Resumen de la Novena Sesión abierta de la AEPD celebrada en fecha 25 de mayo de 2017

Sin menosprecio de que recomendamos la visualización de la sesión (se encuentra colgada en la WEB de la Agencia Española de Protección de Datos), y el examen de la propia WEB, le destacamos como más interesantes para PYMES y proyectos de emprendimiento los siguientes puntos:

 

Actuaciones del Plan Estratégico de la Agencia.-

Como ejes estratégicos se plantea:

1.- Prevención.-

  1.  Prevención (intervención activa con guías para centros docentes), tanto a menores, navegación internet, padres, profesorado, etc.

  2.  Preparación de materiales audiovisuales para centros docentes.

  3.  Control sobre posibles contrataciones irregulares en empresas de telecomunicaciones (suplantación) y de ficheros de morosidad (73% de sanciones impuestas por la Agencia), sin embargo suben los apercibimientos.

  4.  Puesta en marcha en la web de la Agencia de un enlace para reclamaciones antes las empresas de telecomunicaciones.

  5.  Creación de una guía para compras por internet.

  6.  Control del acoso por venta telefónica y otras vías (Futura creación de una guía).

  7.  Se dictarán pautas para la protección de datos en sanidad.

 

2.- Innovación.-

Énfasis en el análisis del riesgo ante brechas de seguridad.

Se puso en marcha una unidad de evaluación y estudios tecnológicos.

  1. Guía de uso responsable de internet en la web de la agencia.

  2. También se publicó la Guía de buenos usos para el Big Data.

  3. Análisis del big data en sanidad.

 

3.- Agencia más abierta.-

  • Publicada guía del ciudadano en protección de datos.
  • Importancia máxima a los derechos.
  • Incluido el derecho al olvido (apartado diferenciado que puede ser gestionado desde la web de la Agencia).
  • Renovado catálogo de preguntas frecuentes.
  • Avanzada la guía sobre videovigilancia.

 

4.- Colaboración y difusión en empresas y profesionales.

5.- Simplificación administrativa de la Agencia para facilitar el acceso a la misma.

(Ejemplo: Facilitar la reducción del 20 % en sanciones por reconocimiento y 20 % por pronto pago de las sanciones).

NUEVAS HERRAMIENTAS y proyecto de Ley:

Anuncia varias guías en proyecto que se publicarán progresivamente en la web de la Agencia.

Existe un proyecto (hoy ponencia) de Ley para la adaptación de la normativa española al Reglamento Europeo, que esperan esté lista antes del 25 de mayo de 2018.

Herramientas concretas y recomendaciones genéricas:

  1. Sector público: herramienta para la adaptación al reglamento del análisis de riesgo y evaluación de impacto.
  2. Con respecto al delegado de protección de datos las administraciones públicas deben ir comunicando ya a la agencia las personas o entes colegiados que se encarguen de esa función.
  3. El DPO no tiene responsabilidad personal, pero debe ir analizando el riesgo con importante carga de trabajo.
  4. La Agencia no va a certificar la figura de DPO, será la ENAC la encargada de ello (para dar seguridad jurídica).
  5. Se emitirá una lista de riesgos, orientativa y como lista abierta de tratamientos de riesgo alto que deberá supervisar el Comité Europeo.
  6. Próximamente se publicará una guía de evaluación de impacto.
  7. Se anuncia la próxima publicación de unas guías gratuitas, herramientas para cubrir todas las obligaciones de las PYMES con riesgo básico y una herramienta específica integral para nano pymes con riesgo básico (prevista para finales de junio).
  8. Implantación futura de la “ventanilla única” que obliga el Reglamento Europeo a través de la Agencia.
  9. Se le otorga mucha importancia dentro de la web de la Agencia al apartado del “canal del responsable”.
  10. Con respecto a los auditores, se entiende que siguen siendo necesarios para valorar y controlar los riesgos.
  11. Implantación de medidas de seguridad adecuadas, tal y como ordena el reglamento, la Autoridad de control no exige auditorías pero exige PROCTIVIDAD y qué se hace con las auditorías y si se siguen los consejos dimanantes de ellas. Se puede decir que cambia el enfoque, pero las auditorías siguen siendo necesarias, pasamos ahora con el Reglamento Europeo a una seguridad gestionada o autogestionada.
  12. Respecto al documento de seguridad, no se tira a la basura, se puede incorporar al inventario del tratamiento.
  13. Se incide en que el consentimiento no puede ser ya tácito con el nuevo reglamento.
  14. En caso transfronterizo, ¿cuál es el establecimiento principal? Pues lo decide el responsable, aunque puede ser cuestionado por las autoridades de control lógicamente.
  15. DPO: en las AAPP es obligatorio, y en empresas e instituciones puede ser interno o externo, personal o colegiado. Cuando se habla de tratamientos a gran escala hay que tener en cuenta, ya que el Reglamento no lo concreta, varios criterios, entre otros: número de afectados, ámbito geográfico, duración, volumen de datos y cantidad de categorías de datos.
  16. Se destaca, aparte del derecho al olvido que se puede gestionar en la web de la Agencia para ciertos supuestos, el derecho a la Portabilidad de los Datos, el cual no puede afectar a los derechos de terceros.
  17. Al respecto de la Evaluación de Impacto, se destaca la necesidad de ser proactivo, describir el riesgo, evaluar y valorar antes del tratamiento.¿Quién lo hace?.  El Responsable, apoyado en su caso por el encargado, con consulta al DPO y con los interesados (si se puede).
  18. Se fomenta las consultas a la Autoridad, (artículo 36), (para evaluar el alto riesgo en el tratamiento de datos).
  19. Se destaca el control sobre la seguridad (notificar las brechas de seguridad) y promoción de las buenas prácticas.
  20. Se reitera que, antes de acudir a la Autoridad de Control hay que acudir al Responsable.
  21. Se destaca que hay que renovar los consentimientos desde ya, porque desde el 25 de mayo de 2018 deben estar conforme al Reglamento Europeo, no hay más plazo de adaptación.
  22. Con respecto a los códigos tipo, desde la Agencia se especifica que sirven para orientar pero que los mismos deben adaptarse al Reglamento Europeo y deben ser supervisados por la Autoridad de Control.

 

Seguiremos comunicando en este sentido a medida que la  Agencia Española de Protección de Datos vaya informando y publicando novedades al respecto.