AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS "FACILITA_RGPD" - Herramienta de autoevaluación de riesgos para pymes y profesionales que traten datos ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS
Herramienta de autoevaluación
de riesgos para pymes y
profesionales que traten datos
personales de escaso riesgo
«FACILITA_RGPD»
Candidatura al Premio Ciudadanía XII edición
Julio, 2018
Agencia Española de Protección de Datos
ÍNDICE DE CONTENIDOS
1. RESUMEN EJECUTIVO ............................................................................................................... 2
2. PRESENTACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ................. 3
2.1. NATURALEZA ..................................................................................................................... 3
2.2. MARCO REGULADOR ....................................................................................................... 3
2.3. FUNCIONES Y ACTIVIDADES ......................................................................................... 3
2.4. ESTRUCTURA ORGÁNICA. RECURSOS HUMANOS Y MATERIALES ...................... 3
3. SITUACIÓN PLANTEADA ........................................................................................................... 4
4. COLECTIVO AFECTADO ............................................................................................................. 4
5. CONTEXTUALIZACIÓN: ESTRATEGIA GENERAL DESARROLLADA POR LA AEPD
PARA FORTALECER LA PROTECCIÓN DE LOS DATOS DE LAS PERSONAS ................... 5
6. PRÁCTICA QUE SE PRESENTA A LA CONVOCATORIA DE PREMIO ............................... 13
6.1. DEFINICIÓN DE LA PRÁCTICA .................................................................................... 13
6.2. FINALIDAD ....................................................................................................................... 13
6.3. DESCRIPCIÓN .................................................................................................................. 14
6.3.1. Contenido .................................................................................................................. 14
6.3.2. Innovación................................................................................................................. 14
6.3.3. Funcionamiento ........................................................................................................ 15
6.3.4. Transferibilidad ........................................................................................................ 17
6.3.5. Eficacia ...................................................................................................................... 17
6.3.6. Eficiencia y sostenibilidad ....................................................................................... 17
6.3.7. Difusión y coordinación institucional ...................................................................... 18
Candidatura al Premio Ciudadanía XII edición Página | 1
Agencia Española de Protección de Datos 1. RESUMEN EJECUTIVO PROBLEMA A RESOLVER. En España existen 2,8 millones de empresas de los que el 99,8 % son pymes y autónomos y el 94 % microempresas de 9 trabajadores o menos y autónomos. Según los datos de la AEPD el 72 % de los datos de las personas que tratan pymes y autónomos son de bajo riesgo. Ante la aplicación del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, y la complejidad y coste económico que la adaptación al mismo podían presentarse, la AEPD se propuso entre sus prioridades proporcionar soluciones al colectivo de profesionales y pymes, especialmente las de menos de 10 trabajadores, para hacer frente a los graves riesgos que una deficiente adecuación o la no adaptación puedan tener para la garantía y protección de un derecho fundamental de los ciudadanos. SOLUCIÓN. La AEPD ha desarrollado y puesto a disposición la herramienta FACILITA_RGPD para apoyar el proceso de adaptación al nuevo modelo de protección de datos personales que han de realizar las pymes y los profesionales como responsables y encargados de tratamientos de datos de los ciudadanos, cuando éstos sean de bajo riesgo. La herramienta FACILITA_RGPD es un recurso de ayuda disponible a través de la web de la AEPD y su uso es gratuito. La información que las empresas aportan no es conservada ni monitorizada por la Agencia. La herramienta consiste en un cuestionario online dividido en cuatro bloques con una duración máxima de 20 minutos con el que las empresas y profesionales pueden constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y obtener los documentos mínimos indispensables para facilitar la aplicación del RGPD al terminar el test. IMPLANTACIÓN. FACILITA_RGPD se presentó el 6 de septiembre de 2017, fecha a partir de la cual está disponible en la web de la AEPD, junto con un video tutorial que explica su funcionamiento. La herramienta ha sido ampliamente difundida y explicada al sector a través de numerosas presentaciones, ponencias y jornadas formativas e informativas, campañas en medios, difusión en redes sociales y entrevistas en medios generalistas y especializados. IMPACTO. Desde la puesta en marcha de FACILITA_RGPD el 6 de septiembre de 2017 y hasta el 30 de julio de 2018 han hecho uso de la herramienta un total de 470.787 usuarios, de los que 99.670 fueron descartados en la primera fase por no cumplir con los requisitos para su utilización y 113.371 finalizaron y obtuvieron el documento o la hoja de ruta. Las cifras de utilización de la herramienta desde la entrada en vigor del Reglamento General de Protección de Datos, el 25 de mayo del presente año, son elocuentes, habiéndose pasado de una media de 1.502 usuarios hasta mayo a la cifra anteriormente expuesta. LECCIONES APRENDIDAS. FACILITA_RGPD y el material de apoyo que la acompañan han contribuido de manera importante a que el sector de los profesionales y de las pymes sean conscientes de los nuevos requerimientos en materia de protección de los datos de las personas, y han facilitado que una gran parte de este sector haya realizado su adaptación a esos requerimientos de manera fácil, clara y gratuita. Candidatura al Premio Ciudadanía XII edición Página | 2
Agencia Española de Protección de Datos
2. PRESENTACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS
2.1. NATURALEZA
La Agencia Española de Protección de Datos es un Ente de Derecho Público, con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las
Administraciones Públicas en el ejercicio de sus funciones. Se relaciona con el Gobierno a través
del Ministerio de Justicia.
2.2. MARCO REGULADOR
El marco normativo de la AEPD está constituido por las siguientes disposiciones:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos (en adelante, RGPD).
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,
en todo aquello que no se oponga al RGPD. En estos momentos está en trámite
parlamentario el proyecto de Ley Orgánica de Protección de Datos, que sustituirá a la
vigente Ley Orgánica 15/1999.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2.3. FUNCIONES Y ACTIVIDADES
La AEPD se creó en 1992 e inició su funcionamiento en 1994.
