En varias de nuestras anteriores publicaciones nos hemos referido tanto a las consecuencias como a las incertidumbres que iba a traer consigo la plena aplicación del Reglamento General de Protección de Datos (en adelante, RGPD) desde el pasado 25 de mayo; fecha que todos esperábamos ansiosos debido a los importantes cambios que trae consigo.
En este artículo vamos a referirnos, por un lado, a la sustitución del Grupo de Trabajo del artículo 29 (GT29) por el Comité Europeo de Protección de Datos, y, por otro lado, al esfuerzo de concienciación dirigido a todos ciudadanos por parte de la Agencia Española de Protección de Datos (AEPD):
1. EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS
Desde esta fecha queda constituido el Comité Europeo de Protección de Datos, organismo al que el propio RGPD dedica la Sección 3 del Capítulo VII y que viene a sustituir al Grupo de Trabajo del artículo 29 (contemplado por la ya derogada Directiva 95/46/CE).
Dicho organismo actuará con total independencia en el desempeño de sus funciones o ejercicio de sus competencias y, garantizará la coherente aplicación del RGPD.
2. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
En virtud del artículo 51.1 del RGPD, “cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación del RGPD…”. En nuestro país, como hasta ahora, será la AEPD quien contribuya a la coherente aplicación del mismo.
La AEPD ha cambiado el diseño de su página web, añadiendo nuevos apartados y herramientas conforme al RGPD. Por ejemplo, dedica uno de sus apartados a las redes sociales que desde la propia Agencia se utilizan:
– Twitter (@AEPD_ES): cuyo fin es meramente informativo y divulgativo. No es un canal válido para presentar denuncias, reclamaciones o consultas jurídicas; pues todas estas cuestiones deben ser planteadas a través de la sede electrónica de la AEPD o utilizando los cauces que establece la propia norma.
– Canal oficial de Youtube: (https://www.youtube.com/user/desdelaAEPD): los ciudadanos pueden suscribirse para estar al tanto de todos los materiales en vídeo que publica la AEPD.
La AEPD por otra parte, publicó días previos al 25 de mayo la Guía correspondiente a la “Protección de Datos y prevención de delitos”, que será objeto de análisis en próximas publicaciones de nuestro blog; y también ha publicado su propio Registro de las actividades de tratamiento efectuadas bajo su responsabilidad en virtud de las exigencias del propio artículo 30 del RGPD.
• Notificación del nombramiento de delegados de protección de datos
Una de las novedades más importantes que ha introducido el RGPD es la figura del Delegado de Protección de Datos (DPD) en virtud de lo dispuesto en su artículo 37 y ss.
Pues bien, dice este artículo que: “el responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control”
¿Cómo comunicar los datos de contacto de un DPD? Dentro de la sede electrónica de la página de la AEPD, se ha habilitado una herramienta exclusiva para hacerlo: “Comunicación del Delegado de Protección de Datos”.
• ¿Por qué he recibido tantos emails sobre políticas de privacidad?
En virtud del artículo 7 del RGPD, cuando el tratamiento esté basado en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que se otorgó tal consentimiento. Por ello, para que las distintas entidades puedan realizar envíos publicitarios, es necesario que en algún momento hayan recabado el consentimiento de los distintos interesados para poder realizar tales envíos.
Ahora bien, ¿era necesario volver a solicitar el consentimiento si ya se había hecho con anterioridad?
La AEPD se ha pronunciado al respecto en la décima sesión anual abierta, que tuvo lugar el pasado 5 de junio, y ha afirmado que las entidades que se planteen el tratamiento de datos con legitimidad y consentimiento en el marco de una relación contractual que ya se hubiera establecido previamente, no se necesita consentimiento.
Sin embargo, sí se necesita ese consentimiento cuando se pretendan usar los datos para finalidades diferentes para las cuales se otorgó tal consentimiento. En otros casos, además podría entenderse perfectamente válido «el interés legítimo» como base jurídica legítima para el tratamiento; ahora bien, sobre el concepto de interés legítimo queda mucho aún por perfilar, y previsiblemente va a seguir dando que hablar.
Podemos concluir indicando que el en el trasfondo de todo el revuelo que se ha formado a raíz de los múltiples emails recibidos, nos encontramos con que la verdadera causa de todo parece haber sido la desinformación y las prisas de última hora por parte de las entidades que no han tomado unos minutos a valorar si era procedente o no mandar el famoso email y por desgracia tampoco han valorado las consecuencias que ese envío masivo podía tener.
Ahora con cielo escampado y con el paso de la luz, podremos seguir trabajando y dando forma a un correcto cumplimiento del RGPD siempre sin perder de vista el objeto de la norma: velar por nuestro derecho fundamental a la protección de datos.