directa al responsable del tratamiento y a los profesionales del sector en relación a las obligaciones derivadas de los cambios normativos que se prevén con el ya conocido Reglamento Europeo de Protección de datos y con la nueva Ley Orgánica de Protección de Datos.
Analizando la obligatoriedad de las Auditorias, expresamente se dijo que serán totalmente necesarias para garantizar las gestión del riesgo, siendo además la única forma de verificar la correcta implantación de las medidas de seguridad exigidas.
En relación a otras de las principales novedades del Reglamento Europeo de Protección de datos, la figura del Delegado de Protección de Datos (DPD) , se expuso que se va a publicar un esquema de certificación de profesionales, antes del verano de 2017, donde la propia AEPD en colaboración con la Entidad Nacional de Acreditación, establecerán los procedimientos y requisitos para certificar a los profesionales que vayan a acceder a los puestos de Delegado de Protección de Datos (DPD) en las empresas, organizaciones e instituciones que sea necesario.
La puesta en marcha de esta certificación está prevista a lo largo de este año y, si bien no será un requisito indispensable para acceder a la posición de Delegado de Protección de Datos (DPO), la AEPD pretende que sirva como mecanismo riguroso para dar a las entidades garantías suficientes sobre la cualificación y capacidad profesional de los candidatos.
Cabe destacar como novedad más importante, la creación de una herramienta web de ayuda, que la propia agencia ha denominado NanoPymes, que está orientada a empresas y profesionales que realicen tratamientos de datos personales de escaso riesgo.
Este recurso práctico, planteado como un cuestionario online, está estructurado en cuatro fases:
- Una primera fase que tiene como objetivo excluir tratamientos de riesgo medio o alto, mediante la contestación de preguntas orientadas a conocer si el responsable maneja ese tipo de información.
- Una segunda donde se recogen datos sobre el responsable que después servirán para ofrecer al usuario un documento final personalizado. Ha advertido el coordinador de Evaluación de Estudios Tecnológicos, D. Andrés Calvo Medina, que la aplicación pide datos personales, pero en ningún caso los conservará, ni se existirá monitorización de resultados de la misma. Sólo podrán extraerse datos estadísticos.
- La tercera fase consiste en recoger información sobre los tratamiento de datos que está llevando a cabo el responsable, teniéndose que rellenar tipos de datos sobre clientes, empleados, candidatos, proveedores, encargados del tratamiento, etc.
- La última fase sirve para generar un documento final donde se recogen el registro de actividades, cláusulas informativas, cláusulas y contratos entre responsable y encargados y un anexo final con medidas de seguridad básicas.
Esta aplicación actualmente se encuentra en fase de pruebas y se ha ofrecido a diversas asociaciones empresariales y colegios profesionales para que lo evalúen y puedan aportar sus comentarios y sugerencias. Estará a disposición de los interesados en la propia página web de la Agencia Española de Protección de Datos, a finales de Junio de 2017.
Desde GrupoIWI ya venimos trabajando desde hace meses en las implicaciones que el nuevo Reglamento Europeo de Protección de Datos trae consigo para nuestra actividad y para el servicio que prestamos a nuestros clientes. Por supuesto os iremos contando las novedades que al respecto se vayan produciendo, realizando recomendaciones y publicando artículos relacionados con estas nuevas normas.
¿Vas a esperar a mayo de 2018 para ponerte al día en protección de datos?