La AEPD está encargada de supervisar la aplicación de la legislación sobre protección de datos,
«con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que
respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión» (artículo
51.1 RGPD).
En particular, el RGPD atribuye a las Autoridades de Control un conjunto amplio de poderes de
promoción y sensibilización, autorización y consulta, investigación, y correctivos o sancionadores
(artículos 57 y 58).
La AEPD resolvió en 2017 un total de 11.617 reclamaciones (8.793 denuncias y 2.824 tutelas de
derechos).
2.4. ESTRUCTURA ORGÁNICA. RECURSOS HUMANOS Y MATERIALES
La representación de la Agencia la ostenta su Director/a que es elegido/a de entre los miembros
del Consejo Consultivo de la Agencia Española de Protección de Datos. Su nombramiento se
produce mediante Real Decreto a propuesta del Ministro de Justicia.
La AEPD se estructura en tres unidades con rango de Subdirección General: Subdirección General
de Inspección de Datos, Subdirección General del Registro General de Protección de Datos -en
Candidatura al Premio Ciudadanía XII edición Página | 3
Agencia Española de Protección de Datos proceso de redefinición para adecuarla a la nueva normativa de protección de datos-, y la Secretaría General. La Dirección de la AEPD está asistida por un Adjunto a la Dirección y cuenta con una Unidad de Apoyo que engloba el Área Internacional, el Gabinete de Prensa y Comunicación y la Unidad de Evaluación y Estudios Tecnológicos. La asistencia jurídica interna la presta la Abogacía del Estado, mediante convenio de colaboración suscrito al efecto con la AEPD. En la Agencia trabaja un equipo de 175 empleados públicos y gestiona un presupuesto de 14.101.070 euros. 3. SITUACIÓN PLANTEADA Cambio en la normativa reguladora de la protección de datos personales que implica la implantación de un nuevo modelo de cumplimiento y de supervisión basado en la responsabilidad activa y el enfoque de riesgo, sustancialmente diferente al anterior. 4. COLECTIVO AFECTADO Todos los ciudadanos sin excepción en cuanto titulares de derechos que han de ser protegidos y preservados en cualquier situación o actividad por quienes tratan sus datos personales, principalmente organizaciones públicas, pymes y autónomos. Candidatura al Premio Ciudadanía XII edición Página | 4
Agencia Española de Protección de Datos
5. CONTEXTUALIZACIÓN: ESTRATEGIA GENERAL DESARROLLADA
POR LA AEPD PARA FORTALECER LA PROTECCIÓN DE LOS DATOS
DE LAS PERSONAS
La AEPD se enfrenta a un reto de gran envergadura en 2018: sentar las bases para que las
organizaciones, públicas y privadas, los profesionales de la privacidad y los ciudadanos puedan
estar en las mejores condiciones para adaptarse al nuevo RGPD.
El 25 de mayo de 2016 entró en vigor el RGPD que sustituye a la normativa hasta ahora vigente.
Se estableció un período de dos años de transición para que los Estados de la Unión Europea, las
Instituciones y también las empresas y organizaciones que tratan datos pudieran prepararse y
estar plenamente adaptadas en el momento de su plena aplicación, el pasado 25 de mayo.
El nuevo modelo supone un cambio radical en la configuración de la protección de este derecho
fundamental, pues se pasa de un esquema fundamentalmente reactivo a otro más preventivo,
basado en principios como la responsabilidad activa o el análisis de riesgos. Esto implica que todas
las organizaciones, públicas o privadas, antes de ofrecer un producto o servicio, deben haber
analizado y aplicado todas las medidas técnicas, organizativas y de seguridad para garantizar la
privacidad por defecto y la privacidad desde el diseño.
La reforma persigue también establecer un modelo más garantista y transparente en el que los
ciudadanos van a tener un mayor control sobre sus datos y sobre el uso que se haga de ellos. Ya
no pueden tratarse datos personales sobre la base de un consentimiento tácito, sino que este ha de
ser explícito, y ha de comunicarse de dónde se han obtenido los datos, para qué finalidades se van
a tratar, a quién se van a ceder, durante cuánto tiempo se van a conservar y cuál es la base jurídica
que da la legitimidad para tratarlos.
Por todo ello, la adecuada protección de los datos personales requiere que todos los responsables
del tratamiento de datos, sean públicos o privados, realicen una adaptación a la nueva normativa
para que estén en condiciones de acreditar, en el momento requerido, que disponen de esquemas
y modelos de funcionamiento que garanticen esa efectiva protección de datos personales y de los
mecanismos necesarios para solucionar los problemas que surjan ante los riesgos que se presenten
cuando se tratan datos personales.
De acuerdo con ello, ya desde el mismo momento de la aprobación de la referida norma europea,
en mayo de 2016, la AEPD diseñó una estrategia orientada directamente a la concienciación y
apoyo activo a los sectores público y privado, entendiendo que la adecuada protección de los datos
personales pasa necesariamente porque todas las entidades públicas y privadas dispongan de
herramientas y procedimientos adaptados a la nueva normativa.
Esta estrategia está encaminada directamente a facilitar esa adaptación por parte de los distintos
actores implicados, con especial atención a los más afectados, las pymes, que constituyen el 99 %
del tejido empresarial español, y los municipios de menos de 10.000 habitantes, que representan
el 90 % de las entidades locales españolas, poniendo a su disposición herramientas y orientaciones
que les permitan cumplir con la nueva legislación de la forma más rápida y eficaz posible. Todo
ello sin dejar de lado otros ámbitos relevantes como el lanzamiento de nuevas herramientas de
prevención y concienciación en materia de protección de datos para los ciudadanos y el análisis
pormenorizado de nuevas tecnologías que puedan tener un gran impacto sobre la privacidad.
Candidatura al Premio Ciudadanía XII edición Página | 5
Agencia Española de Protección de Datos
En este proceso la AEPD ha querido en todo momento abrirse a la participación de todos los actores
que pudieran aportar sus conocimientos y experiencia, buscando siempre la colaboración con
asociaciones, organizaciones y entidades representativas en cada sector, entendiendo que el
trabajo conjunto y la implicación desde el primer momento es la mejor forma de lograr los objetivos
perseguidos en un tema tan complejo y sensible como es la protección de los datos de las personas.
