5ª Sesión Anual Abierta de la AEPD
Eran las nueve largas, cuando el Teatro Real de Madrid abrió sus puertas… Un entorno “magnífico” para celebrar esta quinta Sesión Abierta de la Agencia Española de Protección de Datos… Tras un eterno proceso manual de acreditación, el Director de la Agencia, D. José Luis Rodríguez Álvarez, dio por abierta esta jornada en que un montón de profesionales de la privacidad (o incluso que aspiramos a serlo algún día) nos damos cita, buscando mantenernos informados y actualizar nuestros conocimientos respecto a los criterios que la Agencia emplea a la hora de interpretar la normativa, de las novedades que se han producido durante el último año, y, sin duda alguna, no nos engañemos, mantener vivo el contacto con otros profesionales dedicados a este campo, o si lo prefieren, “hacer networking”, que queda más “cool”….
En su intervención, tras darnos la bienvenida, y agradecer la presencia de todos los asistentes, presentó la Guía Cloud, compuesta por dos partes diferenciadas. La primera de ellas destinada a clientes, y la segunda a los prestadores de servicios, Nos recordó que no debíamos perder de vista que nos encontramos ante un encargo de tratamiento y que la ley aplicable será la del país del cliente responsable, vamos, la LOPD… En la parte dirigida a los prestadores, al parecer, hacen hincapié en la transparencia, dado que una gran mayoría de prestadores serán grandes corporaciones que usarán formas contractuales cerradas basadas en la adhesión sin posibilidad de negociación por parte de los clientes. Ambos documentos estarán disponibles para su descarga en la web de la agencia a través de los enlaces que les facilitamos.
Introduciendo el segundo de los temas incluidos, la nueva regulación de cookies, anunció la publicación el próximo lunes 29, de una guía para el cumplimiento de dicha normativa.
Al presentar lo que posteriormente seria el bloque de análisis jurisprudencial, se refirió entre otras cosas al “caso Google”, y anunció que a finales de junio, estará listo el informe de conclusiones del abogado tras la vista pública celebrada en el mes de febrero
En cuanto al tema de Transferencias Internacionales de Datos, se refirió al modelo de contrato para la subcontratación que ya se presentó en la anterior Sesión Abierta, y que ha servido también para ser adoptado en otros países europeos. Con el mismo, se trata de aligerar las cargas burocráticas para los clientes de grandes corporaciones, en el sentido de eximir a los clientes de éstas de la necesidad de tener que obtener autorizaciones para estas transferencias siempre que esos prestadores hayan suscrito esos “paquetes de Reglas Vinculantes”.
Por último en su introducción, sobre la propuesta de Nuevo Reglamento Europeo, parece que los últimos movimientos van encaminados a dar una mayor relevancia a las Autoridades de Control y a limitar “algo” la capacidad de intervención de la propia Comisión Europea. Además, existe el temor, según nos contó, de que dadas las propuestas de algunos Estados, finalmente esta propuesta de reglamento, pueda suponer una rebaja sobre las exigencias de la actual Directiva, lo cual, en su opinión, de ningún modo resultaría aceptable, ya que “sin Protección de Datos, no existiría confianza, y esto haría imposible el desarrollo de la “economía digital”
Sin más, dio paso a D. Jesús Rubí Navarrete, Adjunto al Director de la Agencia, y que presentó más ampliamente la guía sobre cloud, y destacó algunos aspectos contenidos en ella, como la portabilidad (soluiones abiertas o cerradas, la existencia de distintos supuestos al finalizar contratos -deseo cliente, cambio condiciones…-), la localización de los datos (con especial atención a la subcontratación y a las transferencias internacionales) o la transparencia. Matizó que esta transparencia debe darse tanto en la información ofrecida por propia iniciativa de los prestadores, como cuando los clientes se la demanden, y además, también ha de darse en los partners o distribuidores de estos prestadores.
Por ello, la guía, según Rubí (yo todavía no la he podido leer) indica estrategias para el cliente e incluye una lista de comprobación (imagino que similar a la que en su día publicara el ICO) con una serie de aspectos que el cliente no debe dejar de contemplar al contratar estos servicios y así mismo incluye recomendaciones a las Administraciones Públicas con especial referencia a determinados aspectos contenidos en el ENS y ENI.
