OPINIÓN +
AEPD y Unión Profesional: un año colaborando para ayudar al cumplimiento del RGPD Mar España Directora de la Agencia Española de Protección de Datos El objetivo principal de la Agencia Española de Protección de Datos (AEPD) es trabajar para conseguir proteger a las personas en lo que respecta a sus datos personales. Para la consecución de ese objetivo, es necesario enfocarlo desde varios planos y, por ello, en nuestro Plan Estratégico hemos apostado por una visión preventiva que desarrollamos mediante políticas proactivas dirigidas a promover el conocimiento de la normativa de protección de datos, sensibilizar a los responsables de los tratamientos de datos de las obligaciones que han de cumplir y facilitar su cumplimiento. Hasta el 25 de mayo del 2018 —fecha en que comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD)— la Agencia intensificó su labor de concienciación en distintos foros para apoyar a las organizaciones en su proceso de adaptación al Reglamento. Éste incorpora el principio de responsabilidad activa de quienes tratan datos personales, de tal forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.
Las organizaciones que no puedan utilizar Facilita deben llevar a cabo un análisis de riesgos, un procedimiento que permite hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales Evaluación de Impacto en Protección de Datos Para ayudar a cumplir con este principio, la AEPD desarrolló la herramienta Facilita, un cuestionario online gratuito con el que empresas y profesionales que efectúan tratamientos de bajo riesgo pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento. Para quienes realicen tratamientos que impliquen un riesgo mayor, la Agencia también elaboró recursos de ayuda específicos, como las Guías de análisis de riesgos y evaluación de impacto en la protección de datos. Las organizaciones que no puedan utilizar Facilita deben llevar a cabo un análisis de riesgos, un proce56 g Profesiones
dimiento que permite hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos (EIPD). La EIPD es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar esos peligros antes de que se concreten. La Guía de Evaluación de Impacto en la Protección de Datos ayuda a identificar las actividades que conllevan un alto riesgo y a establecer medidas de control más ajustadas para minimizar el mismo antes de iniciar el tratamiento. Con posterioridad al 25 de mayo, la Agencia ha continuado participando en cursos, jornadas, encuentros, seminarios y charlas en los más diversos ámbitos, en los que ha tratado de fomentar el conocimiento de la normativa. En paralelo, ha proseguido con la elaboración de recursos para facilitar esta tarea, como una guía para gestionar y notificar las quiebras de seguridad, presentada junto a ISMS Forum y en colaboración con el Centro Criptológico Nacional (CCN) e INCIBE, y creada para ofrecer a las organizaciones recomendaciones preventivas, así como un plan de actuación para saber cómo evitarlas y cómo proceder en caso de que se produzcan. Ante las próximas elecciones Por otra parte, la Agencia también ha publicado una Circular relativa al tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores. La Circular, que da continuidad al informe previo que publicó en diciembre, establece los criterios de actuación de la Agencia en la aplicación de la normativa de protección de datos respecto al tratamiento relativo a opiniones políticas por los partidos al amparo del artículo 58 bis de la LOREG, siempre teniendo en cuenta el RGPD y la Constitución Española, de modo que no se conculquen derechos fundamentales. En este momento, este artículo se encuentra recurrido ante el Tribunal Constitucional por parte del Defensor del Pueblo. La Circular mantiene las garantías definidas en el borrador que se sometió a trámite de audiencia, añadiendo plazos concretos; fijando obligaciones adicionales respecto al deber de información y el derecho de oposición; limitando la legitimación de aquellos que quisieran ampararse en el 58 bis para tratar datos, y obligando a consultar a la AEPD antes de proceder al nº 178 g marzo-abril 2019