Para conocer mejor las actuaciones e iniciativas que han conformado esta estrategia durante el
período 2015-2018, se van a agrupar del siguiente modo:
❑ APROBACIÓN DEL PLAN ESTRATÉGICO DE LA AEPD 2015-2019
La AEPD publicó su Plan Estratégico en noviembre de 2015 tras someterlo a consulta pública y
recibir casi 400 aportaciones de ciudadanos y diferentes entidades y colectivos. El Plan fue
elaborado con medios personales propios y establece los objetivos que pretende alcanzar el
organismo, incluyendo inicialmente un total de 113 iniciativas, que a fecha de hoy son ya 142,
estructuradas en cinco grandes ejes: Prevención para una protección más eficaz (Eje 1); Innovación
y protección de datos: factor de confianza y garantía de calidad (Eje 2); Una Agencia colaboradora,
transparente y participativa (Eje 3); Una Agencia cercana a los responsables y a los profesionales
de la privacidad (Eje 4); y Una Agencia más ágil y eficiente (Eje 5).
❑ ACTUACIONES ORIENTADAS DIRECTAMENTE A PROMOVER EL
CONOCIMIENTO DEL RGPD ENTRE LOS CIUDADANOS PARA REFORZAR EL
EJERCICIO DE SUS DERECHOS
En este período la Agencia ha desplegado una amplia estrategia de divulgación e información
dirigida a la ciudadanía en general, referenciando el tema de la protección de datos personales
a los diferentes ámbitos en los que se producen tratamientos de datos, con especial énfasis en los
riesgos que pueden producirse en cada uno de estos ámbitos y los mecanismos de prevención y
protección que pueden ponerse en marcha.
Con esta finalidad, se han elaborado guías, manuales y documentos, se han creado microsites en
la web para temas específicos, se han impulsado procedimientos de actuación, se han aprobado y
difundido materiales, y se ha reforzado la colaboración con sectores estratégicos para buscar una
actuación coordinada.
Se relacionan a continuación, sin pretender ser una enumeración exhaustiva, los principales
productos, herramientas y actuaciones que ha desarrollado y puesto en marcha la AEPD con esta
finalidad de promoción y concienciación de los derechos de los ciudadanos en relación con la
protección de sus datos personales:
▪ Canal de atención a los menores, padres y profesores.
El 13 de octubre de 2015 se puso en marcha un canal de comunicación específico para
atender las cuestiones que se planteen en relación con el tratamiento de datos de los menores
de edad y la privacidad de los propios menores. Este servicio cuenta con una línea de
teléfono, otra de WhatsApp, y un buzón de correo electrónico, además de las consultas
planteadas a través de la sede electrónica. Hasta la fecha ha atendido cerca de 2.500
consultas.
Candidatura al Premio Ciudadanía XII edición Página | 6
Agencia Española de Protección de Datos
▪ Diseño de herramientas y materiales para un mejor conocimiento de sus
derechos por los ciudadanos.
- Guía de Privacidad y Seguridad.
- Guía de los derechos del Ciudadano.
- Guía de Centros Docentes.
- Adaptación al RGPD de las 222 Preguntas Frecuentes (FAQS) de la sede electrónica de
la AEPD.
- Guía y Fichas Prácticas de Compra Segura en Internet.
- Site web AEPD sobre reclamaciones en materia de telecomunicaciones.
- Site web AEPD sobre publicidad no deseada.
- Manual sobre Protección de Datos y Prevención de Delitos.
- Guía para Administradores de Fincas.
- Guía para pacientes y usuarios de la sanidad.
- Guía de tratamiento de datos en el ámbito de la videovigilancia.
- Materiales y herramientas para menores. Creación de un proyecto específico para
menores -«Tú decides en internet»- (www.tudecideseninternet.es), que incluye, entre
otros recursos, materiales y fichas sobre cuestiones prácticas relevantes para padres,
profesores y alumnos; Guías («Sé Legal en internet», «Enséñales a ser legales en
internet», «Guíales» y «No te enredes en internet»); serie de 4 videos «Tú Controlas en
Internet»; taller para familias «Los menores y su cibermundo», etc.
▪ Impulso de mecanismos de resolución extrajudicial de reclamaciones.
El pasado 20 septiembre de 2017 se anunció la firma de un Protocolo de actuación entre la
AEPD y la Asociación para la Autorregulación de la Comunicación Comercial
(AUTOCONTROL), para la implantación desde enero de este año de un nuevo sistema de
mediación voluntaria en el que participan Movistar, Orange/Jazztel, Simyo,
Yoigo/Masmóvil/Pepephone/Happy/Llamaya, Vodafone y Ono.
Para la AEPD, se trata de un instrumento importante para avanzar en la consecución de los
objetivos del RGPD. El procedimiento, voluntario para los ciudadanos e independiente de
las reclamaciones planteadas ante la Agencia, puede contribuir a agilizar las reclamaciones
sobre unos hechos que tienen unos efectos especialmente negativos para los afectados.
De acuerdo con este procedimiento, los ciudadanos que hayan presentado previamente una
reclamación en materia de suplantación de identidad o recepción de publicidad no deseada
ante las compañías adheridas a este mecanismo de mediación y no hayan obtenido una
respuesta satisfactoria pueden recurrir a AUTOCONTROL. Una vez recibida esa
reclamación, la asociación comprobará que cumple con los requisitos establecidos y, de ser
así, iniciará el proceso de mediación para promover que las partes alcancen un acuerdo que
solucione la controversia. Este sistema de mediación funciona de forma independiente a las
reclamaciones que los ciudadanos pueden seguir planteando ante la AEPD.
▪ Ampliación de los derechos de los ciudadanos frente a la publicidad no
deseada. La «Lista Robinson».
