Tiempo de lectura: 8 minutos

Es inminente el relevo en la cúpula de la Agencia de Protección de Datos, tras el acuerdo entre el Gobierno y el Partido Popular para renovar cuatro de los cinco órganos constitucionales.

La LOPD 3/2018 regula el funcionamiento de la AEPD, sus órganos de gobierno y competencias. La actual dirección general pasa a ser Presidencia, y se crea la figura del adjunto. Ambos nombrados por el Rey a propuesta del Gobierno.

La AEPD, cuyo nombre oficial es Agencia Española de Protección de Datos, Autoridad Administrativa Independiente y la que coloquialmente llamamos la agencia, se relaciona con el Gobierno a través del Ministerio de Justicia. Éste, además, nombrará un Consejo Consultivo (ver composición del mismo en el Apéndice).

No cabe duda de que los cambios en la cúspide de una institución suelen conllevar novedades en fondo y forma. Por ello es el momento de frotar la lámpara y manifestar tres deseos, desde la óptica de una consultoría que dialoga con pymes e instituciones.

Tres deseos

Funcionarios habilitados

Está pendiente la designación de funcionarios habilitados para ejercer la potestad investigadora (los inspectores). Actualmente hay unos 20 funcionarios en plantilla de la agencia dedicados a investigar las reclamaciones que llegan a la AEPD. Dado que hay más de 3 millones de empresas, unas 9000 fundaciones y unos 8000 ayuntamientos (de los cuales, unos 2000 están en comunidades autónomas con autoridad de control propia : Andalucía, País Vasco y Cataluña, siendo los otros 6000 competencia de la AEPD), es patente la insuficiencia de recursos, tanto para procesar las reclamaciones como para tomar el pulso de forma continuada al cumplimiento normativo e incidir en los múltiples aspectos que una autoridad de control tiene encomendada.

Es habitual que las empresas deban presentar evidencias de cumplimiento en diversas materias, entre las que se incluye la protección de datos personales, a inspectores de trabajo, de sanidad, a auditores contables o ISO, a bancos que están evaluando la concesión de un préstamo. La habilitación de nuevos funcionarios (externos a la agencia) potenciará en gran medida un mayor cumplimiento y, por ende, una mayor protección de los datos personales de la ciudadanía.

Resoluciones multi-artículo

De un tiempo a esta parte se observa que la AEPD dicta resoluciones que incluyen diversos artículos infringidos, y los sanciona todos. De ellos, alguno puede ser medial de otro, algunos son principios que, de una forma u otra, siempre serán conculcados si se ha infringido algún otro artículo concreto. El resultado final es que el importe final de la sanción es más abultado. Para una pyme, no son lo mismo 1.000 euros que 4.000.

Se agradecería, pues, una vuelta a la templanza sancionadora. Los sancionados pocas veces escalan a la vía judicial con la esperanza de encontrar reparo en la Audiencia Nacional. Las sanciones deben ser disuasorias, pero no desproporcionadamente disuasorias. Por otra parte, cometer una infracción del RGPD o la LOPD no siempre es una lesión al derecho fundamental de la protección de datos.

Biometría

En mayo de 2019 publicamos en el blog un artículo sobre biometría (accesible en este enlace). Y este mes de noviembre de 2021 publicamos el segundo, recogiendo algunas de las novedades más relevantes en la materia. Es accesible en este enlace.

Se ven ahora sanciones por uso de la biometría, tanto en control de acceso por huella dactilar (como los dos gimnasios sancionados en 2018, Murcia y Madrid), como por otras aplicaciones más elaboradas.

La biometría, para ser utilizada lícitamente, y al ser un dato de categoría especial (RGPD 9), debe salvar dos obstáculos, además de cumplir con los principios de RGPD 5 :

• Cumplir con los principios de RGPD 5
• Sustentarse en uno de los supuestos que levantan la prohibición de su tratamiento: RGPD 9.2
• Tener una base jurídica, RGPD. Si esa base es el interés legítimo, la preceptiva ponderación de intereses debe demostrarse favorable al tratamiento

A pesar de las resoluciones en contra, también hay sentencias judiciales favorables. La Audiencia Nacional anuló la sanción (1500€) al gimnasio de Murcia, al estimar lícito el tratamiento y ajustado a la anterior LOPD de 1999, vigente en el momento de la reclamación (sentencia 3675/2019, de 19 de septiembre, accesible en este enlace). La sentencia puede ser un punto de anclaje para extrapolar que la biometría para control de acceso es conforme a dos de los tres puntos anteriores: los principios de RGPD 5 y la base jurídica de RGPD 6, puesto que ambos no han cambiado desde la anterior normativa. En cambio, el RGPD añadió la prohibición de tratar las categorías especiales de datos (incluye la biometría), que no es fácilmente superable.

Convendría, pues, clarificación por parte de las autoridades. Sería positivo para todos los actores.

Nueva etapa

Llevamos al menos 22 años (desde la LOPD 1999) de trayectoria en protección de datos personales. Suficiente, pues, como para que el concepto forme parte de la cultura empresarial e institucional.

La Autoridad de Control está investida de amplias competencias para desarrollar la cultura de cumplimiento, establecer criterios y aplicar sanciones. Tal desempeño requiere una gestión técnicamente pulcra, una visión amplia. El desarrollo del RGPD duró 6 años y alguna contradicción debía quedar pendiente, a la vez que se perfilan nuevos retos de incierto y no desdeñable alcance.

Sólo resta desear a los nuevos cargos acierto y neutralidad en sus decisiones y curiosidad por explorar pareceres.

Antonio March | amc@datium.eu
Imagen: Jonny James – London – Reino Unido – Unsplash