Crónica del VI Foro de la Privacidad del Data Privacy Institute
Esta vez, nos convocaron en el Aula Magna del Instituto de Empresa, en Madrid. Hoy, 24 de septiembre de 2014 ha tenido lugar el VI Foro de la Privacidad del Data Privacy Institute (DPI), una iniciativa de la Asociación para el Fomento de la Seguridad de la Información (ISMS Fórum Spain).
Pasaban de las 9 de la mañana cuando Carlos Alberto Saiz, como Director del DPI y Vicepresidente del ISMS Fórum Spain nos daba, junto con Álvaro Arenas, docente de la Escuela de Negocios del Instituto de Empresa (IE Business School) la bienvenida y de paso el banderazo de salida de lo que sería una mañana cargadita de interesantes contenidos.
Los anfitriones daban paso a la ponencia inaugural a cargo del Director de la Agencia Española de Protección de Datos, D. José Luis Rodríguez Álvarez, que versó sobre el papel de las Autoridades de Control dentro del futuro nuevo marco normativo en materia de privacidad. En este entorno se trata de unificar las actuaciones de las autoridades, por ejemplo, en materia de inspección o capacidad sancionadora. Las diferencias que existen en la actualidad son grandes y por ello, se ha diseñado un modelo inspirado en la AEPD, con total independencia y que abarcará desde el intercambio de información entre autoridades como el marco de investigaciones conjuntas… En definitiva, se busca la total coherencia.
El vertiginoso crecimiento de la capacidad de creación de información junto con el incremento de capacidad de análisis de la misma, da lugar a fenómenos como el Big Data que pueden influir tanto en el desarrollo del individuo, como en el de la propia Sociedad. El “fenómeno Snowden” es una clara muestra de lo que hablaba el Director de la Agencia. Por ello, en su opinión, cada vez se escuchan más voces que se manifiestan para llamar la atención sobre estos fenómenos, el camino hacia la “dictadura de los señores de los datos” que ponen en peligro los derechos fundamentales del individuo.
La innovación es positiva, pero no puede cercenar derechos de las personas, no solo puede estar al servicio de intereses privados… Por ello, se hace necesario reforzar las garantías para proteger estos derechos de las personas. Estos intereses privados, según palabras del Director, son los que están demorando la adopción del nuevo marco legal, hasta el punto de que no se puede hablar de fecha (ni) estimada para que el Consejo fije su posición. En cambio, el Director “sacó pecho” al hablar sobre la “sentencia Google”, ya que entiende que esta sentencia viene a ratificar todos los argumentos mantenidos por la AEPD y confirma que la difusión de determinada información puede ser lícita en su origen pero no cuando se indexa, por ejemplo. Por ello, según él, el TJUE con su sentencia viene a dar cuerpo al “derecho al olvido”, entendido como derecho de oposición y de supresión en los motores de búsqueda. Parece clara la importancia que en nuestros días tiene la “biografía digital” de una persona. Y también parece claro que la exhibición pública de determinada información sobre una persona, podría asemejarse a las ya olvidadas penas de escarnio público. Por ello, en su opinión, parece lógico que determinadas informaciones legítimamente publicadas, sean excluidas de la búsqueda cualificada que realizan los motores de búsqueda. En definitiva, como Director de la Agencia, se mostró encantado con el contenido de la sentencia y matizó algunos de los comentarios que se han vertido públicamente y que tildó, en muchos casos, de malintencionados (referentes a la libertad de expresión, a la memoria histórica….) y aclaró que no se trata de eliminar información alguna, sino de bloquear el acceso a la misma desde determinados mecanismos de búsqueda… A preguntas del público, aclaró que la sentencia es aplicable a todos los motores de búsqueda “generalistas”, pero no para los específicos dentro de una página concreta. Así mismo, manifestó no tener ningún temor a que la sentencia y especialmente, la nueva regulación europea, haga que muchas multinacionales se puedan plantear la deslocalización de Europa.
A continuación, dio comienzo la primera de las mesas redondas, moderada por Miguel Ángel Ballesteros, Miembro del Comité Operativo del DPI y en la que tomaron parte Flora Egea, Data Privacy Officer para España y Data Privacy Leader for SPGI en IBM e Inmaculada García, Responsable de Protección de Datos en CEPSA. Tras la introducción de Miguel Ángel, en la que aclaró el verdadero significado de las siglas DPO (“Dedicado a Poner Objeciones”) así como las motivaciones que todos los que asistimos a este tipo de eventos nos mueven a hacerlo (sentirnos comprendidos por los compañeros del gremio), abrió fuego sobre el tamaño de la organización. Egea defendió que las diferencias, más que en el tamaño de las organizaciones, se centra en la complejidad de los tratamientos desarrollados, o en la participación de diversos países en los mismos. Para Inmaculada, en una compañía más pequeña de la de Egea y además nacional, y definió la labor de “bombero” que implica el desarrollo de la función del DPO.
