Hoy dedicamos una nueva entrada del blog a repasar las principales novedades y el contenido más destacado de la última edición de la memoria anual de la Agencia Española de Protección de Datos (AEPD).
Esta memoria anual 2021, está nuevamente marcada por la actualidad social vinculada a las medidas sanitarias para registrar y limitar el avance de la pandemia de COVID-19 a través de los medios electrónicos y proteger el derecho a la libre circulación de personas y bienes a nivel comunitario, así como por la implementación y el desarrollo de la tecnología digital con el objetivo de favorecer los trámites electrónicos por parte de los ciudadanos tanto con la Administración pública como con entidades del sector privado; todo ello, ha tenido un profundo impacto sobre el derecho a la protección de datos de los ciudadanos, lo cual se ha evidenciado por el notable incremento tanto del número de consultas y reclamaciones ante la Agencia, como por la tipología y el volumen de sanciones resultantes de la función inspectora de la Autoridad de control.
En primer lugar, cabe destacar que en el año 2021 se generalizó el uso del certificado digital COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación, en la línea de lo adelantado en anteriores entradas del blog y así lo recalca la Agencia, para facilitar la libre circulación de personas en el territorio comunitario durante la pandemia. En este caso, la AEPD se ha mostrado a favor del certificado verde digital siempre que se utilice en base a los criterios objetivos de necesidad y proporcionalidad, entendiendo que se trata de un documento informativo no discriminatorio con fines médicos; no obstante, la Autoridad de control, en cumplimiento de la Ley reguladora de la Jurisdicción Contencioso-administrativa, ha respetado la decisión de los Tribunales Superiores de Justicia de las diferentes comunidades autónomas, tales como el Tribunal Superior de Justicia de Galicia en su Auto 00135/2021 o el Tribunal Superior de Justicia de la Comunidad Valenciana en su Auto 17/2022, a efectos de la correcta utilización de dicho certificado de conformidad con el conjunto de derechos y libertades fundamentales de los ciudadanos.
En otro orden, una de las principales novedades de la memoria del pasado año versa sobre la publicación en enero de 2021 del Pacto Digital para la Protección de las Personas, cuyo principal objetivo es la promoción de un acuerdo ciudadano por el que se ponga en relación la protección de datos personales con iniciativas concretas de innovación, ética y competitividad empresarial a lo largo de los diferentes sectores profesionales. Asimismo, con este Pacto, al cual se han adherido 349 entidades, se pretende reforzar especialmente la concienciación en cuanto a los derechos y obligaciones derivados de la aplicación del derecho a la protección de datos en el entorno laboral, así como la consolidación de buenas prácticas profesionales en materia de privacidad en sectores estratégicos como son los medios de comunicación y, en general, el tratamiento adecuado de los datos personales en los diferentes canales digitales de difusión.
Por otro lado, más concretamente en el ámbito jurídico de la Agencia, la mayoría de las consultas estuvieron marcadas por el modo de implementación de la normativa por parte de los responsables y/o encargados del tratamiento; concretamente, la mayoría de las consultas se relacionaron con el tratamiento de las categorías especiales de datos, el rol de las partes intervinientes en el tratamiento así como el adecuado cumplimiento normativo en relación a las medidas socio-sanitarias establecidas por las autoridades públicas competentes a lo largo de los diferentes ámbitos profesionales.
Entre el conjunto de consultas atendidas por la Agencia durante el pasado año, cabe destacar, en primer lugar, el criterio seguido por la Autoridad en su informe 13/2021, en relación a la publicación de los complementos de productividad individual de los empleados públicos. En este caso, en base al criterio de proporcionalidad, la Agencia resolvería a favor de la conciliación entre el derecho a la información por parte del personal funcionario así como el derecho individual a la protección de datos; en todo caso, el informe revela la procedencia de determinar un sistema de publicación restringido al acceso diferenciado por parte de los empleados públicos, garantizando que el sistema de intranet privado de dicha entidad pública evidencie la correcta adecuación al Esquema Nacional de Seguridad conforme a lo establecido en el Real Decreto 3/2010, de 8 enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica; y al cumplimiento de lo estipulado en el apartado 1 párrafo primero de la disposición adicional séptima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Por su parte, en el informe 32/2021, se planteó la adecuación a la normativa de protección de datos al respecto de una comunicación de datos de vacunación de los ciudadanos por parte de un servicio de salud pública de una comunidad autónoma a la Oficina de Prevención y Lucha contra la Corrupción. En este caso, aun considerándose un interés público esencial la lucha contra la corrupción, de acuerdo a lo establecido en el art. 9.2.g) Reglamento General de Protección de Datos (RGPD), el acceso a dichos datos de salud cabe considerarse excesivo y, por consiguiente, contrario a la normativa de protección de datos, en la medida en que no se informa adecuadamente sobre la finalidad del tratamiento, el tratamiento de tales datos no es estrictamente necesario para el cumplimiento de la finalidad establecida, en la medida en que se puede alcanzar la misma por otros medios y/o, al menos, a través de técnicas de anonimización de los datos objeto de tratamiento a efectos de evitar la identificación de las personas físicas afectadas.
