Los 10 hitos del primer año de aplicación del Reglamento General de Protección de Datos (RGPD)
Este 25 de mayo de 2019, el RGPD cumple su primer aniversario. Para celebrarlo hemos querido destacar lo que consideramos han sido los 10 hechos más relevantes durante su primer año de vida.
1º El “reconsentimiento”.
Durante las semanas tanto previas como posteriores al 25 de mayo de 2018, conocimos esta nueva figura conocida como “reconsentimiento”, a través del “spam” de numerosas empresas con las que manteníamos, en muchos casos, una relación jurídica.
¿En qué consistía este “spam”? Se nos solicitaba otorgar el consentimiento para el tratamiento de nuestro datos personales, debido a la entrada del RGPD, aunque no era necesario (¡esa legitimación en base a un contrato!)
Como decimos: “spameados” pero a cambio una campaña para promocionar la protección de datos.
2º El Delegado de Protección de Datos (DPD).
Se convierte en la pieza angular del RGPD, reforzado también por los artículos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (LOPDGDD) que regula su actuación. El 11 de diciembre de 2018, la AEPD pone en marcha su registro de Delegados de Protección de Datos, pudiendo ser objeto de consulta gratuita los datos de contacto de los DPD.
Según datos de la AEPD, los DPD han mediado en más de 2.000 reclamaciones y existen casi 35.000.
3º Comité Europeo de Protección de Datos (CEPD).
Con el RGPD despedimos al Grupo del Artículo 29 y dimos la bienvenida al Comité Europeo de Protección de Datos. Obviamente, la primera reunión fue el 25 de mayo de 2018. Ya ha publicado más de 20 documentos interpretativos sobre el RGPD, y se esperan unos cuántos en las próximas fechas. Entre ellos, interés legítimo, videovigilancia, y responsable-encargando haciendo hincapié en la figura de la corresponsabilidad.
Puedes consultar los documentos publicados hasta la fecha aquí.
4º Las brechas de seguridad han llegado para quedarse.
No hay semana en la que no salga publicada en los medios de comunicación la existencia de una brecha de seguridad que afecte a datos personales. Aunque en la semana de publicar este post las más mediáticas han sido una que han sufrido “influencers” de Instagram así como la web de ventas de entradas de la Alhambra, nos quedamos con la siguiente:
Aparecen nóminas y datos bancarios de trabajadores en un ascensor de una escuela de música
5º “Habemus LOPD+GDD”.
El 6 de diciembre de 2018, sí el día de la Constitución, por fin y tras su aprobación, se publica la nueva LOPD con su añadido de derechos digitales, convirtiéndose en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales, o en sus siglas como LOPDGDD. Adiós LOPD, hola LOPDGDD.
Para celebrarlo, hicimos un crossover entre el RGPD y la LOPDGDD: cada articulito del RGPD y sus considerandos con los artículos de laLOPDGDD que le corresponden. Te lo puedes descargar aquí.
6º Las primeras multas económicas.
Aunque algunos publicitaban el cierre de empresas si no cumplías con el RGPD con multas de hasta 20 millones de euros, las dos primeras resoluciones publicadas se han movido en cantidades similares a los aplicados con la ya derogada LOPD: 27.000 euros y 9.000 euros. Por cierto, la agraciada ha sido la misma empresa: Vodafone.
En este blog comentamos estas resoluciones así como otras en las que se ha concluido en aplicar la figura del apercibimiento. Puedes leerlo aquí.
7º La multa top: 50 millones de euros.
Siguiendo con las multas, la CNIL –la autoridad francesa de protección de datos-, sanciona a Google con 50 millones de euros. Nos sigue “chirriando” (y mucho) esta resolución: no es una reclamación local sino transfronteriza, aunque se ha tramitado como local. La justificación sobre este carácter local no se sostiene.
8º La sentencia del juzgado de lo social nº 3 de Pamplona de 18/02/19.
Y continuamos con la LOPDGDD, ya que esta sentencia decide respecto al caso de un despido que el artículo 89 es contrario al propio RGPD y que por tanto, no se pueden utilizar las grabaciones con fines de seguridad para despedir a un trabajador que se había peleado con otro trabajador de la misma empresa, ya que no se ha cumplido con el derecho de información, no siendo suficiente la previsión que al respecto recoge el 89.1 de la LOPDGDD.
9º El listado de evaluaciones de impacto de privacidad.
El 6 de mayo de 2019, y previo paso por el Comité Europeo de Protección de Datos, la AEPD publica los criterios a tener en cuenta para realizar una evaluación de impacto de la protección de datos.
Puedes leer este documento aquí.
10º La Disposición Final Tercera de la LOPDGDD y el recurso de inconstitucionalidad.
Volvemos a la LOPDGDD. Traía una pequeña sorpresa muy al final de la misma: modifica la Ley Orgánica de Régimen Electoral (LOREG), introduciendo el artículo 58 bis que incluye la habilitación a los partidos políticos para recabar opiniones políticas así como enviar propaganda electoral por medios electrónicos (“spamearnos”). El Defensor del Pueblo, tras recibir alguna solicitud al respecto elaborada por varias expertos en protección de datos, interpone recurso de inconstitucionalidad. El 22 de mayo de 2019, el Tribunal Constitucional publica una nota de prensa anunciando que al menos, el apartado 1 del artículo 58 bis de la LOREG, se declara inconstitucional.
En este blog publicamos un artículo sobre esta DF3ª. Puede leerlo aquí.