Iniciado el periodo de transición en el que los responsables y encargados de tratamiento deben ir adaptando y modificando sus procesos al Reglamento General de Protección de Datos, la Agencia Española de Protección de Datos ha puesto a disposición las primeras guías con el fin de ofrecer orientaciones en este proceso de adaptación.
Desde ya antes de la entrada en vigor el pasado 25 de mayo de 2016 del Reglamento General de Protección de Datos (el “RGPD“), las autoridades de protección de datos alertaron a los agentes intervinientes en el tratamiento de datos personales de que la nueva normativa supondría modificaciones sustanciales en el modus operandi de la práctica empresarial en materia de protección de datos.
El periodo de transición hasta la aplicación definitiva del RGPD tiene una doble vertiente para los responsables y encargados de tratamiento, ya que además de observar los principios de privacy by design and default para los nuevos tratamientos de datos que efectúen, deberán adaptar a la nueva normativa aquellos tratamientos que sigan existiendo a partir del 25 de mayo del 2018.
Consciente tanto de la necesidad de adecuación a las nuevas exigencias del RGPD, como de la incertidumbre generada por el desconocimiento del modo en que deben aplicarse ciertas previsiones de dicha norma, la Agencia Española de Protección de Datos (la “AEPD“) se ha comprometido a publicar documentos, materiales e instrumentos que permitan identificar al tejido empresarial español los puntos clave que deben tenerse presentes para cumplir las exigencias del RGPD con plenas garantías. Tal es así, que la AEPD en el marco de su Plan Estratégico 2015-2019 publicó el pasado 26 de enero tres guías en las que se dilucidan aspectos relativos a la relación entre responsables y encargados del tratamiento, al deber de informar y a las obligaciones generales del responsable del tratamiento en el marco del nuevo reglamento europeo.
Por lo que respecta a las obligaciones principales de los responsables del tratamiento, la guía lejos de pretender ser un documento exhaustivo y definitivo, resalta los aspectos novedosos del RGPD, proporciona recomendaciones, puntualiza aspectos que deben tomarse en consideración y facilita un check list para verificar el nivel de cumplimiento con la nueva normativa. En este sentido, por ejemplo, cabe destacar los cambios en los requisitos de obtención del consentimiento, no admitiéndose formas de consentimiento tácito o por omisión. A la luz de tal modificación, la AEPD advierte que a partir del 25 de mayo de 2018 los consentimientos que fueron obtenidos bajo modalidades no admitidas por el RGPD carecerán de validez y, por ello, aconseja revisar y adecuar dichos tratamientos a la nueva normativa.
En cuanto al deber de informar, destaca en la guía la recomendación de la AEPD de proporcionar la información en un sistema de doble capa (siguiendo un esquema similar al recomendado por la AEPD en la Guía de Cookies). En una primera capa, se aconseja informar de manera resumida (preferentemente en formato de tabla) de los aspectos esenciales que afectan al tratamiento (i.e. responsable, finalidad, legitimación, destinatarios, derechos y, en su caso, procedencia de los datos) redirigiendo al sujeto afectado a la información adicional presentada de manera detallada en un segundo nivel (por ejemplo, en un enlace electrónico o en el reverso del documento en el que se ha proporcionado la información básica).
Por último, por lo que respecta a la relación jurídica entre responsables y encargados del tratamiento la AEPD proporciona directrices relativas a cuál debería ser el clausulado de los contratos de tratamiento de datos a partir del 25 de mayo de 2018, incidiendo no solo en aspectos ya existentes en virtud de la normativa actual, sino también previéndose el deber de colaboración de los encargados del tratamiento a los responsables en el cumplimiento de la nueva normativa y sustituyéndose la referencia a los niveles de seguridad existentes en el actual reglamento español por la necesidad de realizar una evaluación de riesgos que posibilite determinar las medidas de seguridad a aplicar.
A pesar de que las directrices facilitadas por la AEPD en las tres guías comentadas son meras recomendaciones que pueden sufrir modificaciones y no tienen carácter vinculante, son un buen punto de partida para que los agentes intervinientes en el tratamiento de datos conozcan el modo de llevar a cabo una correcta aplicación del RGPD.