En relación a la “nueva” –es curioso que más de un año después del RD 13/2012 y “nimeacuerdocuanto” de la Directiva que traspone, sigamos utilizando este término-regulación de las cookies y mecanismos similares, recordó que la norma está vigente desde el año pasado, por lo que se hace preciso llevar a cabo una revisión de las cookies empleadas y adoptar determinadas cautelas en las clausulas informativas, en servicios dirigidos a menores, y pide no olvidar que además estamos ante un tratamiento sometido a la LOPD. Recalca que la guía no será una solución general sino que deberá ser modulada y adaptada a cada caso concreto, con lo que –añado yo- si alguien pensaba que esta guía iba a ser la solución para asegurar el cumplimiento, se equivocaba de lleno. Eso sí servirá como orientación…
Recordó que puesto que hablamos de que necesitamos un consentimiento informado, la información cobra especial importancia, tanto en la claridad del mensaje, como en el propio diseño de la web (aludió a la “creatividad” de los diseñadores y programadores web cuando quieren destacar en una página comercial un determinado artículo o servicio, por ejemplo). Cabe la información por capas, y así en una primera capa podríamos incluir una información básica sobre uso, finalidades, acciones que implican ese consentimiento, enlace a la siguiente capa…Y en esta segunda capa, podremos describir tipos, mecanismos para impedir su instalación, cookies de terceros, etc.. En definitiva, parece que la guía viene a convalidar casi totalmente la desarrollada por la industria y a la que tuvimos acceso ya en diciembre cuando asistimos a la sesión organizada por APEP y de la que también les tuvimos debidamente informados en este blog.
Parece que admiten, por supuesto, un consentimiento expreso (click) pero que en determinados servicios que ofrecen mayores dificultades admiten un consentimiento presunto por la ejecución de acciones (por ejemplo, seguir navegando tras ser debidamente informados). Admitirían así mismo, cuando el consentimiento sea prestado a un editor, que dicho consentimiento sea extensible a todas las webs que administre dicho editor. En cualquier caso, seguro que a partir de que la guía vea la luz el próximo lunes, tendremos muchas ocasiones de comentar nuestra impresión sobre su contenido.
Y tras breves intervenciones de los asistentes, nos fuimos de lleno al ya citado “networking” en forma de merecido café. A la vuelta del mismo, se inició la segunda parte con la entrega de los Premios Protección de Datos 2012 que en esta edición correspondieron a Dª. Cándida Godoy, del programa Informe Semanal de TVE (premio de Comunicación), a D. Javier Puyol (Investigación, trabajos originales e inéditos) y a Dª. María de los Ángeles Guzmán (Investigación, trabajos originales e inéditos sobre el derecho a la protección de datos e países iberoamericanos), concediendo así mismo el jurado varios accésits en las dos primeras categorías (pueden leer la nota de prensa).
Y tras esta entrega protocolaria, tomó el turno de palabra D. Agustín Puente Escobar, Abogado del Estado-Jefe del Gabinete Jurídico de la Agencia para citarnos algunas de las Sentencias e Informes más relevantes dictados durante 2012.
Mencionó algunos supuestos relativos a datos especialmente protegidos, también se refirió a los relativos a la aplicación de la regla del interés legítimo del 7.f de la directiva… Me pareció especialmente curioso, que en la última línea de una de las diapositivas de la presentación que empleó (juraría que) incluían como legítimo el interés de la propia Agencia Española para acceder a datos de IPs en el desarrollo de su función inspectora, y así lo tuiteé, pero al escribir esta entrada, aún no he podido contrastar tal extremo[i].
Finalizada su intervención le tocó el turno a D. José López Calvo, Subdirector General de Inspección de Datos para comentar algunas de las Principales Resoluciones. Destacó incremento de reclamaciones por suplantación de personalidad, en muchísimos casos ligados a contratación de servicios como energía, agua y servicios de telecomunicaciones, si bien nos comentó que muchos se están archivando siempre que se demuestre haber adoptado la debida diligencia por parte de los responsables.
Se refirió a procedimientos con origen en difusión de datos personales en internet y a los relativos a envío de comunicaciones comerciales no deseadas (spam).
También nos habló de algunas declaraciones de infracciones por Administraciones Publicas, en este caso, algunas por difusión injustificada de datos personales a través de internet, pero también de medios tradicionales.
En relación a las tutelas de derechos, destacó el incremento de las acaecidas en relación con el “derecho al olvido”.
