-
Finalista QIA 2019. Categoría: Sector público. Agencia Española de Protección de Datos. Soluciones prácticas para impulsar y promover el cumplimiento de la normativa de protección de datos personales en las pymes españolas.
La AEPD es una autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos. Fue creada en 1992 e inició su funcionamiento en 1994. Tiene 175 empleados y un presupuesto de 14.101.070 euros. En 2019 se han presentado en torno a 14.000 reclamaciones. La representación de la AEPD la ostenta el Director/a, y se estructura en tres unidades con rango de Subdirección General: la Inspección de Datos; el Registro General de Protección de Datos; la Secretaría General, una Unidad de Apoyo y un Gabinete Jurídico.
TÍTULO DE LA INNOVACIÓN
Soluciones prácticas para impulsar y promover el cumplimiento de la normativa de protección de datos personales en las pymes españolas.
DESCRIPCIÓN CORTA DE LA INNOVACIÓN
Diseño e implantación desde una institución pública de herramientas y soluciones prácticas de uso gratuito para facilitar el cumplimiento por parte de pymes y autónomos del nuevo modelo de protección de datos personales establecido por el Reglamento europeo 2016/679 (RGPD) desde el 25/5/2018 y la nueva Ley Orgánica de Protección de Datos 3/2018, y para alertar de los riesgos de contratar servicios fraudulentos de adecuación a la normativa de protección de datos -los conocidos como servicios de ”coste cero”.
DESCRIPCIÓN DE LA INNOVACIÓN
Esencia de la innovación: La AEPD pone a disposición de las pymes, como responsables y encargados del tratamiento de datos personales, un conjunto de soluciones prácticas para ayudarles en su proceso de adaptación al nuevo modelo de protección de datos implantado por el RGPD, y en especial para aquellas que realizan tratamientos de datos de escaso riesgo, que son la gran mayoría. La difusión de estas herramientas juega un papel importante de cara a fomentar la competitividad de nuestras pymes. La protección de datos en el espíritu del RGPD tiene por objetivo el desarrollo de la economía digital y, consecuentemente, el cumplimiento en este nuevo marco se convierte en un factor de confianza de los consumidores y de competitividad empresarial. Según datos del CIS, al 76,1% de los españoles le preocupa mucho o bastante la protección de sus datos personales.
Punto de partida: Según cifras oficiales, el 99,8% de las empresas españolas son pymes y autónomos y el 94% microempresas de 9 trabajadores o menos y autónomos,de las cuales el 72% tratan datos de bajo riesgo (clientes, proveedores, RRHH y videovigilancia). En la AEPD somos plenamente conscientes de que el nuevo modelo de cumplimento que establece el RGPD implica un especial esfuerzo de adaptación para nuestras pymes, que, además, suelen tener menos recursos. La nueva normativa supone un cambio radical en la configuración de la protección de este derecho fundamental, pues se pasa de un esquema fundamentalmente reactivo a otro más preventivo, basado en principios como la responsabilidad activa o el análisis de riesgos. Esto implica que todas las organizaciones, públicas o privadas, antes de ofrecer un producto o servicio, deben haber analizado y aplicado todas las medidas técnicas, organizativas y de seguridad para garantizar la privacidad por defecto y desde el diseño. La reforma persigue también establecer un modelo más garantista y transparente en el que los ciudadanos van a tener un mayor control sobre sus datos y sobre el uso que se haga de ellos. Ya no pueden tratarse datos personales sobre la base de un consentimiento tácito, sino que este ha de ser explícito, y ha de comunicarse de dónde se han obtenido los datos, para qué finalidades se van a tratar, a quién se van a ceder, durante cuánto tiempo se van a conservar y cuál es la base jurídica que da la legitimidad para tratarlos. Todo ello requiere que los responsables, sean públicos o privados, realicen una adaptación a la nueva normativa para que estén en condiciones de acreditar, en el momento requerido, que disponen de esquemas y modelos de funcionamiento que garanticen esa efectiva protección de datos personales y de los mecanismos necesarios para solucionar los problemas que surjan ante los riesgos que se presenten cuando se tratan datos personales.
