Tiempo de lectura: 7 minutos
Como ya apuntamos en un reciente artículo (accesible en este enlace) es inminente el relevo en la cúpula de la Agencia Española de Protección de datos (AEPD).
Termina su mandato la directora actual, Mar España, y lo hace publicando una segunda circular. Se limita la actividad consultiva de la AEPD, centrándola (tal como prescribe el RGPD) en los Delegados de Protección de Datos (DPD). Además, las asociaciones de responsables y encargados adquieren un papel relevante en instrumentar el cumplimiento normativo de sus asociados.
Circulares
La LOPD 3/2018 otorga a la AEPD la potestad de dictar circulares, de obligado cumplimiento y con el objetivo de fijar criterios interpretativos. La AEPD (la agencia) había emitido la primera en marzo de 2019, a propósito de una modificación de la ley electoral que permitía (en época electoral) a los partidos políticos profundizar en las opiniones políticas de los ciudadanos para conseguir una segmentación muy granulada y, por consiguiente, emitir mensajes muy personalizados. La circular de la agencia acotó de forma restrictiva esa modificación, la cual fue declarada inconstitucional meses después.
La segunda circular se ha publicado en el BOE del 5 de noviembre de 2021 (si bien en su encabezamiento se autocalifica como instrucción 1/2021). Trata de la actividad consultiva de la AEPD, y la sitúa estrictamente en los límites que definen el RGPD para todas las autoridades de control de la Unión Europea y el propio Estatuto de la agencia. La instrucción es accesible en este enlace.
Consultas, DPD…
El RGPD crea (o recrea, ya que su función venía dibujada en la anterior Directiva 95/46) la figura del Delegado de Protección de Datos (DPD o DPO), cuyo papel redunda en una mayor seguridad jurídica de los actores (responsables y encargados y, por ende, los interesados). Su rol se expuso en un artículo (accesible en este enlace) de este blog.
La AEPD dispone en su web de un canal específico para que los DPD expongan sus consultas. Se implementa así el precepto del RGPD en cuanto a la relación entre DPD y Autoridades de Control (RGPD 39.1.e).
Además, la agencia ha venido atendiendo consultas, telefónicas y por escrito, de responsables y encargados, e incluso de consultores externos. Con ello, la agencia divulgaba los fundamentos y la propia aplicación a casos reales del RGPD. Sin embargo, esa labor consultiva escapa a sus atribuciones legales y a su vocación de supervisor imparcial. Con la circular, procede la agencia a limitar al máximo su actividad consultiva, la cual está reglada en el RGPD. Responsables y encargados deben acudir a sus DPD, cuando los tengan, o a profesionales cualificados en la materia, como abogados y consultores.
Así, la AEPD actuará en clave consultiva mediante el canal dedicado a los DPD, y para atender las consultas previas (RGPD 36) que se refieren a tratamientos de alto riesgo (para los derechos y libertades de los interesados) que una evaluación de impacto no haya conseguido mitigar.
A su vez, la AEPD viene publicando guías y documentos informativos (sin carácter vinculante, pero con indicaciones valiosas para tomar decisiones fundadas). También ha desarrollado herramientas que dan soporte a determinadas situaciones (empresas sin tratamientos de alto riesgo, start-ups tecnológicas, redacción de una evaluación de impacto…). Todo ello, en cumplimiento de su deber de sensibilización de responsables y encargados, contemplado en la RGPD 57.1.d y, específicamente, del artículo 31.b de su Estatuto (RD 389/2021 de 1 de junio).
…. y asociaciones
La circular establece que, entre las consultas formuladas por los DPD, se priorizará por relevancia del tema tratado. Además, serán preferentes las consultas hechas por DPD de las Administraciones Públicas y de asociaciones de responsables y encargados.
La circular también recuerda que, entre sus atribuciones para fomentar el conocimiento y cumplimiento de la normativa, puede iniciar planes de acción sectoriales cuando lo considere oportuno, como la que ya hizo en 2020 en el sector socio-sanitario.
Con carácter excepcional, la AEPD (a criterio de su gabinete jurídico) atenderá consultas de Responsables o Encargados, o sus asociaciones, cuando aquéllos no estén obligados a nombrar un DPD y justifiquen la imposibilidad de nombrar uno con carácter voluntario y la consulta a realizar esté debidamente detallada y documentada. Tendrán prioridad de respuesta las consultas planteadas por asociaciones de responsables o encargados, frente a las planteadas por responsables o encargados individualmente.
De los párrafos anteriores se deriva la posición destacada de los DPD; nada nuevo. Pero además, las asociaciones de responsables o encargados ven concretada su intervención en el proceso de cumplimiento de sus asociados, en consonancia con las menciones del RGPD a las mismas.
Esas asociaciones podrán utilizar el canal DPD, de acuerdo al artículo cuarto, apartado 6 de la circular:
Este Canal también estará disponible para las organizaciones y asociaciones representativas de responsables y encargados del tratamiento que presten servicio de asesoramiento en materia de protección de datos a sus asociados, especialmente cuando se trate de pequeñas y micro empresas, en las mismas condiciones que se establecen para los DPD.
Sin duda, una buena noticia. Las pymes, las abundantes fundaciones y entidades del tercer sector de modesta dimensión tienen una vía preferente gracias a sus asociaciones.
Alineados con lo anterior, en datium hemos creado una propuesta de consultoría y soporte para esas asociaciones.
Planes de sensibilización y alianzas con asociaciones
La AEPD organizará planes bienales de sensibilización, dirigidos a responsables y encargados, dando preferencia a los contenidos que la AEPD detecte en el desarrollo de sus potestades, las derivadas del canal DPD y las que les trasladen las asociaciones de responsables y encargados. La AEPD establecerá, además, alianzas con algunas de esas asociaciones y prestará especial atención a las organizaciones que representen a pequeñas empresas y microempresas.
Conclusiones
El cambio de ciclo en la AEPD se adereza con los contenidos de esta circular. Cambio en la relación de la agencia con los actores finales (responsables, encargados y consultores). Más brillo, si cabe, para el rol del DPD. Fortalecimiento de las asociaciones y mención preferente a las pequeñas empresas y microempresas.
Antonio March | amc@datium.eu
Noviembre 2021
Imagen: Antonio Giraldo – Madrid