Candidatura al Premio Ciudadanía XII edición Página | 7
Agencia Española de Protección de Datos
Con fecha del pasado 16 de octubre se firmó un protocolo de colaboración entre la AEPD y
la Asociación Española de la Economía Digital (ADIGITAL), que incluye entre sus
compromisos el refuerzo del servicio de exclusión publicitaria -conocido como «Lista
Robinson»-, gestionado y prestado por ADIGITAL, con más de 600.000 ciudadanos inscritos,
flexibilizando las posibilidades de los ciudadanos para oponerse a la publicidad no deseada,
mediante una mayor selección de sus preferencias (por ejemplo, que no quiere publicidad en
el correo electrónico, pero sí en el móvil, o que quieren que le manden publicidad sobre viajes
o electrónica, pero no del resto).
▪ Impulso de los Planes de inspección sectorial de oficio en sectores con
fuerte impacto ciudadano.
Durante este período de vigencia del Plan Estratégico, se han impulsado los llamados Planes
de Inspección Sectorial de Oficio (PISO), con los que se pretende recabar una información
detallada sobre la situación del sector o ámbito objeto del PISO, para adoptar, en función de
los resultados obtenidos, las correspondientes medidas correctoras y directrices que ayuden
a resolver o minimizar los problemas encontrados. En particular, los PISO promovidos se
han centrado en sectores con fuerte incidencia en los derechos de los ciudadanos:
- Hospitales públicos (concluido).
- Servicios de cloud computing en el sector educativo (concluido).
- Contratación a distancia (iniciado en 2017).
- Entidades Financieras (iniciado en 2017).
- Sector socio sanitario (iniciado en 2018).
- Evaluación AEPD Acervo Schengen (iniciado en 2018).
▪ Creación de la Unidad de Evaluación y Estudios Tecnológicos (UEET).
La Agencia puso en marcha en 2016 una Unidad especializada para evaluar las
implicaciones para la privacidad de las nuevas tecnologías. Esta evaluación se plasma en la
realización de estudios prospectivos y análisis de los productos y servicios que ya están en
el mercado y que pueden tener un importante impacto en la privacidad de los ciudadanos.
▪ Refuerzo de los canales de comunicación e información a los ciudadanos.
- Canal de Atención al ciudadano que, en lo que va de año, ha atendido a 2.841 consultas.
- Acceso a FAQs a través de la sede electrónica, habiéndose registrado en lo que va de año
más de 500.000 accesos.
- Nueva Web de la Agencia adaptada al RGPD (nueva imagen y nuevos contenidos).
Presentación: 25 de mayo.
- Creación del Blog de la Agencia.
- Presencia de la Agencia en las redes sociales (canal en Twitter).
- Mayor presencia de la AEPD en los medios.
- Campaña en TV y Radio sobre el impacto del RGPD. Acuerdos con A3media, Mediaset,
TV1 y R5, para su inserción como espacio de «servicio público».
- Encuestas para conocer el estado de la privacidad en España (CIS-Barómetro de mayo)
y el conocimiento del RGPD por parte de las PYME (Encuesta Cepyme).
Candidatura al Premio Ciudadanía XII edición Página | 8
Agencia Española de Protección de Datos
▪ Apoyo y reconocimiento a las buenas prácticas en privacidad a través de
los Premios AEPD:
- Premio Protección de Datos Personales de Comunicación.
- Premio a las Buenas prácticas educativas en privacidad y protección de datos para un
uso seguro de internet.
- Premio a las buenas prácticas en privacidad y protección de datos sobre iniciativas para
adaptarse al Reglamento Europeo de Protección de Datos.
- Premio de Investigación en Protección de Datos Personales «Emilio Aced».
❑ ACTUACIONES ORIENTADAS A FACILITAR EL CUMPLIMIENTO DEL RGPD POR
LAS ORGANIZACIONES (PÚBLICAS Y PRIVADAS)
▪ Diseño de herramientas y materiales para facilitar el cumplimiento del
RGPD por las empresas y las Administraciones Públicas:
- «FACILITA_RGPD», herramienta gratuita para la autoevaluación de riesgos para
pymes con tratamientos de muy bajo riesgo.
- Infografía con orientaciones sobre los pasos a seguir para realizar la adaptación al RGPD
por aquellas empresas que no pueden hacerlo con la herramienta FACILITA_RGPD.
- «Guía del Reglamento General de Protección de Datos para responsables de tratamiento»,
con la información y explicaciones necesarias para que los responsables y encargados de
tratamiento preparen y adopten las medidas correspondientes para estar en condiciones
de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
- «Directrices para la elaboración de contratos entre responsables y encargados de
tratamiento», que tienen como objetivo identificar los puntos clave a tener presentes en
el momento de establecer la relación entre el responsable del tratamiento y el encargado
del tratamiento, así como las cuestiones que afectan de forma directa a la gestión de la
relación entre ambos.
- «Guía para el cumplimiento del deber de informar», con la finalidad de orientar sobre las
mejores prácticas para dar cumplimiento a la obligación de informar a los interesados,
en virtud del principio de transparencia, acerca de las circunstancias y condiciones del
tratamiento de datos a efectuar, así como de los derechos que les asisten.
- «Orientaciones y garantías en los procedimientos de anonimización de datos personales»,
con las que la AEPD pretende facilitar unas pautas útiles para implementar técnicas de
anonimización de datos que garanticen la protección de datos personales en el desarrollo
de estudios e investigaciones de interés social, científico y económico, e impulsar su
desarrollo y divulgación.
- «Guía práctica de análisis de riesgos», que persigue ofrecer directrices y orientaciones
para establecer una hoja de ruta que configure un nuevo modelo más dinámico enfocado
a la gestión continua de los riesgos potenciales asociados al tratamiento de datos desde
su diseño, facilitando el cumplimiento del RGPD mediante el establecimiento de medidas
de seguridad y control para garantizar los derechos y libertades de las personas.
