La Agencia Española de Protección de Datos publica su Memoria de Actividades correspondiente al año 2021
Por María Luisa González Tapia
La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado lunes, 21 de marzo, su Memoria Anual del año 2021 (la “Memoria”). En ella, se analizan las decisiones y actuaciones de mayor relevancia de nuestra autoridad de control, así como las tendencias y retos de la privacidad a corto y medio plazo.
Entre las cuestiones con mayor utilidad práctica del documento, debemos destacar las siguientes las siguientes:
1º. Los resúmenes de informes jurídicos emitidos como resultado de las consultas efectuadas por Administraciones Públicas y entidades privadas (apartado 3.2.1).
2º. El listado informes preceptivos analizando proyectos de normas que regulan aspectos muy variados (apartado 3.2.2). En este caso, no se facilita un resumen de los mismos por su carácter técnico y extensión, pero el texto completo puede consultarse en la sección correspondiente de la página web de la AEPD.
A modo de ejemplo indicaremos que, durante el año pasado, la AEPD elaboró informes, entre otras futuras normas, sobre las siguientes: el Proyecto de Real Decreto por el que se regulan los productos sanitarios; el Proyecto de Real Decreto que regula la organización y funcionamiento de los registros nacionales en materia de reproducción humana asistida; el Anteproyecto de Ley General de Telecomunicaciones; el Anteproyecto de Ley General de comunicación audiovisual, y el Anteproyecto de Ley por la que se modifica la Ley 13/2011, de 27 de mayo, de regulación del juego.
3º. El análisis de las sentencias de la Audiencia Nacional que resuelven recursos contencioso-administrativos presentados frente a resoluciones de la AEPD. Según se explica, el 60% de las resoluciones de esta autoridad quedaron plenamente confirmadas por inadmisión total del recurso.
Siendo todas las sentencias de la Audiencia Nacional de gran interés, nos parece relevante comentar las que resuelven distintos recursos relacionados con la aportación de pruebas que contienen datos personales en procedimientos judiciales. En este sentido, tal y como se expone en la Memoria:
“En cuanto a la aportación de datos personales a procesos judiciales las Sentencias de 5 de febrero de 2021, Recurso 1045/2019, de 5 de marzo de 2021, Recurso 192/2020, de 30 de abril de 2021, Recurso 586/2021, de 20 de mayo de 2021, Recurso 210/2018 y la de 1 de diciembre de 2021, Recurso 1490/2021, resuelven recursos interpuestos por particulares que están afectados por diferentes procesos judiciales en los que sus datos personales son aportados por las distintas partes y sirven a dichos procesos. Pues bien, en todos ellos, la Sala recuerda la doctrina de la concurrencia del interés legítimo como parte del derecho de defensa y de la legitimación en acciones civiles o de otro ámbito jurisdiccional, y que forma parte del núcleo esencial del derecho fundamental previsto en el artículo 24 de la Constitución, y también lo referido al cumplimiento de una obligación legal, cuando los datos son requeridos por mandato judicial. El RGPD, establece en su art. 6.1 los supuestos que legitiman la comunicación de datos personales, como es cuando exista una obligación legal para ello, como puede ser el supuesto de comunicaciones a los Juzgados y Tribunales. A dicho precepto se remite el art. 8 de la LOPDGDD. Por otra parte, ya en la anterior LOPD de 1999, una de las causas que excluía la necesidad de consentimiento para la cesión de datos personales, era que la comunicación que debía efectuarse tuviera por destinatarios a los Jueces o Tribunales -art. 11.2.d) de dicha norma-. Excepción en la que, como dijimos en la Sentencia de 8 de marzo de 2012 -recurso 779/2010-, podemos incluir aquellos supuestos en que se trata de pruebas que, si bien no han sido solicitadas por el Juez o Tribunal, sino aportadas por las partes, con posterioridad, no consta que las mismas hayan sido rechazadas”.
Desde nuestro punto de vista, uno de los aspectos de mayor trascendencia de la Memoria es la advertencia que realiza la AEPD sobre la realización de evaluaciones de impacto.
Por un lado, en el apartado 3.3.3, llama la atención sobre el escaso número de consultas previas efectuadas durante el 2021 (un total de 18). En opinión de la AEPD, “teniendo en cuenta la obligación a dicha consulta cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si no se toman medidas para mitigarlo, y la expansión de servicios basados en tecnologías disruptivas, surgen dudas de si los responsables y encargados del tratamiento están adecuadamente asesorados con respecto al cumplimiento de esta obligación”.
Por otro lado, tanto en dicho apartado como en la introducción, se comenta la “deficiente calidad” de las evaluaciones de impacto examinadas, que se efectúan como una mera formalidad sin reflejar un proceso de gestión de riesgos real. En este sentido, la AEPD aprecia una confusión entre lo que puede ser un informe jurídico de análisis de un tratamiento y la documentación de un proceso de gestión de riesgos que exigen toma de decisiones e implementación de garantías. También destaca la falta de participación de los Delegados de Protección de Datos en el asesoramiento y supervisión de las evaluaciones efectuadas.
Por último, nos referiremos a la sección denominada “La Agencia en cifras”, con la que se cierra la Memoria, y que contiene la información más interesante para los curiosos: incluye infografías y estadísticas sobre temas muy variados. Por ejemplo, gracias a esta sección sabemos que:
1º. Los procedimientos sancionadores y de tutela de derechos han crecido un 49% y un 40%, respectivamente, en relación con el año 2020.
2º. El número de recursos contencioso-administrativos ha aumentado en un 87% respecto al periodo anterior. De acuerdo con la AEPD, “el aumento en recursos contencioso-administrativos recibidos no resulta sorprendente si se correlaciona con el aumento en el número de resoluciones emitidas por la Agencia, así como en la mayor complejidad de los procedimientos y gravedad de las sanciones impuestas”.
3º. El “top 10” de las reclamaciones más frecuentes (como la propia AEPD lo denomina) está encabezado por las relativas a servicios de Internet, videovigilancia, publicidad (excepto spam) y ficheros de morosidad. Las reclamaciones frente a entidades financieras, sector duramente sancionado a lo largo del año 2021, ocupan la novena posición.
4º. En línea con lo anterior, las guía con mayor número de descargas es la “Guía sobre el uso de videocámaras para seguridad y otras finalidades”, con un total de 104.921. La segunda más descargada, y tampoco es una sorpresa, es la “Guía sobre el uso de las cookies” (90.180 descargas).
5º. Durante el 2021, la AEPD impuso 258 multas, por un importe conjunto de 35.074.800 euros. Esta cifra supone un aumento del 337% con respecto al año 2020, donde el total de multas impuestas ascendió a 8.018.800. La AEPD destaca “un incremento en la envergadura y complejidad de los casos derivado a su vez de las magnitudes de los tratamientos de datos investigados. Buena muestra de ello da el hecho de que este año se hayan impuesto varias multas por un importe superior al millón de euros, de las cuales cinco son ya ejecutivas, y que el importe medio de las multas se haya triplicado con respecto al año anterior”.
El texto completo de la Memoria puede consultarse aquí.
