Resposta de l’APEP a la consulta pública per a l’adaptació del RGPD a Espanya.

A gairebé un any que el nou Reglament (UE) 2016/679, del 27 d’abril del 2016, relatiu a la protecció de dades personals (“Reglament General de Protecció de Dades” o “RGPD”) comenci a ser aplicable per a tots els Estats membres de la Unió Europea, el passat 7 de febrer del 2017 el Ministeri de Justícia va obrir el tràmit de consulta pública.

La APEP (Associació Professional Espanyola de Privacitat) ha emès un comunicat reflectint algunes valoracions com a resposta a aquesta consulta.

1. Preliminars: Reflexió sobre l’imprescindible participació de l’APEP com a organització representativa dels professionals de la privacitat. que són els que estan en la primera línia d’aplicació pràctica de les normes de protecció de dades. És imprescindible que el centre directiu competent posi els mitjans per garantir una participació efectiva dels actors implicats.

2. No fragmentar el mercat interior: La iniciativa ha de ser conscient que s’ha aprovat un Reglament i no una directiva, pel que la seva intenció no és fomentar iniciatives nacionals que fragmentin el mercat interior a la UE.

3. Flexibilitat: En contraposició d’una llei orgànica que comporta una estabilitat i unes majories d’aprovació, la normativa aporta una flexibilitat per poder adaptar-se a l’evolució de les tecnologies.

4. Derogació normativa nacional: La iniciativa ha de derogar expressament les lleis i normes que siguin contràries al nou RGPD. No obstant això també s’han d’identificar quines previsions han estat útils i com poden encaixar sense distorsionar el mercat interior:

• Dades professionals i consentiment tàcit: Alguns aspectes requereixen d’un nou encaix amb el RGPD que es podrien reconduir amb el reconeixement d’un interès legítim.
• Procediment sancionador: la iniciativa hauria de recollir períodes de prescripció per a les sancions.
• Fonts accessibles al públic: la utilització de dades públiques ha de re-examinar i valorar de quina manera s’utilitza Internet avui en dia.
• Fitxers especials de màrqueting i solvència: Cal regular de manera específica aquests aspectes però evitant repetir restriccions innecessàries de la LOPD que no convé seguir perpetuant.
• Mesures de seguretat: La desaparició de les mesures de seguretat a aplicar pot generar una considerable inseguretat en bona part dels que han de aplicar-les. La iniciativa hauria de preservar el valor de comptar amb uns mínims de seguretat, sense un únic estàndard possible, per evitar fragmentar el mercat interior.
• Sector públic: no té sentit conservar dos règims diferents pel sector públic i privat com va succeir amb les LORTAD i la LOPD. És necessària una interrelació entre ambdós sectors.

5. Posada en valor dels professionals de la privacitat:

1. DPD: Tot i la importància que recau sobre aquesta nova figura, el RGPD no deixa clars un seguit d’aspectes, com són l’encaix del DPD al sector públic i les característiques de les certificacions que han de reunir com a professionals.
2. Consell Assessor de l’AEPD: S’ha de modificar l’estatut de l’AEPD i reconèixer, dins del seu Consell Assessor, a associacions representatives del col·lectiu de professionals de la privacitat.
3. Altres instàncies d’intervenció de les associacions de professionals de la intervenció: Donat el paper essencial del DPD, serà necessari comptar amb la seva participació en l’elaboració de normes, models o guies en matèria de protecció de dades que produeixin les autoritats de control o altres institucions del govern.
4. Buits del RGPD que han o poden completar-se amb legislació de l’Estat membre. En alguns aspectes, el RGPD requereix ser aplicat a la legislació de l’Estat membre. En altres, el RGPD permet als Estats membres legislar sobre la matèria.
5. Encaixar amb altres normes.