Candidatura al Premio Ciudadanía XII edición Página | 9Agencia Española de Protección de Datos
- «Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al
RGPD», que pretende promover una cultura proactiva de la privacidad proporcionando
un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez,
contribuya a fortalecer la protección eficaz de los derechos de las personas. Para ello, la
guía ofrece directrices y orientaciones de cómo definir y establecer una metodología para
la realización de una EIPD, sin pretender ser la única manera en que puede llevarse a
efecto la misma.
- «Listado de cumplimiento normativo para facilitar la adaptación al RGPD», que se trata
de un documento que permite identificar y verificar los requisitos establecidos en el
RGPD, recogiendo aspectos de utilidad para verificar el nivel de cumplimiento, de forma
que se puedan implantar las medidas necesarias para ello.
- «Guía de brechas de seguridad», dirigida a responsables de tratamientos de datos
personales de diversa índole que puedan estar afectados por brechas de seguridad de los
datos, con el objetivo de facilitar la interpretación del RGPD en lo relativo a la obligación
de notificar a la autoridad competente y, en su caso, a los afectados de modo que la
notificación a la autoridad competente se haga por el canal adecuado, contenga
información útil y precisa a efectos estadísticos y de seguimiento, y se adecúe a las nuevas
exigencias del RGPD.
- Adaptación de la Herramienta de evaluación de riesgos para Administraciones Públicas
(PILAR) a los requerimientos del RGPD.
- Documentos «El impacto del RGPD en la actividad de las Administraciones Públicas», y
«El Delegado de Protección de Datos en las Administraciones Públicas».
- Guía sobre tratamientos de datos en el ámbito de las Administraciones Locales.
- Dos videos sobre las implicaciones del RGPD en la Administración Local, como resultado
de las jornadas de formación celebradas para empleados de la AGE y de Diputaciones y
Ayuntamientos, en colaboración con el INAP y la FEMP.
▪ Programa de formación en el RGPD para empresas, organizaciones
públicas y profesionales de la privacidad.
- Jornadas de formación para empresas, en especial para PYMES.
De una parte, se están desarrollando distintas iniciativas con las organizaciones
empresariales más representativas en el ámbito de las PYMES y autónomos (CEPYME,
ATA, UPTA…). En particular, hay que destacar el Protocolo suscrito entre la AEPD, CEOE
y CEPYME para fomentar la difusión del RGPD y de aquellas herramientas, guías y
publicaciones realizadas por la Agencia y que puedan ayudar a las pymes en el cumplimiento
de sus obligaciones. Esta colaboración se ha concretado en un intenso programa de actos
públicos desarrollado desde septiembre de 2017 hasta la fecha por el equipo de dirección de
la AEPD en todas las Comunidades Autónomas para la difusión entre los asociados de
CEPYME de dichos recursos, en especial de la herramienta FACILITA_RGPD, cuya
información se ampliará con detalle en el apartado 6 de este documento.
Candidatura al Premio Ciudadanía XII edición Página | 10Agencia Española de Protección de Datos
- Jornadas de formación para Administraciones Públicas (Administración General
del Estado, Comunidades Autónomas y Entidades Locales).
Se han celebrado durante 2017 y 2018 distintas jornadas informativas para empleados de
la AGE, de las Administraciones autonómicas y de las Entidades Locales, en colaboración
con el INAP, la FEMP y COSITAL, dirigidas especialmente a informar sobre la figura del
Delegado de Protección de Datos, cuya implantación será obligatoria en todas las
Administraciones Públicas a partir del 25 de mayo.
Hay que destacar en este ámbito el intenso programa de difusión del RGPD que ha
desplegado la AEPD mediante la organización de jornadas informativas en todas las
Comunidades Autónomas, a través de los respectivos institutos autonómicos de formación,
así como la colaboración desarrollada con la Federación Española de Municipios y
Provincias, en especial para promover la asistencia, a través de las Diputaciones
Provinciales, a la figura del Delegado de protección de Datos en los municipios menores de
20.000 habitantes.
Asimismo, se ha desarrollado un plan de formación con el INAP para funcionarios de las
tres Administraciones Públicas sobre el RGPD y la figura del Delegado de Protección de
Datos. Destaca en este apartado el curso online sobre el RGPD, del que se impartieron 3
ediciones en 2017 y se prevén otras 9 en 2018, con lo que se formarán unos 480 empleados
públicos. Y asimismo, el próximo noviembre, un Curso especializado, semipresencial, para
unos 60 Delegados de Protección de Datos ya designados de la AGE y de las Comunidades
Autónomas, que tendrá continuidad en 2019 para DPD de las Entidades Locales.
Finalmente, se ha impulsado la introducción de un tema sobre protección de datos en los
programas de todos los procesos selectivos gestionados por la Secretaría de Estado de
Función Pública.
- Jornadas de formación para profesionales y sus organizaciones.
En este ámbito, conviene destacar el Programa de sesiones informativas (Talleres) que se
está llevando a cabo con distintos colegios profesionales, organizado a través de la Unión
Profesional, entidad que reúne a los Consejos Generales y Superiores y Colegios
profesionales de ámbito nacional, y con la que se ha suscrito un Protocolo de colaboración
para que difunda las herramientas, guías y cualquier otro material en materia de protección
de datos personales entre todas las corporaciones colegiales y los profesionales adscritos a
ellas (el conjunto de profesiones colegiadas abarca más de millón y medio de profesionales).
Asimismo, en este ámbito, hay que destacar el reciente Acuerdo de colaboración suscrito con
ASCOM (Asociación Española de Compliance), para que difunda entre sus asociados, a
través de sus canales de comunicación, las herramientas que la AEPD ponga a su
disposición, en especial FACILITA_RGPD, para promover su conocimiento por parte de los
profesionales y la adaptación de las empresas al nuevo marco normativo.
▪ Esquema para la certificación de profesionales de la privacidad como
Delegados de Protección de Datos (DPD).
