Mar España Martí es la directora de la Agencia Española de Protección de Datos (AEPD) desde julio de 2015. Licenciada en Derecho por la Universidad Pontificia de Comillas, es funcionaria de carrera del Cuerpo Superior de Administraciones Civiles del Estado en la especialidad jurídica desde 1989. Tiene un máster de la Universidad de Alcalá en Protección Internacional de los Derechos Humanos, un máster sobre Mindfulness en contextos de salud e investigación y es experta en gestión en entidades sin ánimo de lucro. A lo largo de su carrera profesional ha trabajado en diferentes instituciones como el Defensor del Pueblo, el Instituto de la Mujer o la Junta de Comunidades de Castilla-La Mancha. Ha participado como profesora en másteres en la Universidad de Alcalá, la Universidad Rey Juan Carlos y el ICADE. También ha sido ponente en diversas jornadas nacionales e internacionales relacionadas con los derechos humanos y las nuevas tecnologías.
1. ¿Qué funciones tiene Agencia Española de Protección de Datos (AEPD)? ¿Cuáles son las principales responsabilidades y funciones de la AEPD?
La Agencia Española de Protección de Datos es una autoridad pública independiente que está encargada de velar por el cumplimiento de la normativa de protección de datos. Resulta difícil entrar en el detalle de todas las funciones que realizamos pero podríamos decir que se dividen en dos grandes grupos: el acompañamiento y apoyo tanto a los ciudadanos como a los responsables que tratan datos y la actuación sancionadora cuando se detectan incumplimientos que tienen un impacto sobre los derechos de las personas. En paralelo, también tenemos un papel muy destacado en el plano internacional, tanto a través del Comité Europeo como de la Red Iberoamericana de Protección de Datos.
Por otro lado, las iniciativas que llevamos a cabo en la Agencia son de índole muy diversa, desarrollando guías, recomendaciones, herramientas, informes y acciones divulgativas, trabajando de forma estrecha con todos los sectores para promover que el cumplimiento de la normativa sea proactivo. En la Agencia estamos convencidos de que la privacidad es un factor de competitividad, y de que el desarrollo tecnológico sólo puede considerarse un avance cuando se aborda desde el respeto al derecho a los derechos fundamentales de las personas.
2. Este año, la Agencia cumplirá su 30º aniversario. ¿Cómo ha evolucionado su labor? (se fundó en 1993)
La cantidad de trabajo ha evolucionado extraordinariamente, tanto en cantidad como en complejidad, en paralelo a cómo ha evolucionado la sociedad. La Agencia tiene la obligación de acompañar al ciudadano en su transformación digital y, a la vez, protegerle para que esta misma evolución no impacte negativamente en sus derechos fundamentales. Estamos en una sociedad digital en la que, con gran facilidad y bajo coste, se almacenan, intercambian y utilizan grandes volúmenes de información sobre la vida de las personas. El modelo de negocio de buena parte de los servicios que han proliferado en Internet está basado en la monetización de la información personal de los usuarios. Esta revolución se refleja en que la Agencia ha pasado de gestionar unas decenas de denuncias a proteger a las personas en un mundo hiperconectado en el que destacan los tratamientos complejos y en el que la utilización de sus datos personales no siempre es tan transparente como debiera.
Esta revolución se refleja en que la Agencia ha pasado de gestionar unas decenas de denuncias a proteger a las personas en un mundo hiperconectado en el que destacan los tratamientos complejos y en el que la utilización de sus datos personales no siempre es tan transparente como debiera.
3. ¿Cuáles son los principales retos a los que se enfrenta hoy en día la sociedad en materia de protección de datos? ¿Cuáles son las principales amenazas que enfrenta actualmente?
Los principales retos están relacionados con una sociedad digital en la que se intercambian grandes volúmenes de información que es analizada y utilizada para múltiples fines, así como las nuevas tecnologías que están proliferando, como la inteligencia artificial. La Agencia considera que es plenamente legítimo promover una mayor disponibilidad y accesibilidad a los datos para usos que contribuyan a ofrecer a los ciudadanos mejores productos y servicios, pero esa intensificación del uso de datos personales debe hacerse desde el pleno respeto a los derechos de las personas y, sobre todo, desde la no discriminación. En este sentido, la Agencia trabaja en varios planos, tanto en el normativo como en el de ayudar a las organizaciones a cumplir con sus obligaciones, como actuando con su potestad sancionadora cuando se vulneran los derechos de los ciudadanos.
La Agencia trabaja en varios planos, tanto en el normativo como en el de ayudar a las organizaciones a cumplir con sus obligaciones, como actuando con su potestad sancionadora cuando se vulneran los derechos de los ciudadanos.
