La AEPD valora positivamente el trabajo del DPO: resuelve dos de cada tres reclamaciones

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

La AEPD acaba de publicar su Memoria 2018, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros.

Su publicación coincide con el primer año de aplicación del Reglamento General de Protección de Datos (GDPR en sus siglas inglesas), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones.

Las reclamaciones recibidas se incrementaron casi un 33% (32.8%), pasando de 10.651 a 14.146. Actualizando estas cifras al primer año de aplicación de GDPR (desde el 25 de mayo de 2018 al 15 de mayo de 2019) se han presentado ante el organismo 14.397 reclamaciones. En lo que respecta a la temática, se distribuyen de la siguiente manera: inserción indebida en ficheros de morosidad (16%), videovigilancia (11%), servicios de Internet (10%), reclamación de deudas (10%), Administración pública (7%), sanidad (7%), publicidad -excepto spam- (5%), comercios, transporte y hostelería (5%), entidades financieras/acreedoras (4%) y publicidad a través de e-mail o teléfono móvil (4%).

En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019. Dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelven de forma satisfactoria para el particular, según los datos de la publicación.

Además, la mitad de las reclamaciones admitidas en la AEPD se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Por otro lado, el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la AEPD tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación.

En cuanto a los casos con otras autoridades europeas (sistema coordinado), de los casi 400 casos analizados, en 2018 la Agencia se ha personado como interesada en 237 de ellos, siendo autoridad líder en 11. Desde el 25 de mayo de 2018 al 15 de mayo de 2019 la AEPD ha analizado 1.026 casos procedentes de otras autoridades europeas, actuando como interesada en 539 de ellos y siendo autoridad líder en 18.

En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se resolvieron 1.784 peticiones. De ellas, casi 200 fueron reclamaciones por derecho al olvido. La proporción estimadas/desestimadas de estas 191 reclamaciones fue prácticamente de un 50%. En cuanto a las entidades reclamadas, Google y sus servicios aglutinan 125 de las 191 (65%), 18 a medios de comunicación (9%), 14 a otros buscadores de Internet (7%), 13 corresponden a Administraciones Públicas y boletines (6%), cifras que se completan con un apartado de peticiones a Otras entidades.

Durante 2018 se elaboraron y pusieron en marcha procedimientos para la gestión de las notificaciones de brechas de seguridad y evaluaciones de impacto. Desde el 25 mayo de 2018 hasta el 31 de diciembre, se atendieron 44 consultas previas sobre evaluaciones de impacto y se recibió un total de 547 notificaciones de quiebras de seguridad. Tras el análisis y la clasificación de estas últimas, sólo 16 se remitieron a la Subdirección General de Inspección de Datos, que afectaban a datos de salud, menores, ideología política, y tratamientos masivos de datos.

En el primer año de aplicación de la normativa de protección de datos (del 25 de mayo de 2018 al 15 de mayo de este año) se recibieron 966 notificaciones de brecha de seguridad. Un 72% de ellas tuvo como resultado que se comprometió la confidencialidad de los datos personales y un 36%, la disponibilidad. Más del 53% de las notificaciones de brechas de seguridad tuvieron como origen un contexto externo e intencionado y, de ellas, el 44% fueron a consecuencia de ciberincidentes mediante algún tipo de técnicas de hacking, malware o mediante phishing. Con respecto a los aspectos procedimentales, el análisis de los incidentes de seguridad notificados apunta a que el 31% de éstos se deben a la pérdida o robo de dispositivos o documentación.

A lo largo del año pasado se dictaron  907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: contratación fraudulenta, inserción indebida en ficheros de morosidad, videovigilancia, spam (lssi), publicidad (excepto spam), servicios de Internet, reclamación de deudas, telecomunicaciones, Administración pública y Sanidad. En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros).

Según la memoria, se plantearon 1.564 cuestiones ante el área de menores de la Agencia, lo que supone un incremento de casi el 74,75% con respecto a 2017 (895). En cuanto a la tipología de las consultas que se suelen recibir con mayor frecuencia destacan las siguientes: la toma de imágenes y si es necesario el consentimiento para ello, tanto en las aulas, como en eventos escolares y extraescolares (campamentos, excursiones, funciones teatrales, etc.), así como quién debe otorgar el consentimiento para tratar datos personales de menores cuando los padres están separados. Además, desde la entrada en vigor del GDPR y la Ley Orgánica 3/2018, se plantea la necesidad de designar un DPD por distintos actores en este ámbito y sus funciones.