6 Nov 2021

Tres deseos para la nueva AEPD

por | publicado en: AEPD, Asociaciones, Compliance, Derechos fundamentales, RGPD | 0

Tiempo de lectura: 8 minutos

Es inminente el relevo en la cúpula de la Agencia de Protección de Datos, tras el acuerdo entre el Gobierno y el Partido Popular para renovar cuatro de los cinco órganos constitucionales.


La LOPD 3/2018 regula el funcionamiento de la AEPD, sus órganos de gobierno y competencias. La actual dirección general pasa a ser Presidencia, y se crea la figura del adjunto. Ambos nombrados por el Rey a propuesta del Gobierno.

La AEPD, cuyo nombre oficial es Agencia Española de Protección de Datos, Autoridad Administrativa Independiente y la que coloquialmente llamamos la agencia, se relaciona con el Gobierno a través del Ministerio de Justicia. Éste, además, nombrará un Consejo Consultivo (ver composición del mismo en el Apéndice).

No cabe duda de que los cambios en la cúspide de una institución suelen conllevar novedades en fondo y forma. Por ello es el momento de frotar la lámpara y manifestar tres deseos, desde la óptica de una consultoría que dialoga con pymes e instituciones.

Tres deseos

Funcionarios habilitados

Está pendiente la designación de funcionarios habilitados para ejercer la potestad investigadora (los inspectores). Actualmente hay unos 20 funcionarios en plantilla de la agencia dedicados a investigar las reclamaciones que llegan a la AEPD. Dado que hay más de 3 millones de empresas, unas 9000 fundaciones y unos 8000 ayuntamientos (de los cuales, unos 2000 están en comunidades autónomas con autoridad de control propia : Andalucía, País Vasco y Cataluña, siendo los otros 6000 competencia de la AEPD), es patente la insuficiencia de recursos, tanto para procesar las reclamaciones como para tomar el pulso de forma continuada al cumplimiento normativo e incidir en los múltiples aspectos que una autoridad de control tiene encomendada.

Es habitual que las empresas deban presentar evidencias de cumplimiento en diversas materias, entre las que se incluye la protección de datos personales, a inspectores de trabajo, de sanidad, a auditores contables o ISO, a bancos que están evaluando la concesión de un préstamo. La habilitación de nuevos funcionarios (externos a la agencia) potenciará en gran medida un mayor cumplimiento y, por ende, una mayor protección de los datos personales de la ciudadanía.

Resoluciones multi-artículo

De un tiempo a esta parte se observa que la AEPD dicta resoluciones que incluyen diversos artículos infringidos, y los sanciona todos. De ellos, alguno puede ser medial de otro, algunos son principios que, de una forma u otra, siempre serán conculcados si se ha infringido algún otro artículo concreto. El resultado final es que el importe final de la sanción es más abultado. Para una pyme, no son lo mismo 1.000 euros que 4.000.

Se agradecería, pues, una vuelta a la templanza sancionadora. Los sancionados pocas veces escalan a la vía judicial con la esperanza de encontrar reparo en la Audiencia Nacional. Las sanciones deben ser disuasorias, pero no desproporcionadamente disuasorias. Por otra parte, cometer una infracción del RGPD o la LOPD no siempre es una lesión al derecho fundamental de la protección de datos.

Biometría

En mayo de 2019 publicamos en el blog un artículo sobre biometría (accesible en este enlace). Y este mes de noviembre de 2021 publicamos el segundo, recogiendo algunas de las novedades más relevantes en la materia. Es accesible en este enlace.

Se ven ahora sanciones por uso de la biometría, tanto en control de acceso por huella dactilar (como los dos gimnasios sancionados en 2018, Murcia y Madrid), como por otras aplicaciones más elaboradas.

La biometría, para ser utilizada lícitamente, y al ser un dato de categoría especial (RGPD 9), debe salvar dos obstáculos, además de cumplir con los principios de RGPD 5 :

  • Cumplir con todos los principios, RGPD 5
  • Sustentarse en uno de los supuestos que levantan la prohibición de su tratamiento: RGPD 9.2
  • Tener una base jurídica, RGPD 6

A pesar de las resoluciones en contra, también hay sentencias judiciales favorables. La Audiencia Nacional anuló la sanción (1500€) al gimnasio de Murcia, al estimar lícito el tratamiento y ajustado a la anterior LOPD de 1999, vigente en el momento de la reclamación (sentencia 3675/2019, de 19 de septiembre, accesible en este enlace). La sentencia puede ser un punto de anclaje para extrapolar que la biometría para control de acceso es conforme a dos de los tres puntos anteriores: los principios de RGPD 5 y la base jurídica de RGPD 6, puesto que ambos no han cambiado desde la anterior normativa. En cambio, el RGPD añadió la prohibición de tratar las categorías especiales de datos (incluye la biometría), que no es fácilmente superable.

Convendría, pues, clarificación por parte de las autoridades. Sería positivo para todos los actores.

Nueva etapa

Llevamos al menos 22 años (desde la LOPD 1999) de trayectoria en protección de datos personales. Suficiente, pues, como para que el concepto forme parte de la cultura empresarial e institucional.

La Autoridad de Control está investida de amplias competencias para desarrollar la cultura de cumplimiento, establecer criterios y aplicar sanciones. Tal desempeño requiere una gestión técnicamente pulcra, una visión amplia. El desarrollo del RGPD duró 6 años y alguna contradicción debía quedar pendiente, a la vez que se perfilan nuevos retos de incierto y no desdeñable alcance.

Sólo resta desear a los nuevos cargos acierto y neutralidad en sus decisiones y curiosidad por explorar pareceres.

Antonio March | amc@datium.eu
Noviembre 2021
Imagen: Jonny James – London – Unsplash

Apéndice. Consejo Consultivo

Artículo 49. Consejo Consultivo de la Agencia Española de Protección de Datos.

  1. La Presidencia de la Agencia Española de Protección de Datos estará asesorada por un Consejo Consultivo compuesto por los siguientes miembros:
    a) Un Diputado, propuesto por el Congreso de los Diputados.
    b) Un Senador, propuesto por el Senado.
    c) Un representante designado por el Consejo General del Poder Judicial.
    d) Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia.
    e) Un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma.
    f) Un experto propuesto por la Federación Española de Municipios y Provincias.
    g) Un experto propuesto por el Consejo de Consumidores y Usuarios.
    h) Dos expertos propuestos por las Organizaciones Empresariales.
    i) Un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados.
    j) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el Capítulo IV del Título V, propuesto por el Ministro de Justicia.
    k) Un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas.
    l) Un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia.
    m) Un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados.
Seguir Antonio March:

Últimas publicaciones de