> 9ª Sesión anual AEPD
El 25 de mayo de 2017 se celebró la 9ª Sesión Anual abierta de la Agencia Española de Protección de Datos.
Los nuevos acontecimientos en el sector legislativo de la privacidad y la protección de datos han hecho de la sesión anual de este año un foro de reflexión y clarificación de algunas cuestiones que todavía están por definir.
> Futuro de la protección de datos
Estamos a un año de la aplicación obligatoria del nuevo Reglamento General de Protección de Datos. Estamos también a un año (según las palabras de la Directora de la AEPD) de una nueva Ley de Protección de Datos nacional; ley creada en substitución de la LOPD y adaptada al nuevo reglamento. Pero todavía muchas cuestiones están pendientes de clarificar.
Por ello en la sesión se traron cuestiones concretas del RGPD, y se abrieron nuevos debates pendientes de respuesta una vez tengamos nueva normativa estatal.
> Puntos clave de la sesión (I)
A continuación listamos las cuestiones que se han expuesto en la Sesión Anual abierta de la AEPD a la que Global Legal Data asistió:
- Nuevas guías para ayudar a la aplicación y cumplimiento del RGPD. Para diferentes sectores: administraciones públicas, ciudadanos, centros educativos, big data, etc.
- Aplicación para la gestión autónoma de la protección de datos para nano pyimes. En funcionamiento en julio de 2017.
- Medidas de seguridad: no trasladables al nuevo paradigma. Con la nueva regulación lo que se pretende controlar son los riesgos para terceros y no mis propios riesgos.
- Se podrán aplicar medidas de seguridad del ENS e ISO 27001.
- Auditorias: siguen siendo necesarias para ser diligentes y proactivos con la aplicación de medidas de seguridad. Todo ello, sin ser una obligación directa con el nuevo RGPD.
- Documento de Seguridad: desaparece en su concepto actual. Pero podemos incorporarlo en el inventario de tratamientos junto con otros documentos para el cumplimiento de medidas de seguridad.
- Nueva sección en AEPD para canalizar consultas de profesionales a través de las asociaciones de privacidad.
- Consentimiento tácito: la AEPD dará ejemplos en los que este se pueda sustituir por otras formas de legitimación de acuerdo con las del nuevo RGPD.
> Puntos clave de la sesión (II)
- Directrices sobre RGPD publicadas por el Grupo de Trabajo 29.
– Tratamiento a gran escala: no se concreta en el RGPD pero el GT29 propone criterios para determinarlo.
– Datos sensibles: seguimiento regular y sistemático.
– DPO: externo o interno. Siempre que exista DPO externo tiene que cumplir los mismos requisitos que DPO interno.
– Derecho de portabilidad: derecho más restringido del derecho d acceso. solo afecta a determinados tratamientos. No debe afectar a los derechos de terceros.
– Evaluación de impacto: con metodologías reconocidas. - Nuevas funciones de las autoridades de control: momento transitorio que se refleja en la estructura y funcionamiento interno. Importancia de los procedimientos que impliquen relaciones con otros países.
- Comentario de las sentencias más relevantes.
- Actualización de criterios sobre cesiones, contratacion irregular de nuevos servicios, pagos por medios electronicos, derecho al olvido, videovigilancia, ficheros de morosidad, etc.
> Conclusiones
Parece que las novedades legislativas en el sector de la privacidad y la protección de datos van a ser un reto muy interesante.
En Global Legal Data trabajamos cada día para aconsejar en su correcta implementación.