La AEPD no ha faltado a su cita anual y ha publicado su Memoria 2019 (la “Memoria”), en la que además de analizar las cifras, tendencias y asuntos más relevantes del año 2019, hace un repaso por los hitos e iniciativas más destacados de la estrategia implementada cinco años atrás y remarca los nuevos objetivos planteados para los próximos 10 años.

Se trata de una memoria densa (143 páginas), repleta de información y guarismos que, entre otras cosas, analiza la manera en que las empresas se han adaptado al RGPD y a la LOPDGDD, las principales dudas y cuestiones que se han planteado en este proceso de adaptación y la respuesta que se ha dado por parte de la AEPD y de los tribunales en los procedimientos que han ido surgiendo a este respecto.

Con la intención de hacer lo más digerible posible la Memoria, a continuación os dejamos las 6 cuestiones que, a nuestro parecer, resultan más destacables:

1. Potestad de supervisión de la AEPD: el año 2019 ha sido testigo de una bajada llamativa en el número de procedimientos sancionadores. Esto se debe principalmente a la promoción de la resolución amistosa de reclamaciones contando con la intervención de los responsables y de los delegados de protección de datos. Pasando a las cifras, cabe destacar lo siguiente:

  • Reclamaciones: se han presentado ante la AEPD un total de 11.590 reclamaciones, un 11% menos que el año anterior. Las principales reclamaciones han versado sobre servicios de internet, videovigilancia y ficheros de morosidad ;
  • Procedimientos sancionadores: se han reducido en un 63%, pasando de 907 en 2018 a 338 en 2019. Los mismos se han concentrado en videovigilancia, servicios de internet, telecomunicaciones (ya un clásico), y la publicidad a través de email o teléfono móvil;
  • Procedimientos transfronterizos: se han incrementado tanto aquellos en los que la AEPD ejerce como autoridad principal como aquellos en los que coopera como autoridad interesada;
  • Multas: tanto el número de multas (112) como el importe total de las mismas (6.295.923€) se han reducido en un 70% y 52% respectivamente. La AEPD achaca esta notable disminución al nuevo enfoque de responsabilidad proactiva adoptado por los responsables del tratamiento y al uso del apercibimiento; y
  • Tiempos medios de tramitación de reclamaciones: la AEPD se hace eco de la gran disminución, en concreto un 55%, que se ha producido en los tiempos medios de tramitación de reclamaciones.

2. Consultas: del total de 152 consultas recibidas, cabe destacar que se han reducido drásticamente las consultas en relación a cesiones de datos, ámbito de aplicación del RGPD y tratamiento de datos especialmente protegidos; mientras que otros asuntos como el consentimiento, conceptos generales del RGPD o cuestiones relacionadas con el delegado de protección de datos se sitúan como los más preguntados.

Sin perjuicio de lo anterior, la AEPD señala una serie de consultas que en su opinión merecen ser destacadas:

  • La posibilidad de expedir certificados colectivos de empadronamiento por parte de los ayuntamientos (Informe 50/2019);
  • La adecuación a la normativa de protección de datos del uso de datos personales en llamadas de emergencias a través del empleo AML (Advance Medical Location) (Informe 39/2019); y
  • La figura del delegado de protección de datos y su importancia bajo el RGPD (Informe 100/2019).

3. Sentencias: en este apartado, la AEPD describe una serie de sentencias de la Audiencia Nacional de entre las que nos gustaría destacar las siguientes:

  • Sentencia recaída en el Recurso nº 146/2018 de fecha 23 de julio de 2019, en la que analiza el concepto de dato personal;
  • Sentencia de fecha 22 de octubre de 2019, recaída en el Recurso nº 61/2008, en la que se determina la condición de responsable del tratamiento de una entidad que, a pesar de no tener acceso a los datos personales, determinaba los parámetros de una campaña publicitaria; y
  • Numerosas sentencias sobre el derecho de supresión.

4. Brechas de seguridad: de las 1.459 notificaciones de brechas de seguridad, un total de 498 incluyen notificaciones a los interesados. Además, las notificaciones de brechas de seguridad trasladadas a inspección han aumentado de 16 a 79.

5. Delegado de Protección de Datos (DPD): a este respecto, la AEPD señala que aproximadamente el 80% de los responsables y encargados que procedieron a comunicar su DPD manifestaron disponer de un DPD externo.

6. Además, la AEPD hace un repaso de sus informes más relevantes, algunas de las sentencias con mayor repercusión dictadas por los tribunales (alguna de las cuales ya indicamos más arriba) y las principales guías publicadas a lo largo de 2019. Algunos de estos informes y guías ya quedaron recogidos en nuestro post ¿Qué nos ha dejado 2019 en protección de datos? Guías, informes, resoluciones…

 

Como conclusión, indicar que después del primer año completo en el que son plenamente aplicables el RGPD y la LOPDGDD vemos como algunas de las tendencias que se marcaban en 2018 han evolucionado. Por ejemplo: (i) respecto de las sanciones, las compañías empiezan a ser conscientes de que es importante cumplir con la normativa de protección de datos, ya no solamente por la imposición de altas sanciones, sino por responsabilidad e imagen corporativa; (ii) el “miedo” a notificar brechas de seguridad parece haber desaparecido; y (iii) la percepción de que la AEPD se está convirtiendo en un órgano “colaborador” más que sancionador con el objetivo de intentar que las empresas sean más cumplidoras con la normativa se empieza a imponer. Además, el nuevo procedimiento previo ha quedado completamente consagrado como procedimiento para solucionar reclamaciones con la colaboración del responsable. Aun así,  queda patente que la protección de datos sigue siendo un tema candente que todavía tiene muchas cuestiones y frentes abiertos que quedan por disipar.