El sector de la protección de datos evoluciona de manera continua impulsado por la implementación y aplicación del RGPD, por parte de las organizaciones y de las autoridades de control respectivamente.
Nuevo año, ¿nuevos comienzos? No siempre es el caso, al menos no cuando el año anterior ha brindado novedades de gran importancia. El RGPD es todavía una normativa relativamente nueva si se tiene en cuenta que se lleva aplicando desde 2018, y por tanto se sigue generando aprendizaje en torno al mismo, incluidas las organizaciones, las autoridades de control y la sociedad en general. Este es el motivo por el que es necesario seguir de cerca cualquier desarrollo en la industria, pues todos ellos pueden ser determinantes para el futuro de la protección de datos. En este artículo repasamos los principales hitos del 2021.
Schrems II y las nuevas SCCs
Tras la sentencia del caso Schrems II y las advertencias que el TJUE realizó en torno al uso de las Cláusulas Contractuales Tipo (SCCs), la Comisión Europea adoptó en junio de 2021 nuevas SCCs para la transferencia de datos personales a terceros países, tal y como informamos en el blog de Aphaia. Las nuevas SCCs se centran en la practicidad y la flexibilidad, pues toman un enfoque modular que las hace adecuadas para transferencias de cualquier tipo, independientemente del rol que tome el responsable o el encargado como importador o exportador de los datos. Las nuevas SCCs también incluyen una serie de medidas adicionales que pretenden ayudar a responsables y encargados a realizar transferencias seguras sobre la base de una Evaluación de Impacto de Transferencia, una herramienta que permite identificar los riesgos de la transferencia y la capacidad de las partes para cumplir con las cláusulas.
Debe tenerse en cuenta que la ICO no se ha pronunciado todavía sobre las nuevas SCCs, y entre sus planes se encuentra la publicación de sus propias cláusulas para las transferencias restringidas que se realicen desde Reino Unido.
Otras novedades
Junto a las nuevas SCCs para transferencias internacionales, la Comisión Europea también publicó otro conjunto de SCCs que recoge los requisitos del Artículo 28 del RGPD. Sin embargo, al contrario que las SCCs para transferencias internacionales, esta herramienta no es obligatoria y los responsables y encargados pueden utilizar sus propios términos para los acuerdos de encargado de tratamiento.
Entre los elementos que no son nuevos del 2021 pero que sí han tenido gran relevancia durante el año, encontramos la normativa de cookies y el concepto de corresponsabilidad. Muchas organizaciones están todavía actualizando sus banners de cookies para recoger consentimiento de manera individual para todas las cookies que no sean estrictamente necesarias. Las cookies son también importantes en la determinación del rol de las partes en cuanto a protección de datos pues, como cualquier otro tratamiento conjunto, si hay dos o más partes involucrada éstas pueden dar lugar a corresponsabilidad como resultado de decisiones convergentes.
Aplicación del RGPD
El impacto del trabajo desempeñado por las autoridades de control no puede todavía dilucidarse con claridad porque, por un lado, el RGPD lleva en aplicación apenas cuatro años, por otro, las investigaciones son largas y pueden llevar varios meses y, finalmente, porque cada autoridad de control tiene sus propios criterios más allá del artículo 83 del RGPD. Por ejemplo, la normativa nacional de Portugal prevé una moratoria de tres años para las multas administrativas impuestas al sector público. Por otro lado, en España no se pueden imponer multas al sector público. Una unificación de acciones y de los criterios a lo largo de los Estados Miembros de la UE reforzaría el mecanismo de consistencia recogido en el RGPD al impulsar una aplicación consistente de la normativa a nivel comunitario.
Asimismo es posible que el papel de las autoridades de control experimente algunos cambios conforme vayan entrando en aplicación nuevas normativas, como la Propuesta de Reglamento de IA de la UE.
En lo que respecta a las multas por incumplimiento del RGPD, si bien se aprecia un incremento significativo en los últimos meses, debe valorarse que no sólo la cantidad de la misma es importante, sino también el coste del proceso y el riesgo reputacional.
He tenido la oportunidad de hablar sobre estos temas con JC Gaillard de Corix Partners en su Cyber Security Transformation Podcast. Puedes escucharlo [aquí].
