Por María Luisa González Tapia
En el Boletín Oficial del Estado de 5 de noviembre de 2021, se ha publicado la primera instrucción dictada por la Agencia Española de Protección de Datos (“AEPD”) desde la aprobación del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos (“RGPD”).
La Instrucción 1/2021, de 2 de noviembre, que consta únicamente de 7 artículos, tiene como finalidad adaptar las funciones consultivas de la AEPD a su recientemente aprodado estatuto de funcionamiento y al nuevo marco normativo en materia de protección de datos.
En este sentido, en su Exposición de Motivos, se señala lo siguiente:
“(…) las funciones consultivas de la AEPD deben adaptarse al nuevo esquema jurídico creado por el RGPD, que no contempla el asesoramiento individualizado a responsables o encargados por la autoridad de control ni la consulta particular a demanda de los responsables. Por tanto, la AEPD no desarrollará funciones consultivas individualizadas destinadas a responsables y encargados del tratamiento, porque no se prevé así en el RGPD ni en la LOPDGDD. No es coherente con el principio de responsabilidad proactiva y puede generar una percepción de falta de imparcialidad cuando la AEPD tenga que ejercitar sus potestades de investigación y supervisión sobre tratamientos en los que previamente ha desarrollado una función asesora o consultiva.
Por otro lado, es criterio reiterado de esta Agencia el de no atender a las consultas que puedan plantearse por despachos de abogados o consultores cuyas funciones son, precisamente, la interpretación de la ley y el asesoramiento a sus clientes.
No obstante, para ayudar de manera generalizada al cumplimiento de responsables y encargados, la AEPD ha publicado, desde la aprobación del RGPD, numerosas guías, manuales de ayuda y diseñado aplicaciones gratuitas y disponibles en su web (www.aepd.es), que facilitan a los responsables y encargados la puesta en marcha de su actividad con respeto de la normativa de protección de datos y la evaluación de los riesgos generados. Asimismo, la AEPD pone a disposición de todos en su web un catálogo de preguntas frecuentes donde puede encontrarse respuesta a los problemas más comunes detectados en la aplicación y cumplimento de la normativa de protección de datos.
Con base en todo lo anterior, las funciones consultivas de la AEPD, según estipula el RGPD y la LOPDGDD, se configuran esencialmente para los siguientes supuestos: en primer lugar, se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria. En segundo lugar, se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos. En tercer lugar, la AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva. Finalmente, se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo”.
Desde un punto de vista práctico, nos interesa resaltar que existirán dos supuestos en los que un responsable o encargado del tratamiento podrá ponerse en contacto con la AEPD para solicitar que manifieste su criterio en el marco de la función consultiva que le atribuye la normativa vigente:
A) En primer lugar, los Delegados de Protección de Datos podrán realizar consultas a la AEPD, que serán atendidas por su Gabinete Jurídico. Los artículos segundo y cuarto de la Instrucción 1/2021, fijan los requisitos que se deben cumplir para plantear una consulta por este cauce:
· La designación del Delegado de Protección de Datos deberá haber sido notificada a la AEPD con carácter previo al planteamiento de la consulta.
· La consulta será remitida a través de medios electrónicos. Entendemos, por tanto, que no se admitirán consultas presentadas en el registro físico de la AEPD. No resultará necesario aportar ningún poder o acreditación, siempre que sea enviada por un Delegado de Protección de Datos previamente notificado.
· La cuestión planteada no podrá referirse a aspectos que hayan sido resueltos por guías u otros documentos o por criterios ya informados por la AEPD. Además, deberá tener un carácter general, a criterio del Gabinete Jurídico de la AEPD, de forma que resulte conveniente la emisión de un informe que contribuya a la seguridad jurídica.
· El Delegado de Protección de Datos deberá presentar su consulta junto a un informe en el que se analicen de forma detallada los aspectos objeto de consulta, incluyendo su propio criterio, y razonando el alcance general de la consulta. La no presentación del informe dará lugar a la inadmisión.
· La consulta planteada no deberá referirse a tratamientos efectuados por sujetos distintos al consultante.
· No serán objeto de respuesta las consultas:
a) Que planteen tratamientos hipotéticos (es decir, que no estén referidas a un tratamiento concreto que o bien ya esté siendo efectuado, o bien se considere seriamente realizar).
b) Que estén o puedan estar relacionadas con procedimientos en tramitación en la AEPD, incluidas las relativas al estado de tramitación.
c) Que pretendan la validación de actuaciones o documentos en materia de protección de datos elaborados por responsable o encargados. En algunas ocasiones, se han adjuntado procedimientos o cláusulas informativas con las consultas, solicitando el visto bueno de la autoridad de control. En la Instrucción 1/2021, se deja claro que no se atenderán estas peticiones.
d) Que impliquen acceso a la información pública.
e) Que se refieran a cuestiones que se encuentran ya explicadas y son accesibles en los materiales publicados en la página web de la AEPD, tales como las Guías, Preguntas Frecuentes y Herramientas elaboradas para facilitar el cumplimiento del RGPD.
Las consultas se atenderán según la relevancia de la mismas, dando preferencia a las que formulen los Delegados de Protección de Datos de las Administraciones Públicas y de las asociaciones y organizaciones representativas de categorías de responsables o encargados.
En principio, las consultas de responsables y encargados que no hayan designado un Delegado de Protección de Datos no serán atendidas, salvo que se justifique la imposibilidad de la designación con carácter voluntario de esta figura y se acompañe un informe que analice detallada y motivadamente las cuestiones objeto de consulta. Es decir, el nombramiento de un Delegado de Protección de Datos se convierte de esta forma en un incentivo valioso para las empresas.
B) En segundo lugar, y siguiendo lo dispuesto en el artículo 36.1 del RGPD, los responsables del tratamiento tienen la obligación de consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo. En el artículo quinto de la recientemente aprobada Instrucción 1/2021, se determinan las normas para realizar esta consulta, que en gran medida reproducen el citado artículo 36 del RGPD:
· Como en el caso anterior, las consultas deberán ser presentadas a través de sede electrónica, firmadas por el responsable del tratamiento. Entendemos que no han de ser firmadas por el Delegado de Protección de Datos. Sin embargo, se insiste en la necesidad de que cuando sea obligatoria la designación de esta figura, el nombramiento conste notificado a la AEPD, puesto que el citado artículo quinto establece que “en el caso de que haya obligación de designar un DPD, la consulta previa solo se podrá presentar cuando éste haya sido designado y comunicado a la AEPD previamente a la remisión de la consulta”.
· No sabemos si se desarrollará un formulario como el de notificación de brechas de seguridad para este tipo de consultas. De momento, la Instrucción 1/2021 recuerda que el contenido mínimo para realizar esta consulta aparece fijado en el artículo 36.3 del RGPD. Adicionalmente, detalla el esquema o contenido mínimo que se espera que tengan la evaluación de impacto sobre la protección de datos que deberá aportarse. Resulta relevante destacar que se indica expresamente que “el desarrollo de la documentación de esta deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» disponible en la web de la AEPD”.