Por otro lado, como sociedad nos enfrentamos a cambios tecnológicos constantemente. Esta evolución permite mejorar la calidad de vida pero también supone retos en materia de privacidad. Los principales perjudicados por un uso inadecuado de Internet son los colectivos vulnerables y, en especial, los y las menores. Por este motivo, desde la AEPD se realizan grandes esfuerzos para elaborar y difundir materiales que permitan educar en un uso responsable de la tecnología, ya que una mala utilización de esta puede llegar a tener consecuencias graves, en especial cuando se publican en Internet contenidos sexuales y/o violentos, algo que suele afectar de forma mayoritaria a mujeres y a niñas, y también a los y las jóvenes en casos de sexting o ciberbullying. En la Agencia lanzamos en 2019 el Canal prioritario, una iniciativa pionera a nivel mundial que permite solicitar la retirada urgente de contenidos sexuales o violentos publicados en internet sin el consentimiento de las personas que aparecen ellos. También apoyamos la propuesta de Pacto de Estado ‘Protegiendo a la infancia y adolescencia en el entorno digital’, promovida por las principales ONGs del país y hemos impulsado el Grupo de Trabajo de Adicción a las Tecnologías y otro grupo que trabaja en la definición de medidas y acciones para verificar la edad de acceso a páginas web de contenidos pornográficos, que incluyan violencia explícita o de juegos online, para proteger a los menores.
Desde la AEPD se realizan grandes esfuerzos para elaborar y difundir materiales que permitan educar en un uso responsable de la tecnología, ya que una mala utilización de esta puede llegar a tener consecuencias graves
4. ¿Cree que la sociedad está suficientemente concienciada sobre la importancia de la protección de datos y ciberseguridad? ? ¿ y la empresa está suficientemente concienciada en cuanto a la protección de datos?
En los últimos años ha cambiado la visión de la importancia que tienen los datos personales. Por un lado, los ciudadanos son más conscientes de su privacidad y de los derechos que les asisten y también hay un mayor conocimiento de la normativa entre las organizaciones, lo que es altamente positivo.
Los ciudadanos son más conscientes de su privacidad y de los derechos que les asisten y también hay un mayor conocimiento de la normativa entre las organizaciones, lo que es altamente positivo.
Según datos del CIS, al 76% de los españoles le preocupa mucho o bastante la protección de sus datos personales. En consecuencia, es necesario cambiar el enfoque y abordar la protección de datos como una apuesta de presente y, sobre todo, de futuro. Contar con productos o servicios que cumplan con la protección de datos es una condición indispensable para el avance de economía digital. Somos conscientes de que la Agencia ha sido tradicionalmente conocida por su potestad sancionadora ante incumplimientos. Nuestra misión es velar para que se cumpla la legislación de protección de datos y protegemos a las personas en un mundo cada vez más digitalizado, pero también somos conscientes de que hay que ofrecer a aquellos que tratan datos, sobre todo a las pymes que son las que tienen menos recursos, las mejores guías, herramientas y asesoramiento del que somos capaces. Se dice que protegemos los datos pero, en realidad, lo que hacemos es proteger a las personas ante un uso inadecuado de su información personal. Por ello las iniciativas que hemos realizado en los últimos años han sido de muy diversa índole, y hemos llevado a cabo guías, recomendaciones, herramientas, informes y acciones divulgativas, trabajando de forma estrecha con todos los sectores, desde autónomos y pymes a grandes empresas, para promover que el cumplimiento de la normativa sea proactivo y trabajando también especialmente con los delegados de protección de datos. Creo que en los últimos años se ha avanzado mucho en el conocimiento de la normativa de protección de datos y de lo que supone. Las pymes de nuestro país deben saber que en la Agencia también trabajamos para ayudarles con el cumplimiento de la normativa y los ciudadanos que trabajamos para protegerles.
En los últimos años se ha avanzado mucho en el conocimiento de la normativa de protección de datos y de lo que supone
5. ¿Cuáles son algunas de las principales herramientas utilizadas por la AEPD para garantizar el cumplimiento de la normativa?