Desde la aprobación del nuevo marco europeo, la AEPD diseñó una estrategia orientada directamente a la concienciación y apoyo activo a los sectores público y privado, entendiendo que la adecuada protección de los datos personales es un elemento esencial para generar confianza entre los ciudadanos y, en esa medida, ser un factor de potenciación de la economía. Por ello, dadas las dificultades que pueden presentarse a las pymes para llevar a cabo este proceso de adaptación, la AEPD ha centrado parte de sus esfuerzos en facilitárselo mediante el desarrollo y puesta a su disposición de manera gratuita de herramientas y procedimientos adaptados a la nueva normativa. Para ello la AEPD ha querido en todo momento abrirse a la participación de todos los actores que pudieran aportar sus conocimientos y experiencia, buscando la colaboración con asociaciones, organizaciones y entidades representativas en cada sector, entendiendo que el trabajo conjunto y la implicación desde el primer momento es la mejor forma de lograr los objetivos perseguidos en un tema tan complejo y sensible como es la protección de los datos personales.
Pasos dados: Todas estas soluciones hay que enmarcarlas dentro de los objetivos del Plan Estratégico de la AEPD 2015-2019 (https://www.aepd.es/agencia/transparencia/plan-estrategico.html), y en concreto, su Eje 4 -”Una Agencia cercana a los responsables y a los profesionales de la privacidad”-, que contempla un conjunto de acciones orientadas específicamente a las pymes, entre ellas un canal propio para información y consultas y el diseño de herramientas y materiales prácticos sobre el cumplimiento del RGPD, en especial para las empresas de menos de 50 empleados (iniciativas nº 95 y 96 del Plan). Asi, desde la aprobación del RGPD, en 2016 (se dieron dos años para su adaptación), la AEPD ha ido implantando de manera gradual un conjunto de herramientas y soluciones prácticas para impulsar y facilitar el cumplimiento por parte de las pymes de la nueva normativa europea. Así, la primera y la de mayor impacto, ha sido la herramienta FACILITA_RGPD (https://www.aepd.es/herramientas/facilita.html), planteada como un cuestionario online con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa. Desde su puesta en marcha en septiembre de 2017 hasta la fecha, 183.000 empresas y profesionales han completado el cuestionario (con un total de 754.000 accesos). Con posterioridad, en febrero de 2018, se puso en marcha el canal INFORMA_RGPD (https://www.aepd.es/herramientas/informa.html), con el objetivo de atender las cuestiones que puedan puedan plantear responsables, encargados y Delegados de Protección de Datos en la aplicación del RGPD. Desde su creación hasta la fecha se han recibido algo más de 5.400 consultas. Más recientemente, en julio de 2019, se ha puesto a disposición de las empresas la herramienta GESTIONA_RGPD (https://www.aepd.es/herramientas/gestiona.html), que resulta especialmente útil para aquellas pymes que, por realizar tratamientos que puedan suponer un riesgo para los derechos y libertades de las personas (datos de salud, tratamientos masivos, etc.), necesitan iniciarse en la realización de evaluaciones de impacto en protección de datos personales. Junto a estos tres recursos, la web de la AEPD ofrece otros materiales adicionales con la misma finalidad de facilitar a las pymes y autónomos la aplicación del nuevo modelo de cumplimiento normativo. Algunas de las más relevantes se detallan en la infografía que se adjunta al presente formulario (ANEXO I), si bien pueden consultarse de forma íntegra en https://www.aepd.es/guias/index.html y en https://www.aepd.es/areas/innovacion/index.html.
Recursos empleados: Estas soluciones y herramientas han sido diseñadas e implantadas con medios -materiales y personales- propios de la Agencia, a excepción del desarrollo del software en ambas herramientas que se ha llevado a a cabo con ayuda externa.
Resultados a nivel económico: Los resultados económicos para pymes y autónomos son directos, ya que las herramientas lanzadas por la Agencia posibilitan una reducción de costes en el cumplimiento de la normativa de protección de datos con unos estándares adecuados de calidad, especialmente en aquellos casos que no presentan una especial complejidad al implicar tratamientos de bajo riesgo. En consecuencia, su utilización aporta un factor de confianza y de competitividad necesarios para el pleno desarrollo de la economía digital.