En otro orden, el informe 70/2021, se aborda la cuestión ya recurrente al respecto del rol que ocupa una empresa que presta un servicio a la Comunidad de propietarios, en esta ocasión, en relación a la lectura y mantenimiento de los contadores y la emisión de liquidaciones de los consumos del agua. En la línea de resoluciones anteriores, se recuerda que, en general y salvo excepciones, los terceros que prestan un servicio a la Comunidad de propietarios actuarán en calidad de encargado del tratamiento. Asimismo, las Comunidades, en relación al tratamiento de datos para cumplir con el fin de gestión de los asuntos de la Comunidad, actuará en calidad de responsable, residiendo la base de legitimación en el cumplimiento de una obligación legal conforme a lo establecido en la Ley de Propiedad Horizontal.
Por último, el informe 47/2021, resuelve una consulta sobre un proyecto normativo presentado por una entidad bancaria relacionado con la utilización de sistemas biométricos, concretamente el tratamiento de reconocimiento facial a efectos identificativos para el registro previo en el canal digital de la entidad, alegando esta parte la necesidad de realizar las acciones de verificación oportunas en base a la normativa vigente de prevención del blanqueo de capitales y de la financiación del terrorismo. En esta ocasión, la AEPD, tras analizar las obligaciones legales de identificación de los usuarios-clientes, se concluye que el legislador no ha previsto adecuadamente el tratamiento de los datos biométricos como una medida proporcional para la identificación de las personas físicas para el cumplimiento de dichos fines, teniendo en cuenta que no cabe interés público esencial para el caso aquí planteado relacionado con la necesidad de verificar la identidad de los usuarios-clientes de una aplicación digital de una entidad bancaria. Por todo lo anterior, se considera que este tratamiento es desproporcionado, contrario al principio de minimización, y no existe una base de legitimación adecuada, para el tratamiento de esta categoría especial de datos.
Dentro de los desafíos jurídicos a los que ha tenido que hacer frente la Agencia, cabe destacar los siguientes informes preceptivos sobre disposiciones generales para la mejora de la eficacia en la implementación de la normativa vigente en sectores específicos, tal es el caso de:
- Anteproyecto de Ley Orgánica de Eficiencia Organizativa del Servicio Público de Justicia;
- Anteproyecto de Ley de Sociedades de Capital;
- Anteproyecto de Ley General de Telecomunicaciones o
- Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados
- entre muchos otros.
Por su parte, en relación al cómputo de sentencias del año 2021, se destaca un marcado incremento del fallo de inadmisibilidad del recurso por falta de legitimación activa, al tiempo que una amplia casuística estimatoria en relación al ejercicio de derechos de los interesados. En cuanto a los sectores profesionales mayoritarios afectados por las resoluciones de la Agencia, destacan el sector de banca y seguros y, seguidamente, el sector de las telecomunicaciones, los sistemas de información crediticia y el sector de distribución y venta y el energético. En cambio, se reducen las sentencias en las que son parte la Administración pública, la sociedad de la información o publicidad y la prospección comercial.
En relación al desarrollo tecnológico en el actual contexto social, destaca la reciente aprobación del RD 389/2021 por el que se aprueba el Estatuto de la Agencia Española de Protección de datos, donde se amplían las competencias en materias tecnológicas tanto a nivel interno como para la promoción en la sociedad de un avance equilibrado y armonizado a partir de la compatibilidad entre la tecnología digital y el cumplimiento normativo en materia de protección de datos.