Candidatura al Premio Ciudadanía XII edición Página | 11Agencia Española de Protección de Datos
El pasado 13 julio de 2017 tuvo lugar la presentación pública del Esquema de certificación
de Delegados de Protección de Datos aprobado por la AEPD, en colaboración con la Entidad
Nacional de Acreditación (ENAC), convirtiéndose la AEPD en la primera Autoridad
europea de Protección de datos que elabora un marco de referencia para esta figura, con
reconocimiento internacional en más de setenta países.
En la elaboración y posterior seguimiento de este Esquema se va con el asesoramiento de
un Comité Técnico de Expertos formado por 23 miembros, entre los que se encuentran
representantes de sectores y asociaciones profesionales, empresariales, universidades y
Administraciones Públicas. Asimismo, han formado parte del mismo las Autoridades
catalana y vasca de Protección de Datos.
La certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar
un determinado esquema, si bien la AEPD ha considerado necesario ofrecer un punto de
referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que
pueda servir como garantía para acreditar la cualificación y capacidad profesional de los
candidatos a DPD.
Hasta la fecha han sido designadas provisionalmente ocho Entidades de Certificación.
▪ Canal de Atención al Responsable («INFORMA RGPD»).
Canal de comunicación puesto en marcha en abril pasado por la AEPD para dar respuesta
a las consultas que puedan plantear los responsables, encargados y delegados de protección
de datos, a través de sus respectivas organizaciones y colegios profesionales. Desde su puesta
en marcha hasta la fecha ha atendido más de tres mil consultas.
Candidatura al Premio Ciudadanía XII edición Página | 12Agencia Española de Protección de Datos
6. PRÁCTICA QUE SE PRESENTA A LA CONVOCATORIA DE PREMIO
Herramienta de autoevaluación de riesgos para pymes y profesionales que
traten datos personales de escaso riesgo «FACILITA_RGPD».
De entre todas las actuaciones desarrolladas por la AEPD se ha seleccionado para presentar a la
convocatoria del premio la herramienta FACILITA_RGPD por los siguientes motivos:
- El objetivo que persigue y a finalidad para la que se ha desarrollado.
- Su facilidad de uso y su gratuidad para los usuarios.
- Su diseño con medios propios de la Agencia.
- Su fácil replicabilidad.
- Su sostenibilidad.
- El gran número de usuarios que ha tenido y que potencialmente puede tener.
- Derivado de lo anterior, su gran incidencia en protección y garantía de los
derechos de los ciudadanos.
6.1. DEFINICIÓN DE LA PRÁCTICA
Desarrollo y puesta a disposición gratuita de la herramienta FACILITA_RGPD para apoyar al
proceso de adaptación al nuevo modelo de protección de datos personales que han de realizar las
pymes y profesionales como responsables de tratamientos de datos de los ciudadanos.
6.2. FINALIDAD
Proporcionar una herramienta práctica, gratuita y fácil de usar sobre cumplimiento de la
normativa de protección de datos personales por las pymes, en especial para las empresas de
menos de diez empleados (microempresas) y autónomos, que traten datos personales de bajo
riesgo.
Candidatura al Premio Ciudadanía XII edición Página | 13Agencia Española de Protección de Datos
6.3. DESCRIPCIÓN
6.3.1. Contenido
En España existen 2,8 millones de empresas (Informe de la Dirección General de Industria y de la
Pequeña y Mediana Empresa en base a los datos del Ministerio de Empleo y Seguridad Social a
febrero 2017), de los que el 99,8 % son pymes y autónomos y el 94 % microempresas de 9
trabajadores o menos y autónomos.
El RGPD supone un nuevo modelo de cumplimento para los responsables de los tratamientos de
datos personales que a su vez implica un esfuerzo de adaptación para nuestras empresas y, en
especial, para las microempresas y profesionales.
La AEPD es consciente de que el cumplimento en protección de datos pueda ser una vía de
potenciación de la economía y no un obstáculo que dificulte el desarrollo económico.
Por ello, y dadas las dificultades que pueden presentarse a estas empresas para realizar
adecuadamente y con facilidad el proceso de adaptación a la nueva normativa de protección de
datos, la AEPD ha centrado parte de sus esfuerzos en facilitar este proceso de adaptación a estas
entidades mediante el desarrollo y puesta a disposición de manera gratuita de la herramienta
FACILITA_RGPD, la elaboración de materiales prácticos de apoyo y el desarrollo de un plan de
comunicación e información.
De acuerdo con los datos del Registro General de Protección de Datos de la AEPD el 72% de los
datos de las personas que tratan pymes y autónomos son datos de bajo riesgo, por lo que la
herramienta FACILITA_RGPD es una solución para estos tratamientos habituales en pequeñas
empresas y, más concretamente, los tratamientos de datos de clientes, proveedores, nóminas,
recursos humanos, personal y videovigilancia.
6.3.2. Innovación
La herramienta FACILITA_RGPD ha sido diseñada para ayudar a las pequeñas empresas que, en
su mayoría, no necesitan mecanismos de adaptación complejos por utilizar tratamientos de datos
de escaso riesgo.
La herramienta se basa en un sencillo mecanismo de encuesta que permite, en cuatro pasos y
escasos minutos, la obtención de un informe personalizado para llevar a cabo su adaptación al
RGPD.
La difusión de esta herramienta juega un papel importante de cara a la competitividad de nuestras
pequeñas empresas. Es preciso tener en cuenta que la protección de datos en el espíritu del RGPD
tiene por objetivo el desarrollo de la economía digital y, consecuentemente, el cumplimiento en
este nuevo marco se convierte en un factor de confianza de los ciudadanos y, en definitiva, de los
consumidores. Por tanto, podemos decir que la herramienta FACILITA_RGPD proporciona un
factor clave a la hora de fomentar el consumo y la economía, a la vez que se convierte en un valor
añadido para los productos y servicios que proporcionan las empresas que hagan uso de la misma.