INNOVACIÓN
AUTOEVALUACIÓN DE LAS CARACTERÍSTICAS NOVEDOSAS DE LA INNOVACIÓN.
Estas herramientas suponen una novedad a nivel europeo, no existiendo ninguna otra autoridad europea de protección de datos que haya desplegado unos recursos similares y que sean aplicables a un volumen empresarial de esta envergadura. En especial, la herramienta más utilizada, FACILITA_RGPD, ha sido puesta a disposición del Grupo de Autoridades Europeas de Protección de Datos para que puedan utilizarla como base para ofrecer este servicio de ayuda en sus respectivos países. Además de ello, la Comisión Europea está financiando el proyecto SMOOTH, en el marco de los proyectos de la estrategia Horizonte 2020, cuya finalidad es el desarrollo de herramientas de ayuda al cumplimiento de la normativa por parte de los responsables, especialmente dirigido a las pymes europeas, para quienes el nuevo modelo de cumplimiento del RGPD implica un mayor grado de esfuerzo. En este proyecto participa la AEPD. SMOOTH toma como modelo de referencia la herramienta FACILITA_RGPD en cuanto a la usabilidad y modelo de ejecución, proporcionando al usuario de forma automática una visión de su cumplimiento y de las medidas que debe poner en marcha para adecuarse en caso necesario.
En consecuencia, las características más destacadas de estas herramientas son: el objetivo que persiguen y la finalidad para la que se han desarrollado; su facilidad de uso y su gratuidad para los usuarios; su diseño con medios propios; su fácil replicabilidad; su sostenibilidad; la elevada aceptación por parte de pymes y autónomos y, derivado de lo anterior, su gran incidencia en la protección y garantía de los derechos de los ciudadanos.
AUTOEVALUACIÓN DE LA UTILIDAD
HERRAMIENTA “FACILITA_RGPD”. Consiste en un cuestionario online con una duración máxima de 20 minutos con el que empresas y profesionales pueden constatar a través de una serie de preguntas (filtrado) que los datos que tratan son de escaso riesgo, y, al terminar el test, obtener un borrador con los documentos mínimos indispensables para facilitar la aplicación del RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que debería incluir la empresa si contrata con un encargado del tratamiento y un anexo que incluye las directrices para atender las solicitudes de ejercicio de derechos que se reciban de los interesados, las recomendaciones sobre las medidas de seguridad mínimas a implantar en la organización por parte del responsable y los requisitos a seguir para un correcto tratamiento de las imágenes captadas mediante cámaras de videovigilancia. La herramienta va acompañada de un video tutorial que explica de manera gráfica los pasos a seguir para su uso. Las preguntas incluidas en el cuestionario han sido redactadas con un lenguaje claro y sencillo. Se adapta a la diferente casuística que presentan las pymes de modo que, en función de las respuestas que vayan aportando, se suceden unas preguntas u otras, encaminando así a unos documentos finales adaptados a las características de los tratamientos que se realizan. Los documentos resultantes serán válidos en la medida que las respuestas facilitadas sean ciertas. La información aportada en el test en ningún caso es conservada ni monitorizada por la AEPD.
SERVICIO “INFORMA_RGPD”. El canal INFORMA_RGPD tiene como finalidad prestar soporte a aquellas dudas y cuestiones que puedan derivarse de la aplicación de la normativa de protección de datos. Pueden utilizar este canal los responsables y encargados de tratamientos a través de la persona que ostente la responsabilidad en los mismos o el delegado de protección de datos si la empresa cuenta con uno. Antes de presentar una cuestión a través de este canal, se recomienda la lectura del site de la AEPD dedicado al RGPD dónde se puede encontrar diversa documentación, incluyendo varias Guías. Las consultas se pueden realizar a través de la Sede electrónica, que se atienden en consideración a su contenido y repercusión, teniendo en cuenta criterios de eficiencia y optimización de recursos.
