NOTAS de la 10ª sesión de la Agencia Española de Protección de Datos

El pasado lunes 4 de junio la Agencia Española de Protección de Datos ("AEPD") celebró su 10ª sesión anual abierta. Esta sesión tiene lugar cada año y en ella la AEPD comparte su visión sobre determinadas cuestiones en materia de protección de datos y tecnología, presenta nuevas guías y documentos y responde a las cuestiones planteadas por los asistentes. Este año la sesión de la AEPD generó gran expectación, dado que escasos días antes comenzó a ser aplicable el Reglamento General de Protección de Datos ("RGPD") en toda la Unión Europea.

Ofrecemos un resumen de los aspectos más importantes expuestos a lo largo de la sesión. Hemos querido destacar aquellos que son de mayor interés de cara a entender cómo la AEPD pretende interpretar o aplicar algunos de los preceptos del RGPD y cómo va a conjugar esta norma europea con la legislación sobre cookies y comunicaciones comerciales por medios electrónicos:

Nueva Ley Orgánica de Protección de Datos:

• La Directora de la AEPD no concretó cuándo esperan que se apruebe la nueva Ley Orgánica de Protección de Datos. Sin embargo, y aunque todavía no es de aplicación, la Directora aseguró que tendrían en cuenta lo dispuesto actualmente en el proyecto de Ley.
• Anunciaron que van a crear un Reglamento de desarrollo de la nueva Ley, al amparo de la posibilidad contemplada en el RGPD de que los Estados Miembros puedan desarrollar determinados aspectos del mismo.

Registro de actividades del tratamiento:

• La AEPD considera el registro de actividades de tratamiento como el primer paso de cara a implementar el RGPD y recomienda a todas las compañías que elaboren el registro de actividades de tratamiento.
• Aclararon que no es necesario incluir las bases legales legitimadoras de los tratamientos de datos en el registro de actividades de tratamiento.
• En relación con las medidas de seguridad, la AEPD indicó que basta con incluir una descripción general de las mismas.
• En relación con los plazos de conservación de los datos, son válidas fórmulas tales como "se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos".

Potestad sancionadora:

• Advirtieron que a partir de ahora las investigaciones que se inicien como consecuencia de una denuncia de un particular no se limitarán al análisis del hecho denunciado, sino que analizarán el cumplimiento por parte del responsable del tratamiento de todas las obligaciones que le impone el RGPD.
• En todo caso, la AEPD apoyará la resolución amistosa, aunque concluyó que será contundente en aquellos casos en los cuales los responsables del tratamiento lleven a cabo elaboración de perfiles y/o traten datos sensibles. 
• En términos generales, la AEPD afirmó que serían rigurosos pero también flexibles y que, desde luego, aplicarán el sentido común.

Violaciones de seguridad:

• Confirmaron que es necesario disponer de un registro de incidencias en el que incluir las violaciones de seguridad que puedan producirse.
• Advirtieron que no todas las violaciones de seguridad han de comunicarse a la AEPD, sino sólo aquellas que "tengan repercusión sobre los derechos y libertades de los afectados".

Cookies:

• Aclararon que fórmulas como "seguir navegando" ya no son válidas bajo el nuevo RGDP.
• Explicaron que debe informarse correctamente de las finalidades del uso de cookies. Fórmulas como "para mejorar tu experiencia" no informan debidamente de la finalidad de las cookies. Han de utilizarse fórmulas como "para la elaboración de perfiles basados en hábitos de navegación del usuario".
• En todo caso, la AEPD recomienda incluir alguna de las siguientes posibilidades en el banner de cookies:  Acepto el uso de cookies/ Rechazo el uso de cookies/ Configurar las cookies; o Acepto el uso de cookies/ Configurar las cookies (incluyendo aquí la posibilidad de rechazar el uso de cookies).

Delegado de Protección de Datos ("DPD"):

• La AEPD explicó que puede nombrase un DPD de otro Estado Miembro.
• La AEPD aclaró que el DPD no puede ocupar un puesto dentro de la organización que lo conduzca a determinar las finalidades y los medios del tratamiento de los datos personales. Aclaró también que las posiciones conflictivas pueden ser aquellas de alta dirección o jefes de departamentos (por ejemplo, jefes de RRHH o TI).
• Se aclaró también que los supuestos enumerados en el proyecto de Ley Orgánica de Protección de Datos no son exhaustivos.

Otras cuestiones de interés:

• En relación con la inclusión de datos personales en ficheros de morosidad, la información que ha de dársele al afectado de que podrá ser incluido podrá proporcionarse o en el contrato, o en el requerimiento previo de pago (pero no hará falta satisfacer el deber de información en ambos documentos).
• Si un trabajador cometiera un delito en el ámbito de sus deberes laborales, el uso de las imágenes del trabajador (obtenidas a través de un sistema de videovigilancia) será lícito si se ha informado previamente al trabajador de la instalación de dicho sistema (información que, según la AEPD, es suficiente que se haya proporcionado a través del cartel de videovigilancia).
• En cuanto al deber de información, y respecto de los destinatarios de los datos, advirtieron que no hace falta informar sobre los encargados del tratamiento. 
• El tratamiento de la huella dactilar de los empleados con la finalidad de identificarles unívocamente es posible sin su consentimiento sobre la base del Estatuto de los Trabajadores, que permite a las empresas adoptar medidas para controlar el cumplimiento de sus obligaciones por parte de los empleados, siempre que este método sea realmente necesario para que el control sea eficaz y, a ser posible, de manera que el dispositivo empleado para el control no almacene el dato biométrico.

Además de arrojar su interpretación sobre las anteriores cuestiones (y sobre otras cuestiones cuyo margen de interpretación es sustancialmente menor), la AEPD aprovechó la ocasión para anunciar que próximamente emitirá una guía sobre violaciones de seguridad.