Hablaron después de la posición del DPO en el organigrama de la empresa. García opinaba que era necesaria la cercanía a la dirección (“cuanto más arriba, mejor”). Para Egea, la importancia radica en el grado de independencia que debe tener el DPO. En relación a grupos multinacionales, también es muy importante el lugar en el que radica la empresa matriz: no es lo mismo que esté en Estados Unidos, por ejemplo, que en Europa. En relación a las capacidades deseables para el desarrollo de la función, nada nuevo se dijo… Perfiles legales con conocimientos técnicos, o perfiles técnicos con conocimientos legales… Quizá, y esto es opinión personal del autor de esta entrada, se obvia muy a menudo, los conocimientos en gestión empresarial, que es la gran olvidada siempre en este debate.
Preguntados por las certificaciones, ambas participantes coincidieron en que resulta imprescindible la formación continuada, y esto, es uno de los requisitos de las certificaciones que actualmente existen en nuestro país.
Tras esta primera mesa, Sara Degli Esposti, investigadora de la Open University Business School, presentaba su ponencia “Alineando seguridad y privacidad: hacia una vigilancia aceptable” El proyecto SurPRISE investiga la relación entre seguridad e intimidad. Trata de analizar los factores que influyen en la aceptación ciudadana de las tecnologías de seguridad. Se ha desarrollado una metodología cuantitativa y cualitativa mediante la organización de “cumbres” ciudadanas en las que los participantes son informados acerca de esas tecnologías y han expresado sus opiniones al respecto. Se habló de tres tecnologías concretas: los sCCTV (Cámaras Inteligentes de Video Vigilancia), los Deep Packet Inspection (Inspección Profunda de Paquetes ) y los SLT (Smartphone Location Tracking). Los resultados del estudio, según la ponente, son muy diferentes en función del país en que se realizó ya que la propia idiosincrasia de los participantes es decisiva en sus respuestas y las conclusiones principales del mismo son que resulta necesario informar a los ciudadanos de la existencia de este tipo de medidas, objetivos y reglas, mejorar el diálogo entre fuerzas de seguridad y ciudadanos, aumentar la participación social en los procesos de control.
Fernando Sánchez, Consultor en Everis Aeroespacial y Defensa, presentó, tras la pausa del café, el Proyecto CIPHER que comprende un análisis en toda Europa del estado de sistemas, métodos y tecnologías de seguridad en sistemas de información y que pretende alcanzar un marco metodológico para proponer recomendaciones diseñadas para prevenir el cibercrimen. Además presentó la herramienta de autodiagnóstico sobre adecuación al framework, la cual está accesible en el siguiente enlace.
La segunda de las mesas redondas del día, bajo el título “Cuestiones sobre Privacidad desde el punto de vista de la Sociología y la Comunicación”, y moderada por Noemí Brito, Miembro del Comité Operativo del DPI, contó con la participación de Nieves Goicoechea, Jefa de la Sección de Ciencia, Nuevas Tecnologías y Tendencias Urbanas en la Cadena SER y Loreto Corredoira, Profesora Titular Ayudante y Titular Interina de Derecho de la Información en la Universidad Complutense de Madrid. La mesa giró en torno a las siguientes cuestiones: Privacidad versus Libertad de Expresión e Información, conveniencia de que los periodistas se sometan a parámetros de privacidad y seguridad, cómo podría afectar la exaltación de la privacidad a la conservación del patrimonio informativo, cultural e histórico, y si resultan o no intrusivos algunos de los nuevos dispositivos a disposición de los periodistas.
