Grupo de trabajo sobre el nuevo reglamento europeo de protección de datos

El pasado lunes, 9 de mayo, se produjo en la Agencia Española de Protección de Datos la primera reunión de trabajo entre la autoridad de supervisión y las tres asociaciones profesionales más representativas en materia de privacidad: Enatic, APEP, y el ISMS Forum. El objetivo: analizar las repercusiones que el recientemente aprobado Reglamento General de Protección de Datos puede tener sobre nuestro ordenamiento jurídico, desde una perspectiva eminentemente práctica.

La reunión sirvió como toma de contacto, y para plantear aquellos aspectos que, a juicio de los asistentes, requieren de un examen más pormenorizado en estos dos años en que el Reglamento permanecerá inaplicable. La Agencia nos trasladó su intención de avanzar en el análisis por capítulos, de cara a estructurar las conversaciones y ser más eficientes a la hora de detectar los elementos de su articulado de más difícil comprensión, o que requieran de un desarrollo normativo a nivel nacional.

El objetivo de esta reunión, y de las que se celebren en el futuro, es proponer soluciones prácticas, desde la perspectiva que otorga la amplia experiencia que los profesionales españoles atesoramos en esta materia. La meta final, como no puede ser otra, es dotar de seguridad jurídica a los distintos actores involucrados en el mundo de la protección de datos.

A la vista de las intervenciones iniciales, la Agencia nos ha pedido que, en un plazo de quince días, planteemos nuestras interpretaciones sobre dos asuntos concretos:

  • La interpretación del consentimiento en el nuevo Reglamento. En particular, en relación a los siguientes aspectos:
    • ¿Qué ocurrirá con los tratamientos actuales, basados en el consentimiento? ¿Es necesario renovarlo, a la vista de los nuevos requisitos planteados en el Reglamento en materia de información, o de la aparente exclusión del consentimiento tácito?
    • ¿Cómo se verificará el consentimiento otorgado por quienes ostentan la patria potestad de los menores?
  • El alcance del interés legítimo, y en particular, en dos áreas concretas:
    • El intercambio de información, en materia de ciberseguridad, para prevenir los ataques informáticos y el fraude; y
    • El marketing, y en especial la interpretación que deberá hacerse del considerando 47 del Reglamento, que reza: “El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”. ¿Qué elementos de ponderación se han de tener en cuenta, a estos efectos?

Estos temas centrarán la segunda de las reuniones, cuya fecha está por determinar. La tercera, por lo que se nos ha trasladado, se enfocará en la figura del delegado de protección de datos; y las siguientes abordarán otras materias, como las notificaciones de violaciones de seguridad, el funcionamiento del mecanismo de coherencia entre autoridades de varios países o las materias en las que España cuenta con competencias de desarrollo normativo. Todo ello, por supuesto, sin olvidar una cuestión clave: qué partes de la LOPD, y de su reglamento de desarrollo, pueden seguir siendo aplicables a partir del 25 de mayo de 2018.

En lo que a las asociaciones se refiere, nuestra intención es la de colaborar para que la posición de los profesionales sea tenida en cuenta, en beneficio de nuestros asociados. Esta nota conjunta es un primer elemento de esta cooperación, que esperamos sea fructífera.

Comision Relaciones Institucionales enaTIC

Leave a Comment