Un año más, como cada 28 de Enero, se celebra el Día Europeo de la Protección de Datos y desde Symbiosis Consultores consideramos que es un buen momento para hacer balance de las principales novedades del pasado año y también de lo que presumiblemente se avecina en este nuevo año (que tiene pinta de ser muy movidito en cuanto a protección de datos se refiere).
2021 avanzando en Transferencias Internacionales de Datos, Gestión del Riesgo y Relaciones Laborales
El año 2021 trajo consigo una continuación del anterior año en cuanto a la situación pandémica y el tratamiento de los datos en la era COVID así como la preocupación por las consecuencias de la Sentencia Schrems II que traía consigo la ilegalidad de Privacy Shield (todo esto os lo contamos hace un año ?) y la potenciación de las Cláusulas Contractuales Tipo (CCTs).
En este sentido, recordad que en Junio de 2021 el EDPB publicó el documento de Recomendaciones 01/2020 de medidas complementarias para llevar a cabo transferencias internacionales de datos y que requieren una lectura detallada y un análisis en cada organización de las transferencias internacionales que realiza y, en cada caso, de un análisis del impacto de estas transferencias internacionales de datos personales (Transfer Impact Assessment). En definitiva, debemos analizar el cumplimiento de las garantías adecuadas que se nos indican y que no hay razones para pensar que la normativa de ese estado al que estamos exportando los datos puede amparar accesos a datos personales de los residentes en la Unión Europea.
Igualmente, durante el 2021 se siguieron dando recomendaciones y medias de actuación relacionadas con la nueva forma de relacionarnos durante la pandemia donde se aumento el teletrabajo y siguieron creciendo sustancialmente las reuniones online. En este ámbito, muchas empresas han pasado a adoptar sistemas cloud para el desempeño de su trabajo y también herramientas de videoconferencia de uno u otro tipo que deberían haber sido bien analizadas en cuanto a cumplimiento y para las que se deberían dar unas pautas claras de uso a los empleados de nuestra organización.
A nivel de publicaciones de la AEPD, caben destacar varias Guías que debemos conocer todos si bien, consideramos de vital importancia para su revisión la publicada sobre “Gestión del riesgo y evaluación de impacto en tratamiento de datos personales” (descarga aquí) y la de “Protección de datos en las relaciones laborales” (descarga aquí).
Adicionalmente, no podemos olvidar que durante el año 2021 hablamos mucho de pasaportes COVID, su legalidad y sus posibles usos y también se publicó (al fin) la Ley Orgánica 7/2021, de 26 de Mayo, de protección de datos con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que fue publicada en base a la Directiva (UE) 2016/680.
Cabe destacar que durante el pasado año se ha detectado un repunte importante de las sanciones por incumplimiento del RGPD a nivel europeo, habiéndose superado la barrera de 1000 millones de euros. Esto supone un aumento del 521% en comparación con las sanciones impuestas en el 2020. En este sentido caben destacar las altas sanciones impuestas a gigantes tecnológicos como Amazon (sanción de 746 millones) o WhatsApp (sanción de 225 millones).
Un año 2022 con muchas sorpresas en materia de protección de datos
Nada más empezar el año ya hemos tenido novedades importantes en materia de protección de datos y que posiblemente afectan a la mayoría de las empresas. Una de las más relevante ha sido la relacionada con Google Analytics tras las resoluciones publicadas por el Supervisor Europeo de Protección de Datos (EDPS) y la Autoridad de Protección de Datos Austriaca que su uso sin salvaguardas adecuadas constituye una transferencia internacional ilícita. Cabe destacar la sanción de EDPS al propio Parlamento Europeo por el uso de Google Analytics y del proveedor de pagos Stripe en su sitio web de pruebas COVID a raíz de la denuncia presentada por NOYB (puede descargarse la resolución aquí).
Como no podría ser de otra manera, tanto Google como muchas de las empresas que utilizan Analytics se han puesto bastante nerviosos y nos encontramos en un momento de búsqueda de soluciones alternativas y a la espera de respuesta de la AEPD relacionadas con este hecho. Habrá que estar atentos y, sobre todo, analizar cada caso pormenorizadamente.
Algunas otras novedades interesantes que nos ha traído este mes de Enero que estamos a punto de terminar vienen en relación a Guidelines, sentencias y publicaciones como la Guidelines 01/2021 publicada por EDPB en relación a ejemplos relacionados con la publicación de brechas de seguridad o la resolución de la APDCat en la que se sanciona a un Ayuntamiento por la creación de un grupo de WhatsApp aun habiéndose obtenido el consentimiento previo de los interesados y haberlos informado antes de añadirlos al mismo (Resolución aquí). La razón de la sanción ha sido por la exposición de los datos de los integrantes no teniéndose en cuenta la protección de datos desde el diseño y no implementándose las medidas técnicas y organizativas necesarias para garantizar la confidencialidad de los integrantes.
Por último, no queríamos terminar este post sin recordar la reciente publicación de la nueva Estrategia de Seguridad Nacional el pasado 28 de Diciembre que conlleva importantes novedades (que darían para otro post exclusivo) y que, a lo largo de este año 2022, se llevará a cabo la publicación de la nueva versión del Esquema Nacional de Seguridad (del que ya existe un borrador) y también de la Norma ISO 27001 las cuáles traerán consigo importantes novedades.
Sin duda, un año 2022 que nos traerá muchas sorpresas y al que tendremos que estar muy atentos en cuanto a las publicaciones tanto del EDPB como del resto de Agencias de Protección de Datos Nacionales (especialmente la AEPD) dado que el mundo de la protección de datos está en continuo movimiento y actualización ?
Feliz Día Europeo de la Protección de Datos. Manteneros actualizados y no dejéis de supervisar vuestro cumplimiento para no llevaros sorpresas ?
