La Agencia Española de Protección de Datos (AEPD) da el primer paso y publica un paquete de documentos compuesto por dos guías y unas directrices que se presentan como las pautas de actuación que han de seguir las pequeñas y medianas empresas para cumplir las previsiones del Reglamento General de Protección de Datos (RGPD).

El nuevo paquete de documentación publicado por la AEPD se dirige a las pymes con el objeto de que éstas conozcan el impacto que va a tener el Reglamento en la forma en la que tratan datos y en la adaptación de sus procesos a la nueva normativa, teniendo en cuenta el cambio en el modelo de cumplimiento que trae consigo la nueva norma así como la exigencia de un compromiso más activo. Ni que decir tiene que aunque el ámbito de aplicación objetivo sean las pymes, los tres documentos sirven igualmente de pauta a las consideradas grandes empresas.

La presentación de los tres documentos referenciados viene acompañada del anuncio por parte de la AEPD de las medidas sobre las que está trabajando: la creación de una sección concreta del RGPD en la web de la AEPD, la preparación de una herramienta de autoevaluación online para que las empresas puedan valorar de forma rápida y sencilla si realizan tratamientos de datos de alto o bajo riesgo, y el proyecto de la nueva Ley Orgánica de Protección de Datos.

Guía del Reglamento General de Protección de Datos para responsables del tratamiento. El primero de los textos se muestra como un documento abierto, no exhaustivo ni definitivo que incluye, por este orden, una serie de interpretaciones, propuestas y recomendaciones que de forma didáctica llevan al responsable y al encargado del tratamiento a poder identificar las medidas a adoptar. Como la propia AEPD señala, en algunos casos las recomendaciones o interpretaciones pueden ponerse en práctica de forma casi inmediata, sirva de ejemplo el modo o forma de obtención del consentimiento. En otros casos para la adopción de las medidas hay que esperar al momento en el que el RGPD sea de aplicación. 

Como si de un decálogo se tratara, en esta guía se incluyen cuestiones como las bases de legitimación para el tratamiento de datos, la transparencia en el deber de información, los derechos y procedimiento a seguir, la relación responsable-encargado, las medidas de responsabilidad activa, las transferencias internacionales de datos y el tratamiento de datos de menores. A modo de autoevaluación, los dos últimos puntos de la citada guía, bajo los epígrafes denominados «Lista de verificación» y «Lista de verificación simplificada» respectivamente, presentan un cuestionario para que el responsable y el encargado puedan valorar su situación en relación con el cumplimiento de las principales obligaciones del RGPD. Como curiosidad en relación con estos dos puntos, cabe señalar que la llamada «Lista de verificación» va dirigida a organizaciones y la «Lista de verificación simplificada» va dirigida a las pymes; circunstancia ésta que corrobora la previsión que señalábamos más arriba sobre el ámbito de aplicación de estos documentos.

Teniendo en cuenta el contenido de esta guía, parece que la labor de adaptación al RGPD pasaría por empezar por el final, esto es, dando respuesta a las cuestiones que se incluyen en la denominada «Lista de verificación».

Guía para el cumplimiento del deber de informar. En el segundo de los documentos publicados, mediante una exposición de recomendaciones y soluciones prácticas, la AEPD pretende guiar a las pymes en el cumplimiento del deber de información, que ha sido endurecido por el RGPD (artículos 13 y 14) mediante la introducción de nuevos requisitos de información al interesado. La AEPD, a imagen de lo propuesto por otras Autoridades de Protección de Datos, propone implementar un modelo de información «por capas» similar al ya propuesto para el cumplimiento del deber de información en materia de uso de cookies. De este modo, en una primera capa se ofrecería al interesado determinada información básica o resumida en forma de tabla sinóptica (similar a la de la información nutricional en los alimentos) sobre aquellos epígrafes más importantes (responsable del tratamiento, finalidad, legitimación, destinatarios y derechos). Dicha capa remitiría a una segunda capa de información adicional en la que se ofrecería con todo detalle la información requerida por el RGPD.

De este modo, las tradicionales políticas de privacidad podrían no ser suficientes para el cumplimiento de los requisitos del RGPD, exigiendo una revisión de sus contenidos y un ejercicio de síntesis que permita su comprensión rápida y clara por los interesados.

Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. El RGPD establece la obligación de regular en un contrato (acuerdo de encargo del tratamiento) las relaciones entre el responsable y el encargado del tratamiento. Las directrices publicadas por la AEPD establecen el contenido mínimo que deben incluir dichos contratos para cumplir con los requisitos establecidos en el RGPD. Entre otras novedades, el RGPD exige que en dichos contratos se establezca de forma clara si corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados o bien si su única obligación consiste en comunicar al responsable que se ha ejercido dicho derecho. El RGPD exige además que las partes definan en el contrato el destino final de los datos. El contrato debe por tanto indicar si una vez finalizada la prestación de los servicios de tratamiento, el encargado tiene que proceder a la supresión o a la devolución de los datos, así como la forma y el plazo en que debe cumplirse dicha obligación. No es posible por tanto, contemplar ambas opciones en el contrato dejando la elección de una u otra para un momento posterior. Las directrices incluyen como Anexo un ejemplo de cláusulas contractuales para supuestos en los que el encargado del tratamiento trate los datos en sus locales y exclusivamente con sus sistemas. Asimismo, dichas directrices ofrecen respuesta a diez cuestiones básicas sobre la regulación de la figura del encargado de tratamiento, la relación de éste con el responsable del tratamiento y el ámbito de aplicación del RGPD. Es importante destacar que el RGPD resultará de aplicación no solo al tratamiento de datos realizado por un encargado establecido en la Unión Europea, sino también, en determinadas ocasiones, al tratamiento realizado por un encargado no establecido en la Unión.

Corresponde por tanto a las pymes llevar a cabo, lo antes posible, una labor de identificación de los encargados de tratamiento que actualmente acceden a sus datos personales y una revisión de los actuales contratos/cláusulas de acceso a datos suscritos con los mismos con el fin de comprobar si dichos contratos cumplen con lo establecido en las referidas directrices. Asimismo, resulta aconsejable que las pymes creen un nuevo modelo de acuerdo de acceso a datos que incluya el contenido mínimo exigido.