Nuevas directrices de la AEPD en la jornada anual
El pasado 4 de junio se celebró en Madrid la 10ª sesión anual de la Agencia Española de Protección de Datos (en adelante, “AEPD”).
En esta jornada se realizó un repaso por todas las implicaciones prácticas que introduce el Reglamento General de Protección de Datos (en adelante, “RGPD”) y las iniciativas de adaptación al mismo, abordando aspectos como la herramienta Facilita RGPD para empresas que hagan un tratamiento de datos que implique un riesgo bajo y las Guías de Análisis de Riesgos y Evaluación de Impacto en protección de datos.
Una de las cuestiones que se trató en esta sesión, es el número elevado de comunicaciones enviadas por las empresas solicitando la renovación del consentimiento de sus usuarios en los días previos a la plena aplicación del RGPD, recordando la AEPD que esta normativa no obliga a renovar el consentimiento de los usuarios que se prestó previamente al 25 de mayo de 2018 (fecha en la que resultó de plena aplicación el RGPD) si este cumple con los requisitos del RGPD. Asimismo, desde la AEPD se hizo hincapié en que no solo existe el consentimiento como base de legitimación para el tratamiento de datos, sino que existen otras bases como es la de la existencia de una relación contractual previa.
La AEPD alertó del amplio número de empresas y profesionales que están ofreciendo servicios de adaptación al RGPD, cuando lo único a lo que se limitan estas empresas es a crear una apariencia de cumplimiento. En este sentido, la AEPD en el caso de que tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas.
Ponencias clave de esta sesión fueron las relativas al Registro de Actividades y las Cookies. El Registro de Actividades, se trata de una de las primeras medidas que toda empresa debe llevar a cabo en la adaptación a esta normativa ya que la realización de este Registro supone la revisión de los tratamientos de datos que se están llevando a cabo. Como hemos comentado anteriormente, desde la AEPD se ofrece una herramienta con la que poder elaborar este Registro de Actividades. La AEPD por su parte ha hecho público su Registro de Actividades, facilitando con ello criterios como los plazos de conservación, categorías de datos y de destinatarios.
En relación con las Cookies, desde la AEPD se ha informado que los requisitos aplicables al consentimiento informado para el uso de cookies serán los establecidos en el RGPD.
En este sentido, se debe informar a los usuarios de la identidad del responsable del tratamiento, de la finalidad de las cookies y el tipo de datos. Debe excluirse cualquier tipo de información que induzca a error o confusión como; “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted”. La formula habitual de “seguir navegando” podría seguir siendo válida si se refuerza la toma de decisiones sobre cookies.
Otro tema abordado durante la jornada fue el de los códigos de conducta y las sanciones, algo que preocupa mucho a las empresas puesto que las sanciones que introduce el RGPD son de elevada cuantía. En este sentido, la directora de la AEPD, ha incidido que existen medidas como la advertencia o un apercibimiento, que pueden adoptarse en lugar de una sanción económica, siempre y cuando se aprecie y documente una adecuada diligencia de la empresa en el cumplimiento del RGPD.
Desde Letslaw analizamos y revisamos todas las cuestiones sobre esta normativa, al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.
Si necesitas más información sobre la adaptación al RGPD puedes consultarnos.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.