La Agencia Española de Protección de Datos (AEPD) organiza un encuentro dirigido a las corporaciones colegiales sobre la aplicación práctica del RGPD
El pasado 26 de junio, la Agencia Española de Protección de Datos (AEPD) celebró el encuentro de Aplicación práctica del Reglamento General de Protección de Datos para DPD, dirigido al sector de profesiones colegiadas, consejos y colegios profesionales.
Julián Prieto, subdirector general del Registro General de Protección de Datos, que dirigió la sesión junto a su equipo, manifestó que estas reuniones realizadas con los distintos sectores tienen la finalidad de ofrecer respuesta y solución a los problemas y dificultades planteadas en el ejercicio cotidiano de la aplicación de esta normativa. Si bien, en relación al ámbito de los colegios profesionales, volvió a invitar a que se remitan más cuestiones y dudas surgidas en torno a su operativa.
En la sesión se abordaron diversos asuntos expuestos desde las corporaciones colegiales sobre el proceder en los tratamientos, su legitimidad, así como aquellos márgenes aún difusos que, como corporaciones de derecho público con sus funciones públicas y privadas, les atañen. Prieto recordó la relevancia de informar de la base jurídica aplicada, conforme a los seis supuestos del artículo 6.1. del RGPD, en cada tratamiento de datos que se realice en las entidades. Apuntó la dificultad existente en la delimitación del plazo mínimo de conservación de los datos, puesto que además, en tanto en cuanto, haya tratamiento con base pública está sujeto a la normativa de archivos y documentos. Además, en cuanto a la filosofía de del RGPD y la nueva ley, señaló que aunque se pierde seguridad jurídica, se da libertad de análisis y evaluación a los responsables. Eso sí, todos los tratamientos aplicados deben quedar justificados y registrados por, si llegado el caso, se abre una inspección.
Articulación de la colegiación de oficio según protección de datos
Desde Unión Profesional (UP) se puso sobre la mesa la cuestión de la colegiación de oficio y su articulación en consonancia con la normativa de protección de datos. A tal efecto, se persigue fundamentar que las corporaciones colegiales tengan una base jurídica sólida para solicitar a los empleadores públicos y privados que les faciliten los datos de aquellos profesionales empleados que están en ejercicio irregular al deber estar colegiados de acuerdo a la ley estatal. En este sentido, la AEPD recomendó a UP que les remita al gabinete jurídico un posicionamiento argumentado que pudiera soportar dicha petición de datos al empleador, para que pueda ser valorado y otorgada su conformidad, en su caso.
El procedimiento de consultas hacia la AEPD
Precisamente, en cuanto al curso de las consultas que puedan ser recibidas por la AEPD, Prieto incidió en que estas podrán derivarse al Canal Informa, el cual tiene ya el criterio
asentado sobre algunas materias, o al gabinete jurídico cuando se solicite confrontar un nuevo criterio. En este último caso, el solicitante deberá conformar la orientación y base que crea más adecuada para su cuestión para así poder ser contrastada jurídicamente.
Otros temas tratados fueron la realización de los análisis de riesgos y las evaluaciones de impacto. Sobre los niveles de riesgo que pueden establecerse, cuyo contenido son las medidas y protocolos que se han de aplicar cuando acontezcan, se argumentó que para mayor facilidad y exactitud en su gestión determinar demasiados puede ser contraproducente, y configurar solo dos, por ejemplo, puede ser poco ajustado a la realidad. En esta línea, se citaron algunas herramientas virtuales que pueden ser de utilidad para afinar este ejercicio. Entre ellas, Facilita 2.0 de la propia AEPD que, aunque solo se orienta al tratamiento de datos personales de bajo riesgo, puede suponer un buen punto de partida para el resto de acciones. También se refirió la herramienta PILAR del Centro Criptológico Nacional (CCN) que permite analizar los riesgos en cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Igualmente, se recordó que los responsables de protección de datos han de considerar lo previsto en cuanto a medidas de seguridad de acuerdo al Esquema Nacional de Seguridad según lo expuesto en la Disposición adicional primera de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
La admisión a trámite de las reclamaciones
En la parte final de la sesión, Pedro Colmenares, subdirector general de Inspección de Datos, abordó brevemente el procedimiento seguido de las reclamaciones que recibe la AEPD por un particular o entidad dado que el espíritu de la normativa es poner solución inmediata si está habiendo un perjuicio a los afectados. En este plano, recogido en el artículo 65 de la LOPDGDD, expuso que cuando la AEPD recibe la notificación de una reclamación, para admitirla a trámite en los tres meses de plazo que tiene, la AEPD plantea tres cuestiones: en primer lugar, que el reclamante dé cumplida cuenta de lo solicitado con el objeto de resolverlo lo antes posible. En segundo lugar, se advertirá al responsable o encargado que profundice en encontrar el posible porqué, lo que implica revisar todos los procesos para concluir si, efectivamente, ha habido un perjuicio y si el derecho del afectado está plenamente garantizado. Y, por último, qué medidas se van a tomar para que no vuelva a suceder.