En la Agencia hemos realizado una importante labor de acompañamiento a los responsables y, sobre todo, a las pymes, que son las que tienen menos recursos para el cumplimiento de la normativa. Por ello hemos lanzado más de cien guías, orientaciones, infografías, notas técnicas y herramientas para ayudar a las empresas y organizaciones a cumplir con la normativa de Protección de Datos tanto en aspectos generales, como específicos en sectores de actividad o tecnologías. Entre las herramientas destaca FACILITA, con más de un millón de descargas y recomendada para tratamientos de datos personales de escaso nivel de riesgo; Facilita EMPRENDE, para ayudar a las personas emprendedoras y startups tecnológicas a cumplir con la normativa de protección de datos; la herramienta Gestiona RGPD, que acabamos de actualizar y que, orientada especialmente a pequeñas entidades públicas o privadas, permite gestionar los tratamientos, realizar la gestión de riesgos y, en su caso, dar soporte para la realización de las evaluaciones de impacto. En cuanto a brechas de datos personales, también hemos lanzado las herramientas Comunica-Brecha RGPD, para obtener una valoración que le asista en la toma de decisiones sobre la obligación de comunicar a las personas afectadas por una brecha de seguridad de los datos personales y Asesora Brecha, para valorar la obligación de notificar una brecha de datos personales sin dilación indebida a la autoridad de control. Además, en la sección de publicaciones de la Agencia hay más de 100 guías, generales y sectoriales, que ayudan al cumplimiento de la normativa, dando criterios y soluciones prácticas.
Por otro lado, la Agencia dispone de un proyecto llamado Pacto Digital para la Protección de las Personas, que lanzamos con el respaldo de las principales organizaciones empresariales, fundaciones, asociaciones de medios y grupos audiovisuales y que está abierto a la adhesión de cualquier organización, promoviendo un gran acuerdo por la convivencia ciudadana en el ámbito digital, compatibilizando la protección de datos con la innovación, la ética y la competitividad empresarial. El objetivo es fomentar el compromiso con la privacidad en los modelos de negocio de empresas y organizaciones, y contribuir a concienciar a la ciudadanía, y en especial a las personas menores, de las consecuencias de difundir contenidos sensibles en Internet. La adhesión al Pacto, que ya cuenta con más 400 organizaciones, no supone obligaciones adicionales a las recogidas en la normativa, pero sí supone impulsar la transparencia para que la ciudadanía conozca qué datos se están recabando y para qué se emplean, promover la igualdad de género y la protección de la infancia y las personas en situación de vulnerabilidad, o promover la innovación garantizando que las nuevas tecnologías eviten perpetuar sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión o sexo, entre otras.
El objetivo es fomentar el compromiso con la privacidad en los modelos de negocio de empresas y organizaciones, y contribuir a concienciar a la ciudadanía, y en especial a las personas menores, de las consecuencias de difundir contenidos sensibles en Internet.
6. ¿Cuáles son las principales directrices que debe seguir una organización para cumplir con las regulaciones de la AEPD? ¿Qué medidas ha adoptado la AEPD para combatir el uso ilegal de datos personales?
En España, como normas principales, se aplica el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de datos y garantía de los derechos digitales. Pero no hay que olvidar que la normativa de protección de datos se extiende en normativa sectorial y especial tanto a nivel europeo como nacional.
El Reglamento Europeo de Protección de Datos (RGPD) es una norma novedosa, aunque ya hace cinco años que es aplicable, que apuesta por el principio de responsabilidad activa, que se aplica tanto a estas empresas como a todas aquellas que tratan datos personales. Son las organizaciones, como responsables, las que deben evaluar sus procesos y los tratamientos de datos personales que llevan a cabo, adecuándolos a la normativa.
El Reglamento supuso la aparición de la figura del delegado de protección de datos, que ha tenido un impacto positivo. En primer lugar, para los propios responsables, que disponen de una figura de asesoramiento para cumplir con la normativa. Pero también para los ciudadanos, porque el hecho de que exista esta figura les permite poder dirigirse a la entidad para ejercer sus derechos y que haya una persona especializada en atenderlos. La normativa de protección de datos detalla la posición y funciones de los DPD, entre las que se encuentra informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que establece el RGPD y supervisar su cumplimiento, ejerciendo sus funciones de manera independiente, además de actuar como punto de contacto con la Agencia Española de Protección de Datos. Además, la Agencia dispone en su web de un registro público de DPD abierto y gratuito, que permite que cualquier ciudadano pueda conocer el contacto del delegado de protección de datos para obtener más información sobre el tratamiento de sus datos personales, ejercitar sus derechos o presentar una reclamación.
En todo caso hay que tener en cuenta que no todas las entidades organismos y empresas están obligadas a contar con un delegado de Protección de Datos. Contar con un delegado de protección de datos (DPD) es obligatorio para organismos públicos, así como para entidades que hagan tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos y, en todo caso, cuando se trate de las entidades incluidas en el artículo 34.1 de la Ley Orgánica 3/2018.