Candidatura al Premio Ciudadanía XII edición Página | 14Agencia Española de Protección de Datos
6.3.3. Funcionamiento
La herramienta consiste en un cuestionario online con una duración máxima de 20 minutos con el
que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de
preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener
los documentos mínimos indispensables para facilitar la aplicación del RGPD al terminar el test.
Las plantillas a cumplimentar incluyen los requerimientos básicos marcados por el RGPD, como
el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían
incluirse si la empresa contrata con un encargado del tratamiento y un anexo con las medidas de
seguridad mínimas.
La herramienta va acompañada de un video tutorial en el que se explica de manera clara, sencilla
y muy gráfica los pasos a seguir para la utilización de FACILITA_RGPD.
El test de que consta FACILITA_RGPD está dividido en cuatro bloques:
1. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de
datos que trata.
2. Una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso
nivel de riesgo para los derechos y libertades de las personas, Facilita_RGPD pedirá al
responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o
teléfono, entre otros).
3. En el tercer bloque, la aplicación solicitará información sobre los tratamientos que realiza
(clientes, empleados, currículums de candidatos, etc.).
4. Con la información aportada, en la última fase se generarán los documentos mínimos
indispensables para facilitar el cumplimiento del RGPD.
Candidatura al Premio Ciudadanía XII edición Página | 15Agencia Española de Protección de Datos Las preguntas incluidas en el cuestionario han sido redactadas con un lenguaje claro y sencillo, resultando muy fácil de entender y cumplimentar. Se adapta a la diferente casuística que presentan sus usuarios de modo que, en función de las respuestas que vayan aportando, se suceden unas preguntas u otras, encaminando así a unos documentos finales adaptados a las características de los tratamientos de datos que se realizan. A modo de ejemplo, a continuación puede verse el diseño de una pantalla y el modo en que han sido elaboradas por preguntas: Los documentos resultantes de la ejecución del programa serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas. En concreto, los responsables y encargados del tratamiento, con esta herramienta obtienen un borrador para crear su registro de actividades de tratamiento, cláusulas informativas para cumplir con el deber de información en la recogida de datos personales, cláusulas contractuales a incluir en los contratos de encargado del tratamiento y un anexo con medidas de seguridad mínimas que deben ser tenidas en cuenta sin perjuicio de otras que, por la especificidad de cada tratamiento, pudieran ser necesarias. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la AEPD en ningún caso puede conocer la información que haya sido aportada. Todo ello sin que esto suponga un aval para quienes hagan uso de esta herramienta, ya que todos aquellos que tratan datos personales deben cumplir con sus obligaciones. Candidatura al Premio Ciudadanía XII edición Página | 16
Agencia Española de Protección de Datos
6.3.4. Transferibilidad
Esta herramienta supone una novedad a nivel europeo, no existiendo ninguna otra autoridad
europea de protección de datos que haya desplegado un recurso similar y que sea aplicable a un
volumen empresarial de esta envergadura.
Por ello, la AEPD ha puesto FACILITA_RGPD a disposición del Grupo de Autoridades Europeas
de Protección de Datos de los Estados Miembros para que, aquellas que lo deseen, puedan
utilizarla como base para ofrecer este servicio de ayuda en sus respectivos países.
Además de ello, la Comisión Europea está financiando el proyecto SMOOTH, en el marco de los
proyectos de la estrategia Horizonte 2020, cuya finalidad es el desarrollo de herramientas de ayuda
al cumplimiento a los responsables, especialmente dirigido a las pymes europeas con el fin de
facilitar el cumplimiento a los responsables para quienes el nuevo modelo de cumplimiento del
RGPD implica un mayor grado de esfuerzo. En este proyecto participa la AEPD.
SMOOTH toma como modelo de referencia la herramienta FACILITA_RGPD desarrollada por la
AEPD en cuanto a la usabilidad y modelo de ejecución, proporcionando al usuario de forma
automática una visión de su cumplimiento y de las medidas que debe poner en marcha para
adecuarse en caso necesario.
En la selección de este proyecto, la Comisión Europea ha valorado también la experiencia y larga
trayectoria con que cuenta la AEPD en el diseño y desarrollo de diversas herramientas creadas
para facilitar el cumplimiento de las obligaciones de protección de datos. Ejemplos de esta
experiencia son el sistema NOTA para facilitar la inscripción de ficheros por los responsables, la
herramienta DISPONE para ayudar a los responsables de las Administraciones Públicas en la
elaboración de las disposiciones de creación de ficheros, la herramienta EVALÚA para llevar a
cabo evaluaciones de cumplimiento en protección de datos y la última y más novedosa de las
herramientas desarrolladas que es la FACILITA_RGPD orientada a ayudar a los responsables en
el nuevo marco del cumplimiento del RGPD.
6.3.5. Eficacia
Teniendo en cuenta la finalidad última de desarrollar mecanismos eficaces para la protección de
los derechos y libertades de las personas, y en concreto la protección de sus datos personales, la
herramienta FACILITA_RGPD persigue facilitar a las pequeñas empresas y profesionales, en
cuanto que responsables y encargados del tratamiento de datos personales, la labor de adaptarse
a las novedades y requisitos establecidos en la nueva normativa de protección de datos personales.
De este modo, las empresas que hayan utilizado FACILITA_RGPD han podido realizar, de manera
gratuita, el análisis de los riesgos que implican los tratamientos de datos que realizan, y la
verificación, en su caso, de si tienen establecidas las medidas indispensables de seguridad para
saber si están cumpliendo con los mínimos exigidos para el adecuado cumplimiento del RGPD.
6.3.6. Eficiencia y sostenibilidad
En cuanto a su coste, la herramienta FACILITA_RGPD ha sido diseñada internamente en la
AEPD, en concreto por la Unidad de Evaluación y Estudios Tecnológicos.
Candidatura al Premio Ciudadanía XII edición Página | 17Agencia Española de Protección de Datos
Desde el punto de vista de sus usuarios, FACILITA_RGPD es una herramienta de muy fácil uso
que ha sido puesta a disposición de manera totalmente gratuita.
