El Sábado 25 de mayo se cumplió un año de la aplicación del RGPD. Desde nuestra experiencia durante este año, queremos hacer una breve valoración de los puntos que consideramos más relevantes y que han supuesto una verdadera revolución en el cumplimiento de esta normativa:
- El Consentimiento expreso: ya no es válido el consentimiento tácito para recabar y tratar los datos personales. Ahora es obligatorio un consentimiento expreso como acto afirmativo de la voluntad del interesado.
- La figura del Delegado de Protección de Datos (DPD): Según datos de la AEPD, desde la aplicación del RGPD las reclamaciones han aumentado un 33%, aunque como dato positivo, dos de cada tres se resuelven satisfactoriamente a través del DPD sin llegar a la apertura de un procedimiento en la AEPD. De estos datos, destacamos el papel tan importante de los DPD como primer paso para que las reclamaciones de los titulares de los datos se vean atendidas y así evitar la apertura de actuaciones de inspección de la AEPD y, en su caso, de sanciones. Con un total de 34.193 DPD comunicados a la AEPD, podemos concluir que, más allá de la obligatoriedad de su designación, esta figura se convierte en pilar fundamental en la cultura de protección de datos dentro de las organizaciones.
- La notificación de las Brechas de Seguridad: En la evolución de las notificaciones de Brechas a la AEPD pasamos de las 8 notificaciones que hubo en el mes de junio de 2018, cuando ya era de aplicación el RGPD, a 104 en el mes de diciembre a las 95 del mes de abril. Esto implica que sólo en cuatro meses de 2019 ya llevamos más de la mitad de las del 2018. Y si siguiera esta proyección, en todo el 2019 nos iríamos a 2113 notificaciones, 4 veces más que en 2018. En total, durante el mes de abril se han recibido 95 notificaciones de brechas de seguridad, recordemos que no todas las brechas de seguridad son susceptibles de ser comunicadas ni a la AEPD ni a los interesados. Esto nos da una media de más de 3 brechas al día. Entre las causas más habituales encontramos el hacking, seguido de dispositivos y documentación perdidos o robados. Más del 60% es intencionado pero llama la atención que más del 17% son por errores internos de las compañías. De forma que estas brechas de seguridad se habrían evitado reforzando los controles internos de las compañías, principalmente aumentando la concienciación y formación del personal en torno a la cultura de protección de datos.
- La entrada en vigor de la nueva LOPDGDD: el 6 de diciembre de 2018 entró en vigor la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Como novedad principal incorpora un paquete de derechos digitales, que no alcanzamos a entender por qué se ha incluido en esta norma, pues la mayoría suponen ampliaciones de derechos detallados en otras leyes o traslaciones al entorno digital de derechos fundamentales. Esta misma semana el Tribunal Constitucional ha declarado inconstitucional la modificación que hacía de la LOREG introduciendo el art. 58 bis que permitía a los partidos políticos recabar opiniones políticas así como realizar spam electoral.
- Obligación de realizar una Evaluación de Impacto de Protección de Datos (EIPD): a partir del RGPD antes de iniciar ciertos tratamientos será necesario realizar una EIPD. Hay que tener en cuenta que las EIPD deben realizarse previamente a la puesta en marcha del tratamiento. Por tanto, en un principio, esta obligación no se extiende a las operaciones de tratamiento que ya estaban en curso cuando entró en vigor el RGPD. No obstante, sí debe realizarse cuando en estas operaciones se hayan producido cambios en los riesgos respecto a cuando se puso en marcha. El pasado 6 de mayo la AEPD publicó el listado de tratamientos de datos que requieren la realización de una EIPD, en virtud del art. 35 RGPD.
Como conclusión, aunque el RGPD ha supuesto un cambio en la forma de entender la protección de datos, tanto para el ciudadano como para las empresas, aún queda mucho trabajo por hacer para asentar una verdadera nueva cultura de privacidad.