HERRAMIENTA ”GESTIONA_RGPD”. Es una herramienta gratuita que guía a su usuario a través de los elementos básicos que deben ser tenidos en cuenta en los análisis de riesgos de los tratamientos y en las evaluaciones de impacto. GESTIONA_EIPD aporta a responsables y encargados las bases mínimas para iniciar las actividades de análisis y gestión de riesgos en el ámbito del RGPD, incluyendo requisitos de cumplimiento normativo y medidas encaminadas a reducir o mitigar el riesgo del tratamiento. Por tanto, es una herramienta de ayuda y soporte a la decisión y cuya utilización genera la documentación básica sobre la cual hay que realizar un análisis y gestión del riesgo por parte de responsables y encargados para cumplir con el RGPD y la Ley 3/2018. Esta documentación básica deberá ser completada y analizada por el responsable y, en su caso, el encargado del tratamiento, siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, con el fin de demostrar en todo momento que los tratamientos se llevan a cabo de conformidad con los requisitos que establece el RGPD y la Ley.
APRENDIZAJE
Estas soluciones prácticas suponen un paso más en la larga trayectoria de la AEPD en el diseño y desarrollo de herramientas para facilitar el cumplimiento de las obligaciones de protección de datos. Ejemplos de esta experiencia son el sistema NOTA para facilitar la inscripción de ficheros por los responsables; la herramienta DISPONE para ayudar a los responsables de las Administraciones Públicas en la elaboración de las disposiciones de creación de ficheros, o la herramienta EVALÚA para llevar a cabo evaluaciones de cumplimiento en protección de datos. Las soluciones ahora presentadas responden a esta misma inquietud manifestada por la AEPD en sus veinticinco años de funcionamiento, volcada especialmente durante los últimos años en dotar a las empresas de recursos prácticos y gratuitos que contribuyan a facilitarle el cumplimiento de la normativa de protección de datos, de modo que ésta en ningún caso pueda constituir un freno a su modelo de negocio ni al desarrollo de la propia actividad empresarial. Una de las características esenciales de estas herramientas es, pues, su conocimiento generalizado por sus destinatarios (clientes) naturales, las pymes, lo que, sin duda, ha contribuido de manera importante a que éstas sean conscientes de los nuevos requerimientos en materia de protección de los datos, y han facilitado que una gran parte de este sector haya podido llevar a cabo su adaptación a esos requerimientos de manera fácil, clara y gratuita.
CALIDAD
AUTOEVALUACIÓN DE LA ORIENTACIÓN AL CLIENTE
Estas soluciones están orientadas a satisfacer directamente las necesidades específicas de pymes y autónomos, en especial de aquellas tratan datos personales de bajo riesgo, que son la práctica totalidad de las pymes españolas, tratando de fomentar y facilitar el cumplimiento de la normativa de protección de datos, evitando que ésta pueda suponer una barrera para el crecimiento económico y el desarrollo de la actividad empresarial. Con ese objetivo, la AEPD ha puesto en marcha una amplia estrategia de difusión y comunicación sobre las novedades del RGPD y las soluciones prácticas para facilitar su cumplimiento que se ha diversificado en las siguientes líneas de actuación:
– Mediante la colaboración con las organizaciones y asociaciones empresarials más representativas, que se ha materializado en la firma de un protocolo de colaboración con CEOE y CEPYME en septiembre de 2017 y un contacto constante con algunas de las asociaciones de autónomos más representativas (ATA y UPTA), con el Consejo General de Colegios de Gestores y con las Cámaras de Comercio. En el caso de CEPYME, se partió de la base de realizar un estudio sobre el grado de conocimiento, preparación y adaptación de las pymes al RGPD, con el objetivo de planificar y adoptar las medidas más adecuadas según las necesidades que se detectasen en la adaptación y cumplimiento de las obligaciones establecidas en el Reglamento europeo. Una de las acciones más destacadas de esta colaboración ha sido las sesiones informativas dirigidas al sector empresarial en todas las Comunidades Autónomas. Asimismo, en el portal especializado de información a pymes, autónomos y emprendedores Cepymenews se ha creado una página permanente que enlaza a las herramientas de ayuda a las pymes y que dirige a FACILITA_RGPD como herramienta destacada para ayudar a cumplir con el nuevo RGPD, además de haberse establecido un canal de comunicación directo con CEPYME para que reciban y difundan de forma prioritaria todas las comunicaciones de la AEPD que puedan tener un impacto directo en las pymes. Por otro lado, la AEPD tiene firmado un protocolo con la Asociación Española de Compliance para facilitarle a sus asociados los materiales y herramientas realizados por la AEPD.