Esto es un factor añadido importante para que el uso presente y futuro de FACILITA_RGPD
parezca estar asegurado.
En cuanto a su utilización, ha de señalarse que desde la puesta en marcha de FACILITA_RGPD
el 6 de septiembre de 2017 y hasta el 22 de mayo de 2018 han cumplimentado las preguntas
105.766 usuarios, de los que 54.438 fueron descartados en la primera fase por no cumplir con los
requisitos para su utilización y 51.328 finalizaron y obtuvieron el documento o la hoja de ruta.
Estos son datos provisionales del impacto que está teniendo la herramienta. Se espera que con la
entrada en vigor del RGPD el 25 de mayo de 2018 y la campaña de difusión en televisión y radio
que va a emitirse y la que se está desarrollando en prensa escrita, este impacto y los resultados
obtenidos tengan un crecimiento exponencial. Prueba de ello es la evolución de la media diaria de
uso de la herramienta durante 2018:
Enero 37
Febrero 87
Marzo 174
Abril 196
Mayo 1.502
Junio 3.181
6.3.7. Difusión y coordinación institucional
La AEPD presentó FACILITA_RGPD el 6 de septiembre de 2017, en la sede de la CEOE, con la
colaboración de CEOE y CEPYME.
A partir de esa fecha, en los meses restantes de 2017 y durante 2018 se ha desarrollado una amplia
estrategia de difusión, comunicación e información sobre las novedades del RGPD y el nuevo
modelo de protección de datos que configura, dando a conocer la herramienta FACILITA_RGPD
al sector empresarial de todo el país. Esta estrategia se ha realizado íntegramente con medios
propios de la AEPD sin coste adicional alguno.
La estrategia se ha diversificado en varias líneas para lograr una mayor incidencia en el sector :
1. En primer lugar, se ha estrechado la colaboración con las organizaciones y asociaciones
más representativas del sector empresarial y del colectivo de autónomos, que se ha
materializado en la firma de un protocolo de colaboración con CEOE y CEPYME en
septiembre de 2017 y un contacto constante con las asociaciones más representativas del
sector de autónomos (la Asociación de Trabajadores Autónomos, ATA y la Unión de
Profesionales y Autónomos, UPTA), así como con el Consejo General de Colegios de
Gestores Administrativos de España y las Cámaras de Comercio.
Con todas estas organizaciones se ha mantenido una línea constante de trabajo con el
objetivo primordial de asesorar al sector y dar a conocer la herramienta FACILITA_RGPD.
Candidatura al Premio Ciudadanía XII edición Página | 18Agencia Española de Protección de Datos
Una de las acciones más destacadas ha sido la implementación de un plan de difusión en
las Comunidades Autónomas. De este modo, el personal especializado de la AEPD ha
desarrollado, en colaboración con las organizaciones territoriales de CEOE y CEPYME,
sesiones informativas dirigidas al sector empresarial en las Comunidades Autónomas de
Andalucía, Aragón, Canarias, Cantabria, Castilla-La Mancha, Castilla y León, Cataluña,
Comunidad Valenciana, Extremadura, Galicia, Islas Baleares, La Rioja, Madrid, Navarra,
Principado de Asturias y Región de Murcia, y en la Ciudad Autónoma de Melilla.
Hay que mencionar también que en el portal especializado de información a pymes,
autónomos y emprendedores Cepymenews se ha creado una landing page con
herramientas de ayuda a las pymes, que dirige a FACILITA_RGPD como herramienta
destacada que ofrece la AEPD para ayudar a cumplir con el nuevo RGPD.
Candidatura al Premio Ciudadanía XII edición Página | 19Agencia Española de Protección de Datos
2. La línea estratégica anterior, más generalista, se ha complementado con una estrategia
sectorial que, con la misma finalidad de informar sobre las novedades del RGPD, generar
conciencia sobre la importantica de este tema para el funcionamiento de las empresas y
los derechos de los ciudadanos y difundir la herramienta FACILITA_RGPD, ha pretendido
atender las especificidades de cada uno de los sectores empresariales.
En este sentido, cabe mencionar la firma en marzo de 2018 de un Protocolo General de
Actuación con Unión Profesional, que engloba los Consejos Generales y Superiores y los
Colegios Profesionales de ámbito nacional.
En este marco de colaboración se han realizado tres Talleres con Consejos y Colegios, uno
intersectorial al que acudieron 9 Colegios y Consejos profesionales, uno dirigido al sector
salud en el que estuvieron presentes 8 consejos y colegios profesionales, y un último taller
dirigido al sector de ingeniería organizado en colaboración con la Escuela de Organización
Industrial.
Se han desarrollado también tres sesiones con asesores digitales en colaboración con
Red.es, una sesión con la Cámara de Comercio de España y seis encuentros con grandes
asociaciones empresariales de los sectores del gran consumo, turismo, energía, publicidad,
gas y telecomunicaciones.
En el sector de la banca, se está trabajando con sus asociaciones más representativas,
CECA y AEB, a los que se ha pedido el apoyo para la difusión de la herramienta
FACILITA_RGPD. En tal sentido, hay que destacar que mediante carta del pasado 8 de
mayo, desde la Secretaría General de la AEB se ha pedido a todos los asociados que
informen a través de sus servicios de banca online de la nueva normativa y de la
herramienta FACILITA, así como de “cualquier otra iniciativa que se pudiera llevar a cabo
por las entidades bancarias para la difusión y conocimiento de la herramienta entre estas
categorías de clientes”. A estos efectos la AEPD les ha remitido distintos modelos de
banner, para que las entidades puedan elegir, junto con la url que lleva a la herramienta
FACILITA (http://www.servicios.agpd.es/Facilita). Es importante destacar que uno de los
grandes Bancos del país, el Banco Santander, que gestiona cuentas del 25% de las pymes,
ha incluido en el apartado de empresas de su web un banner para que las empresas
puedan adaptarse a los requerimientos del RGPD.
Candidatura al Premio Ciudadanía XII edición Página | 20También puede leer