Pese a lo que pueda pensarse en ocasiones, la apertura de procedimientos sancionadores contra empresas infractoras no es el cauce más común de resolución de reclamaciones. De hecho, la búsqueda de soluciones en fases tempranas es mucho más frecuente, especialmente por medio del trámite del traslado de la reclamación al responsable o encargado. En este sentido, hay que mencionar que casi un 80% de las reclamaciones se resuelven tras haberse trasladado al responsable.
En este sentido, hay que mencionar que casi un 80% de las reclamaciones se resuelven tras haberse trasladado al responsable.
7. ¿Cuáles son algunas de las sanciones previstas por la AEPD para el incumplimiento de la normativa de protección de datos?
Según el portal www.enforcementtracker.com, en 2022 la AEPD ha declarado el 40% de las multas impuestas en el Espacio Económico Europeo pero ese importe total sólo representa en cuantía económica el 2,5% del importe total de sanciones declaradas en el Espacio Económico Europeo.
Ello se debe, por un lado, al mecanismo de ventanilla única, que hace que toda empresa se relacione únicamente con la autoridad del país de la UE donde radique su sede principal, y que las grandes empresas tecnológicas que más facturan estén radicadas en Irlanda y Luxemburgo. Así, las autoridades de estos países imponen unos importes acumulados de varios miles de millones de euros a las grandes tecnológicas con un número de procedimientos relativamente reducido.
Por otro lado, en la AEPD imponemos sanciones, pero con importes muy inferiores a los que mencionaba antes, básicamente porque son contra empresas cuya facturación es muchísimo menor que la facturación de las grandes tecnológicas. Además, recibimos muchas denuncias, con tendencia claramente al alza año tras año. Esto refleja, por un lado, el interés creciente del ciudadano español por su privacidad y por otro el gran esfuerzo que los funcionarios de la AEPD realizan cada día por atender este volumen creciente de reclamaciones.
8. ¿Cuáles son las sanciones más comunes impuestas por la AEPD? ¿Cuántas denuncias reciben al año? ¿Y las sanciones, son muy elevadas? ¿Cuál ha sido la multa más alta que ha puesto la agencia?
La Agencia recibió 15.128 reclamaciones en 2022, lo que supone un aumento de un 9% respecto a 2021 y un 47% respecto a 2020. Si se incluyen los casos transfronterizos procedentes de otras autoridades de control europeas y los casos en los que la Agencia actúa por iniciativa propia, la cifra se acerca a las 14.000. Este creciente número de reclamaciones no es algo puntual ya que, en el primer semestre de 2023, la tendencia del número de reclamaciones y denuncias registradas, con respecto al mismo período del pasado año, ha seguido aumentando. En lo que llevamos de año, ya se ha producido un incremento del 39% y un 83% más que en 2020, lo que supone una carga de trabajo sin precedentes para el personal de la Agencia.
Hay que mencionar que, aunque se suele poner el foco en las sanciones con imposición de multa, la principal vía de resolución de reclamaciones pasa por el traslado de la reclamación que la Agencia realiza al responsable o encargado del tratamiento, que debe analizarla y proporcionarnos una respuesta. Este mecanismo de traslado permite la resolución rápida de las reclamaciones y, con carácter general, los ciudadanos obtienen una respuesta a su reclamación en una media de 82 días. En las cifras relacionadas con estos traslados, se puede destacar que solo el 11% de las resoluciones llegan a procedimiento sancionador, frente al 79% que se producen tras el traslado de la reclamación.
En 2022 la Agencia realizó 378 resoluciones que finalizaron con imposición de multa. Las seis áreas de actividad con mayor importe global de multas fueron, por este orden: servicios de Internet, publicidad -excepto spam-, asuntos laborales, brechas de datos personales, contratación fraudulenta y telecomunicaciones. Estas seis áreas suponen el 87% del importe global de sanciones.
Las seis áreas de actividad con mayor importe global de multas fueron, por este orden: servicios de Internet, publicidad -excepto spam-, asuntos laborales, brechas de datos personales, contratación fraudulenta y telecomunicaciones. Estas seis áreas suponen el 87% del importe global de sanciones.
Las sanciones superiores al millón de euros en 2022 se impusieron a Google LLC (10.000.000 €) por infracciones de los artículos 6.1 y 17 del RGPD; Caixabank (2.100.000 €) por infracciones de los artículos 6.1 y 7 del RGPD y Amazon Road Transport Spain (2.000.000 €) por infracciones de los artículos 6.1 y 10 del RGPD.
Deja tu comentario