– La línea estratégica anterior se ha complementado con una estrategia sectorial que, con la misma finalidad de generar conciencia sobre la importancia de este tema para el funcionamiento de las empresas y los derechos de los ciudadanos, ha pretendido atender las especificidades de cada uno de los sectores empresariales. En este sentido, cabe mencionar la firma en marzo de 2018 de un Protocolo de colaboración con Unión Profesional (que aglutina cerca de 900 colegios profesionales y más de 1.300.000 profesionales liberales), en cuyo marco se han llevado a cabo diversos talleres. Se han desarrollado también sesiones con asesores digitales en colaboración con Red.es, con la Cámara de Comercio de España y encuentros con los sectores del gran consumo, turismo, energía, publicidad, gas y telecomunicaciones. También, en el sector de la banca, se ha trabajado con sus asociaciones más representativas, CECA y AEB.
– Complementariamente, se ha desplegado una amplia estrategia de difusión en medios mediante videos publicitarios y contenido informativo en noticias, artículos y entrevistas. En primer lugar, en el espacio ‘Protegemos tu privacidad’ de la AEPD y Radio 5 los ciudadanos pueden escuchar recomendaciones para conocer sus derechos y saber cómo ejercerlos, así como consejos para facilitar el cumplimiento de la normativa a las organizaciones que tratan datos. Además de la emisión todos los domingos a las 12.05 h, están disponibles en la web de Radio 5. Por otro lado, para informar sobre el cambio normativo y la difusión de estas herramientas, la Agencia realizó en 2018 varias campañas divulgativas en televisión para difundir los derechos de los ciudadanos y las obligaciones para quienes tratan datos con la colaboración de la CNMC, que declaró la campaña como exenta de cómputo publicitario. Las campañas fueron difundidas por A3media, Mediaset, RTVE y algunos canales de la FORTA. Fruto de estos acuerdos, se emitieron los spots ‘¿Qué derechos tiene el ciudadano con la aplicación del RGPD?’ y ‘¿Qué obligaciones tienen que cumplir las empresas ante la aplicación del RGPD? ¿Cómo puede ayudarme la Agencia?’ en T5, Cuatro, FDF, Energy, Divinity y Be Mad, de Mediaset; A3, La Sexta, Nova, Neox, Mega y Atreseries, de A3media, así como en La 1 y La 2 de RTVE. Sólo en Mediaset, la campaña tuvo más de 155 millones de impactos. Asimismo, se han realizado numerosas entrevistas a medios generalistas y especializados, difundiendo también los mensajes en la cuenta de Twitter de la AEPD (@AEPD_es), en su canal en YouTube y a través de la web y blog de la Agencia.
AUTOEVALUACIÓN DE LA EFECTIVIDAD
Dado el impacto que ha tenido la implantación de estas soluciones prácticas, y teniendo en cuenta la finalidad que se buscaba cuando se diseñaron -esto es, desarrollar mecanismos sencillos y a la vez eficaces para la protección de los datos personales-, se puede concluir que su aplicación ha facilitado a las pymes y profesionales, en cuanto que responsables y encargados del tratamiento de datos personales, la adaptación a las novedades y requisitos establecidos en la nueva normativa de protección de datos. De este modo, las pymes que hayan hecho uso de ellas han podido realizar, de manera gratuita y sin gran dificultad, el diagnóstico de sus tratamientos, el análisis de los riesgos que implican y la verificación de si tienen establecidas las medidas indispensables de seguridad, además de otros requerimientos incluidos en la normativa.