El pasado sábado 25 de mayo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) cumple un año.
Así pues, hemos considerado que es el momento ideal para hacer una reflexión sobre su cumplimiento a lo largo de todo este tiempo. Siempre es conveniente analizar el grado de resultado de la aplicación de una nueva normativa. Y más cuando es del calibre del RGPD, para poder afrontar el futuro de la mayor manera posible. Corrigiendo incumplimientos, y actualizando aquellos aspectos de la normativa que se han aplicado correctamente.
Nivel de cumplimiento
Todas las empresas y entidades obligadas por el RGPD han tenido un año para adaptarse a los cambios que el Reglamento requiere. Una gran cantidad de reglas y procedimientos que de manera progresiva habían de ir siendo incorporadas. Sin embargo, parece ser que la gran mayoría de las empresas han actuado de forma reactiva. Es decir, solo han procedido en momentos de alerta (incidencias de seguridad, denuncias…).
Sin embargo, pasado un año ya desde la aplicación de la nueva disposición, es momento de exigir el cumplimiento total de la nueva normativa. Es momento de exigir una responsabilidad proactiva a todos aquellos obligados con el RGPD. La privacidad de las personas esta en juego y esto tiene que prevalecer, ante todo. En especial, ante los ataques a datos personales que se sufren a diario.
La Autoridad Catalana de Protección de Datos ha realizado una auditoría preventiva sobre los portales de transparencia donde se han detectado los principales problemas. Su finalidad es poder dar pautas y recomendaciones a las empresas y entidades para el correcto cumplimiento. En especial, las principales deficiencias se han encontrado en el principio de licitud con la inclusión de datos personales cuando no existía base jurídica para hacerlo. También con relación a la publicación de datos innecesarios y excesivos. Y finalmente, en relación también a la conservación de los datos personales en los portales de transparencia. Se considera que han sido mantenidos más allá del plazo necesario para alcanzar la finalidad.
Delegado de Protección de Datos
Con el nuevo RGPD se creó una nueva figura, el Delegado de Protección de Datos cuya función principal es velar por el buen cumplimiento de la normativa y asegurar la protección de los datos de las personas interesadas. En especial, realiza tareas como informar y asesorar al responsable o al encargado del tratamiento. También a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento. Y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. Como supervisar el cumplimiento de lo dispuesto en el Reglamento y ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos. Como también, supervisar su aplicación de conformidad con el artículo 35, entre muchas otras.
Muchas son las entidades que tienen la obligación de nombrar a un DPD, pero pocas son las que realmente ya han designado esta figura. Los motivos pueden ser desde el desconocimiento de las funciones del DPD hasta la necesidad de contención del gasto, o incluso un erróneo enfoque sobre la oportunidad de designar un DPD.
Un ejemplo muy claro son los Ayuntamientos. Se tratan de entidades que están obligados a nombrar a un DPD. En la actualidad, aunque los delegados de los ayuntamientos están registrados en las autoridades de control, no existe información sobre si la función del DPD se está cumpliendo de forma adecuada.
Los resultados registrados
La AEPD ha publicado en estos últimos días un análisis sobre el grado de cumplimiento de lo impuesto por el nuevo RGPD durante este último año. En especial, ha destacado los siguientes datos:
- Reclamaciones recibidas: 14.397
- Delegados de protección de datos registrados: 34.193
- 908 del sector privado
- 285 del sector público
- Notificaciones de brechas de seguridad: 966
- Casos con otras autoridades europeas: 1.029
Autopreguntas finales…
- ¿Realmente conocéis que supone tener el deber de nombrar un Delegado de Protección de Datos, así como sus funciones?
- ¿Sabéis que debéis hacer con los documentos que disponéis para ir acorde con lo establecido en la normativa actual?
- ¿Realmente aplicáis las medidas de seguridad en función de los riesgos detectados?