Redacción.
21 de mayo de 2019.
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2018, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La publicación de esta Memoria coincide con el primer año de aplicación del Reglamento General de Protección de Datos (RGPD), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones.
En cuanto a las reclamaciones recibidas en la Agencia durante 2018, se incrementaron casi un 33% (32.8%), pasando de 10.651 a 14.146. Actualizando estas cifras al primer año de aplicación del RGPD, (desde el 25 de mayo de 2018 al 15 de mayo de 2019) se han presentado ante la AEPD 14.397 reclamaciones. En cuanto a la temática recogida en la Memoria 2018, las reclamaciones corresponden a las siguientes materias: inserción indebida en ficheros de morosidad (16%), videovigilancia (11%), servicios de Internet (10%), reclamación de deudas (10%), Administración Pública (7%), sanidad (7%), publicidad -excepto spam- (5%), comercios, transporte y hostelería (5%), entidades financieras/acreedoras (4%) y publicidad a través de e-mail o teléfono móvil (4%).
En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019. Este mecanismo, contemplado en el Reglamento para promover la resolución amistosa de las reclamaciones y que no existía con anterioridad, ha generado que dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelvan de forma satisfactoria para el particular. Además, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Por otro lado, el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación.
En cuanto a los casos con otras autoridades europeas (sistema coordinado), de los casi 400 casos analizados, en 2018 la Agencia se ha personado como interesada en 237 de ellos, siendo autoridad líder en 11. Desde el 25 de mayo de 2018 al 15 de mayo de 2019 la Agencia ha analizado 1.026 casos procedentes de otras autoridades europeas, actuando como interesada en 539 de ellos y siendo autoridad líder en 18.
En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se han resuelto 1.784 peticiones en la Agencia. De ellas, casi 200 (191) corresponden a reclamaciones por derecho al olvido. La proporción estimadas/desestimadas de estas 191 tutelas/reclamaciones es prácticamente de un 50%. En cuanto a las entidades reclamadas, Google y sus servicios aglutinan 125 de las 191 (65%), 18 a medios de comunicación (9%), 14 a otros buscadores de Internet (7%), 13 corresponden a Administraciones Públicas y boletines (6%), cifras que se completan con un apartado de peticiones a ‘Otras entidades’.
Durante 2018 se han elaborado y puesto en marcha procedimientos para la gestión de las notificaciones de brechas de seguridad y evaluaciones de impacto. Desde el 25 mayo de 2018 hasta el 31 de diciembre, se atendieron 44 consultas previas sobre evaluaciones de impacto y se recibieron un total de 547 notificaciones de quiebras de seguridad. Tras el análisis y la clasificación de estas últimas, sólo 16 se han remitido a la Subdirección General de Inspección de Datos, que afectaban a datos de salud, menores, ideología política, y tratamientos masivos de datos.
En el primer año de aplicación del Reglamento (del 25 de mayo de 2018 al 15 de mayo de este año) se han recibido en la Agencia 966 notificaciones de brecha de seguridad. Un 72% de ellas indican que se ha comprometido la confidencialidad de los datos personales y un 36% indican compromiso de la disponibilidad. Más del 53% de las notificaciones de brechas de seguridad tienen como origen un contexto externo e intencionado y, de ellas, el 44% fueron a consecuencia de ciberincidentes mediante algún tipo de técnicas de hacking, malware o mediante phishing. Con respecto a los aspectos procedimentales, el análisis de los incidentes de seguridad notificados apunta a que el 31% de éstos se deben a la pérdida o robo de dispositivos o documentación.
En 2018 se han dictado 907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de morosidad, videovigilancia, spam (LSSI), publicidad (excepto spam), servicios de Internet, reclamación de deudas, telecomunicaciones, Administración Pública y sanidad. En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros). Con respecto al año anterior, crecen las reclamaciones por contratación fraudulenta y descienden levemente las de morosidad. Estas dos áreas acumulan un 67% del volumen total de sanciones impuestas en 2018. En cuanto a la temática de las infracciones por parte de las AAPP, estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos o incumplimiento de medidas de seguridad.
En cuanto a las cifras de Delegados de protección de datos (DPD) notificados ante la Agencia, en 2018 se tramitó la inscripción de 20.043 Delegados de Protección de Datos (17.296 del sector privado y 2.747 del sector público). Cuando ha transcurrido casi un año completo desde la aplicación del RGPD, se han comunicado 34.193 DPDs (29.908 del sector privado y 4.285 del sector público).
En lo relativo a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, la Herramienta FACILITA_RGPD, orientada a pymes que realizan tratamientos de bajo riesgo, ha sido utilizada en 2018 en más de 150.000 ocasiones, una cifra que se amplía a 170.000 a fecha 15 de mayo de 2019. Por otro lado, el canal INFORMA_RGPD, que presta soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación del RGPD, ha atendido en 2018 un total de 4.116 consultas. Hasta el 15 de mayo de 2019, esa cifra se ha ampliado a las 4.607. Las consultas más frecuentes de este servicio son las relativas a la obligatoriedad de nombrar un DPD, cuestiones sobre videovigilancia o la utilización de la huella y datos biométricos como medidas de control de acceso y horario del trabajo.
Por último, se han planteado 1.564 cuestiones ante el área de menores de la Agencia, lo que supone un incremento de casi el 75% con respecto a 2017 (895). En cuanto a la temática de las consultas que se suelen recibir con mayor frecuencia destacan las siguientes: la toma de imágenes y si es necesario el consentimiento para ello, tanto en las aulas, como en eventos escolares y extraescolares (campamentos, excursiones, funciones teatrales, etc.), así como quién debe otorgar el consentimiento para tratar datos personales de menores cuando los padres están separados. Además, desde la entrada en vigor del RGPD y la Ley Orgánica 3/2018, se plantea la necesidad de designar un DPD por distintos actores en este ámbito y sus funciones.