En relación al desafío tecnológico de la AEPD, destacar, durante el año 2021, siguen siendo mayoría las brechas de seguridad que tienen como causa principal los incidentes de origen malintencionado. Dentro de esta tipología de incidentes de seguridad, el ransomware es el mayoritario así como la exfiltración de información y su posterior venta en internet. A este respecto, en el año 2021 se gestionaron un total de 1647 brechas de seguridad; en esta línea, la Agencia publicó un nuevo formulario a efectos de favorecer la notificación de las brechas de datos a efectos de favorecer la rapidez y eficacia en la notificación y gestión de dicho trámite a través de la Sede electrónica de la AEPD.
En cuanto a las consultas previas relativas a la Evaluación de Impacto en materia de datos personales, la Autoridad de control nacional destaca un preocupante desconocimiento y/o confusión terminológicos, por parte de responsables y/o encargados consultantes, al respecto del contenido de las guías, las recomendaciones, instrucciones e informes publicados por la Agencia. Asimismo, la AEPD señala un marcado intento de mero cumplimiento formal en este tipo de Evaluaciones de Impacto, en detrimento de un enfoque del riesgo en su totalidad más allá del mero cumplimiento normativo. Por último, en muchas de las consultas previas realizadas, la Agencia ha detectado la remisión de consultas previas a través de canales distintos a la sede electrónica, lo que dificulta claramente la celeridad y eficacia en el proceso de atención y respuesta por parte de la Autoridad.
En un intento por lograr dicha eficacia en la gestión de los procedimientos administrativos para con los responsables, encargados e interesados, durante el año 2021 se han puesto a disposición del ciudadano la herramienta COMUNICA-BRECHA para asesorar a los responsables en su obligación de comunicar a los interesados una brecha de datos personales; y la herramienta EVALÚA-RIESGO para permitir la identificación y evaluación del riesgo para los derechos y libertades de los interesados, además del conjunto de herramientas ya disponibles con anterioridad tales como FACILITA-EMPRENDE y GESTIONA-RGPD).
En el proceso de adaptación de la actividad consultiva de la AEPD al RGPD, a finales de 2021 se aprobó la Instrucción 1/2021, de 2 de noviembre, por la que se establecen directrices respecto de la función consultiva de la AEPD. A este respecto, destaca la creación de un canal de consultas para informar a los ciudadanos sobre sus derechos de protección de datos, así como un canal DPD más específico para la comunicación con los Delegados de Protección de Datos (DPD), las organizaciones y asociaciones representativas de responsables y/o encargados especialmente en pequeñas y medianas empresas. A este respecto, el número total de DPD comunicado por las Administraciones locales se ha incrementado en más de un 19% y, en general, en 2021 se incrementó en más de un 25% el número de entidades que comunicaron los datos de contacto de su DPD.
Por último, atendiendo a las cifras aportadas por la Agencia en su memoria para el año 2021, se han incrementado las reclamaciones presentadas ante la Autoridad de control nacional en un 35% respecto del año anterior; concretamente, del total de reclamaciones presentadas ante la Agencia, casi el 15% versaron sobre los tratamientos de datos personales con fines de promoción publicitaria, entre las que destacan con un 70% la recepción de llamadas telefónicas no deseadas. Asimismo, casi el 20% de las reclamaciones se realizaron en el ámbito online, destacando como temas más recurrentes la difusión no consentida de datos personales a través de internet, particularmente en redes sociales, y la desatención de las solicitudes de supresión dirigidas a los prestadores de servicios de la sociedad de la información
En conclusión, de la memoria anual (2021) se extrae un notable impulso por parte de la AEPD de lograr una mayor simplificación y automatización de los trámites administrativos por parte de los responsables y/o encargados y los propios interesados en su relación con la Agencia a través de los medios electrónicos. Asimismo, existe un amplio margen de mejora en la concienciación sobre la responsabilidad proactiva de responsables y/o encargados, tanto sobre el conocimiento de los informes y documentos informativos de la Agencia, como sobre los canales electrónicos de comunicación con la Autoridad de control nacional. La actividad consultora e inspectora de la agencia aparece marcada por el actual contexto social y político a nivel nacional y transfronterizo, situación que se mantiene avanzado el primer trimestre del año 2022 a partir de las últimas resoluciones e informes de la AEPD, tal y como se detallará en próximas entradas del blog.