En relación a la primera de las cuestiones, Goicoechea opinó que ambos derechos son fundamentales, y por tanto hay que tratar de compatibilizarlos. Cobra, en su opinión, especial importancia la deontología, el rigor, la consulta a los perjudicados… se mostró favorable a la autorregulación en los medios. Corredoira, por su parte, tras matizar la función social que encarnan los periodistas, y recalcar la igualdad ante la ley de los periodistas con el resto de los ciudadanos -salvo por el derecho al secreto profesional y por la cláusula de conciencia- distinguió entre éstos y las empresas periodísticas. En cuanto a la segunda de las cuestiones, se comentó la recientemente publicada guía por el ICO sobre Protección de Datos y Periodismo y ambas participantes, aunque sobre todo Corredoira, se mostraron “poco de acuerdo” con los parámetros que esta guía recoge. Tanto Goicoechea como Corredoira se mostraron favorables a la conservación de la información recabada para el ejercicio de la profesión periodística y la representante de la Cadena SER aprovechó para comentar la inclusión en la última versión del libro de estilo de “El País” de determinados parámetros relacionados con el “derecho al olvido”. Por último, en cuanto al grado de invasión de estos nuevos dispositivos, Goicoechea, siguió defendiendo la adopción de criterios éticos y legales sin distinguir entre tipos de dispositivos. Corredoira, se manifestó en igual sentido: honestidad, transparencia y función social.
Tocó el turno a continuación de la presentación, a cargo de Carlos Alberto Saiz, del “Informe sobre Responsabilidades Legales ante un Ciberataque” que ha sido elaborado conjuntamente por el ISMS Fórum Spain y ENATIC y que analiza el marco normativo actual que regula las diferentes responsabilidades legales que pueden surgir a raíz de un caso de ciberataque sufrido por parte de una empresa.
Y la última de las mesas redondas tuvo por título “Investigación, retención de datos y garantías de privacidad”. Estuvo moderada por Javier Carbayo, Miembro del Comité Operativo del DPI y contó con la participación de Pilar Rodríguez, Fiscal Delegada Provincial de Criminalidad Informática y Delegada de Tutela Penal de la Igualdad y contra la Discriminación en la Fiscalía Provincial de Madrid, con Óscar de la Cruz, Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil y con José Manuel Maza, Magistrado de la Sala de lo Penal del Tribunal Supremo.
La primera de las reflexiones versó sobre la posible existencia de “zonas grises” en las zonas de confluencia o exclusión entre privacidad y seguridad. Para la Fiscal, la balanza se inclina a favor del delincuente, que ve en la privacidad una escapatoria de la seguridad. Al hacer el análisis de proporcionalidad, la experiencia se inclina a favor de la adopción de medidas de seguridad que suponen limitaciones a la privacidad. Para Maza, es necesaria la búsqueda de equilibrio, aunque es difícil, y es función del juez. Oscar de la Cruz expuso que las investigaciones de los FCSE, siempre está tutelada por el juez y además defendió fervientemente la conservación de datos, puesto que para las investigaciones que realizan, basadas en la trazabilidad de las comunicaciones, es fundamental.
La segunda de las reflexiones se centró en la anulación de la directiva de retención de datos por parte del TJUE. De la Cruz, manifestó que, en su opinión, los defectos que se pusieron de manifiesto en la sentencia que anuló la directiva fueron debidamente contemplados, y por tanto, no cometidos, en la trasposición a la ley española de retención de datos. Por este motivo, Maza se mostró en total acuerdo con el Comandante en que pocos cambios deben realizarse en la norma nacional. El Magistrado se mostró mucho más proclive a la modificación de los sistemas procesales de nuestro país que dejan mucho que desear. Pilar Rodríguez, de acuerdo con los dos anteriores, pedía una graduación de delitos, una delimitación de los bienes jurídicos a proteger, una regulación de las pruebas tecnológicas…
A continuación, el Magistrado del Tribunal Supremo, comentó la sentencia de lo penal de 16 de junio sobre la necesidad de autorización judicial para la intervención de correos laborales cerrados. Sobre el contenido de la misma, recomiendo, y esto también es cosa mía, leer la reciente entrada publicada por Xavier Ribas hace tan solo un par de días. Pilar Rodríguez se mostró completamente de acuerdo con el contenido de la sentencia y recomendaba a las empresas que realicen este tipo de actuaciones a través de los cuerpos y fuerzas de seguridad (personalmente, me ofrece bastantes dudas esta afirmación).
Por último, se procedió a la entrega del Certified Data Privacy Professional (CDPP) y a la clausura de este foro, que, como todos los anteriores, resultó francamente interesante y bien organizado. Por tanto, para finalizar esta crónica, solo me resta agradecer, como siempre, a todos los implicados en la Asociación y especialmente a los responsables del éxito de estos eventos.
Muy buenos días…
Imagen: ISMS Fórum Spain