Anàlisi de la instrucció 1/2021 de l'agència espanyola de protecció de dades sobre la funció consultiva de l'agència - Novembre 2021

Anàlisi de la instrucció 1/2021 de l'agència espanyola de protecció de dades sobre la funció consultiva de l'agència - Novembre 2021

Anàlisi de la instrucció 1/2021 de l'agència espanyola de protecció de dades sobre la funció consultiva de l'agència

El passat 5 de novembre del 2021, l’Agència Espanyola de Protecció de Dades (AEPD) va emetre una instrucció per adaptar les facultats consultives que desenvolupa, als preceptes del Reglament general de protecció de dades (RGPD), la Llei Orgànica de protecció de dades personals i garantia dels drets digitals (LOPD) i l’Estatut de l’AEPD aprovat pel Real Decret 389/2021 (Estatut). 

 

Cinc anys després de l’entrada en vigor del RGPD, l’AEPD, a través d’aquesta Instrucció, pretén dotar de certesa jurídica als subjectes obligats posant fi a la fase transitòria del RGPD i definint clarament quines son les facultats consultives, en matèria de protecció de dades personals, que ha de dur a terme vers el Parlament, el Govern i les Administracions Públiques; els ciutadans a l’hora d’exercir els seus drets; els Delegats de Protecció de Dades (DPD) i també en els supòsits d’operacions de tractament d’alt risc i en les activitats de sensibilització i informació. 

 

Per donar resposta a aquestes conjuntures, l’AEPD aprova la citada Instrucció que es desenvolupa en cinc capítols que es fonamenten, principalment, en els següents elements: 

 

El primer element d’adaptació es focalitza en cenyir l’activitat de l’AEPD únicament a les funcions específiques previstes per a les autoritats de control de protecció de dades en l’article 57 del RGPD, desmarcant-se, així, del principi de responsabilitat proactiva al qual han de respondre els responsables del tractament. D’aquesta forma, l’AEPD pretén realçar el seu caràcter de supervisió i evitar que se li atribueixin funcions d’assessorament o consulta, no previstes pel RGPD i les quals han de ser realitzades pels advocats, assessors i/o delegats de protecció de dades. Aquesta distinció marcada de funcions es fa amb l’objectiu de reforçar el caràcter independent i imparcial que ha de singularitzar una autoritat de control. 

 

És per això, i en la línia de l’anterior, que l’AEPD deixa els assessoraments jurídics personalitzats i individualitzats als responsables i encarregats del tractament, llevat que es tracti de qüestions que no es puguin resoldre amb els materials i/o criteris emesos per l’AEPD i que tenen a l’abast els mencionats subjectes. 

 

Així doncs, l’activitat consultiva de l’AEPD queda supeditada, únicament, a les següents estipulacions establertes pel RGPD: (i) funcions consultives relacionades amb l’activitat legislativa i/o reglamentària; (ii) funcions informatives dirigides a persones interessades o ciutadans quan ho sol·liciten a l’efecte de l’exercici dels seus drets en matèria de protecció de dades personals; (iii) funcions informatives als delegats de protecció de dades. S’afegeix, al llistat, la funció de consulta específica prevista a l’article 36 del RGPD, quan els resultats d’una avaluació d’impacte indiquin tractaments d’alt risc pels drets i llibertats dels interessats i quan el responsable del tractament no hagi pogut mitigar-los o evitar-los. 

 

En segon lloc, es materialitza la funció prevista per l’article 55 de la LOPD, el qual atorga a la Presidència de l’AEPD, la facultat de dictar, amb caràcter prioritari, circulars que fixen criteris obligatoris d’interpretació de la normativa de protecció de dades personals un cop hagin estat publicats al Butlletí Oficial de l’Estat. 

 

Per acabar, la Instrucció també ressalta la importància de continuar realitzant activitats d’informació i sensibilització que facilitin i ajudin a complir amb l’RGPD, l’LOPD i altres normatives en matèria de protecció de dades, adoptant plans d’acció biennals dirigits especialment per promoure la sensibilització dels responsables i encarregats del tractament. 

 

Amb aquesta Instrucció, es manifesta la voluntat d’enfortir el caràcter independent i imparcial de l’AEPD, en el seu rol d’Agència supervisora i sancionadora, prenent aquestes funcions encara major rellevància respecte de la funció consultiva. 

 

El Reglament General de Protecció de Dades basa l’adopció de les mesures de seguretat adequades en base a l’enfocament del risc. Això implica la necessària avaluació pels propis responsables i encarregats del tractament dels riscos que les seves activitats de tractament presenten pels drets, llibertats i interessos legítims de les persones interessades. Així doncs, totes aquestes actuacions, pròpies de l’aplicació del principi de responsabilitat, proactiva s’hauran de veure degudament reflectides en un informe cada cop que una entitat necessiti formular una consulta a l’AEPD, havent de fer-ho sempre a través del seu DPD. 

 

Malgrat això, l’AEPD ja adverteix i puntualitza determinades qüestions que els DPD no poden plantejar com a objecte de consulta, com ara: els tractaments hipotètics, la validació d’actuacions o documents en matèria de protecció de dades elaborades pel responsable o l’encarregat i l’accés a la informació pública, entre altres. 

 

Precisament, al llarg de la Instrucció i de forma reiterada, l’AEPD deixa clar que la responsabilitat de la valoració dinàmica dels riscos derivats de les activitats desenvolupades recau als DPD, despatxos d’advocats i/o consultors, als quals considera experts en la matèria i a qui pertoca, a parer de l’AEPD, interpretar la llei i assessorar les respectives entitats. D’aquesta manera, l’AEPD es desmarca de l’acció consultiva i examinadora de riscos, i avantposa els seus poders correctius, sancionadors i d’autorització. 

 

Podeu trobar la Instrucció completa al Butlletí Oficial de l’Estat a través del següent enllaç: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134.