Al hablarnos de archivos de actuaciones, se refirió especialmente a expedientes sobre datos tratados en juzgados y tribunales, debido a que según la sentencia del Tribunal Supremo 2011, estos serían competencia exclusiva del Consejo General del Poder Judicial, por lo que la Agencia está procediendo a archivar los mismo y darles traslado al Consejo..
Y por último se refirió a casos en que a pesar de estar ante primeros infractores se está sancionando y no aplicando a figura del apercibimiento… se refería a aquellos en que la Agencia apreciaba que no se daban los supuestos contenidos en el artículo 45.5 de la LOPD.
Ya en la recta final de la jornada, D. Julián Prieto Hergueta, Subdirector General del Registro General de Protección de Datos nos habló de los nuevos criterios en el marco de las Transferencias Internacionales. Resaltó el trabajo de la Agencia en la mejora de la posición de los Encargados de Tratamiento establecidos en Europa, a través del esquema presentado en la Sesión Abierta anterior y basado en dos contratos vinculados entre sí: uno entre el responsable del fichero y el encargado y el segundo entre el encargado y el subencargado, el cual incluirá las clausulas específicas.
Hizo especial referencia a las transferencias internacionales originadas por servicios de cloud y remarcó que las clausulas 2010/87 deberán ser adaptadas para ofrecer garantías adecuadas (auditorias, subcontratistas, etc.)
Y ya casi finalizando, D. Rafael García Gozalo, como Coordinador del Área Internacional, fue el encargado de contarnos los avances en la actividad internacional. Nos informó del estado en el que se encuentra la tramitación de la propuesta de reglamento.
Algunos de los temas abiertos en el camino hacia su aprobación definitiva se refieren al concepto de dato personal, a la pretendida flexibilidad para el sector público, a los derechos (consentimiento expreso, derecho al olvido…), a las cargas administrativas (documentación, DPO, notificación de brechas… -en este caso se baraja un enfoque basado en un análisis de riesgos, según el cual sea este análisis el que indique si realmente en cada caso se puede acudir a esta rebaja de carga administrativa o no), a los sistemas de autorregulación, a la ventanilla única (aquellos en que un prestador que actúa en varios estados, “respondería” ante la autoridad del país en que radique su sede principal y esto no es bien visto por todos los actores intervinientes…)
También nos informó de que el Grupo de Trabajo del Artículo 29, ha centrado su actividad en la revisión del marco legal, en el reconocimiento facial on line, en datos biométricos, en cookies (excepciones al consentimiento), en las normas corporativas vinculantes, en el cloud, y en las aplicaciones para dispositivos móviles inteligentes… Señaló que la AEPD, en muchas ocasiones actuó como ponente en estos trabajos del Grupo de Autoridades.
Mostró especial atención a la acción conjunta de seis Autoridades Europeas contra la nueva política de privacidad de Google.
Y para terminar se refirió a la participación de la AEPD en actuaciones relativas a Policía y Justicia (Schengen II, cambio en el modelo de supervisión, y otros).
El colofón a la jornada lo puso la tradicional ronda de preguntas por parte de los asistentes, tanto de aquellas enviadas en los formularios de inscripción en la jornada, como las formuladas por los todavía presentes, ya que era ya bastante tarde. Tras ella, volvió a tomar el uso de la palabra el Director de la Agencia, esta vez para despedirnos hasta el año que viene….
Nosotros, si podemos, volveremos a estar, y, por supuesto de ser así, se lo volveremos a contar…
Muy buenos días.
Imagen: © Agencia Española de Protección de Datos
ACTUALIZACIÓN 07/05/2013: Por fin han colgado las presentaciones…. si lo desean, las pueden descargar desde aquí. Y sí, confirmado, ví bien en directo… en la página 32 de la presentación empleada por D. Agustín Puente Escobar, en el último de los supuestos contemplados, recoge como supuesto de interés legítimo para el tratamiento de datos personales, el de “Acceso por AEPD a direcciones IP de operadores en el marco de una investigación“… Ahí lo dejo por si quieren comentarlo…
[i] A la hora de publicar la presente entrada, la Agencia había subido las pertinentes notas de prensa a la página del evento, pero no la presentación empleada como suele hacer en otras ocasiones, por lo que no podemos ofrecer enlace a la misma.