Estado actual de la protección de datos y próximos retos. IV FORO DPI (18 de octubre de 2011)
Artículo escrito por nuestro colaborador Luís Salvador Montero, excelente profesional de la privacidad radicado en Zamora, que ha tenido la amabilidad de resumir para todos aquellos que no hemos podido asistir la jornada celebrada por el Data Privacy Institute el 18 de octubre en Madrid.
Una vez más, mis amigos y colegas de Privacidad Práctica me brindan la posibilidad de colaborar nuevamente con su blog, narrando lo que esta mañana se ha desarrollado en el IV Foro del Data Pivacy Institute (DPI). Así que, sin más introducción, vamos a ello.
Tras la bienvenida de D. Joan Camps, del Consejo General de Colegios Oficiales de Médicos, en cuyas instalaciones se celebraba el evento, el Subdirector del DPI, D. Carlos A. Saiz, dio paso a la apertura de honor a cargo del Director de la Agencia Española de Protección de Datos, D. José Luis Rodríguez Álvarez, quien disertó sobre los retos actuales que existen en materia de protección de datos de carácter personal, en gran medida por el enorme avance que el desarrollo de las tecnologías de la información ha supuesto y supone para el tratamiento de la información en general y de los datos personales en particular. Así, destacó como principales retos para la privacidad en nuestros días las redes sociales, el cloud computing y los motores de búsqueda en Internet.
En relación a las redes sociales, comentó que la AEPD viene defendiendo la aplicación de la normativa española por dos razones fundamentalmente: para prestar su servicio emplean medios situados en territorio de aplicación y, además, porque el servicio va destinado a ciudadanos del país. Mostró su especial preocupación por el tratamiento de datos de menores en estos entornos, y solicitó un especial cuidado a los prestadores de estos servicios en la adopción de mecanismos de control de la edad de esos menores que acceden a las redes.
En cuanto al Cloud Computing, afirmó que, consciente del desarrollo de este tipo de tecnología tanto por el ahorro en costes como por la mejora de productividad que puede suponer para las organizaciones, no es menos cierto que incorpora grandes riesgos vinculados a la localización de los datos. Por ello, se estudia la legislación en aras a poder modularla para este modelo de tecnología o paradigma. “El cloud computing no puede convertirse en una vía para evadirse de cumplir la normativa española. Quien contrate servicios cloud y esté sujeto a la norma española, debe cumplirla también en este servicio” destacó. Por tanto al responsable que contrate este tipo de tecnología, se le deberá exigir un máximo grado de diligencia en la supervisión al encargado del tratamiento en el cumplimiento de las normas.
Sobre los motores de búsqueda en Internet, reconoció que suponen un gran avance en la búsqueda de contenidos en la red, pero esto a su vez puede suponer peligros para los ciudadanos: en este punto aparece el denominado derecho al olvido, que definió como la supresión de información en los índices de buscadores, cuando no pueden ser suprimidos en la fuente. Afirmó que el tratamiento de información, en estos días, resulta relativamente muy barato, mientras que eliminarla, resulta mucho más caro… Por ello, la prudencia resulta imprescindible: cuidado con lo que decimos, con lo que publicamos, con lo que escribimos. El vértigo en el tratamiento de datos en la red, puede conllevar una elevación en el grado de autocensura. En este sentido, realizó un llamamiento a los administradores de páginas web sobre la atención que deben conceder al uso de herramientas que impidan la indexación de contenidos que no deben ser accedidos por cualquiera
Finalizada la, a mi juicio, muy interesante intervención del Director de la Agencia, continuó el evento con una mesa redonda sobre Cloud Compliance, en la que participaron César Peñacoba -Gerente de seguridad de HP-, Emilio Aced -Subdirector General de la Agencia de Protección de Datos de la Comunidad de Madrid- y Jaume Soler -Gerente de Seguridad de KPMG. De las intervenciones de los tres destacar:
César Peñacoba: los proveedores de Cloud han de generar confianza en los usuarios en cuanto a implantación de medidas de seguridad, planes de contingencia, continuidad de negocio…. Pero junto a ello, hay mecanismos que generan Desconfianza: el Safe Harbour, por ejemplo, habilita para el tratamiento de datos personales, por ejemplo de empleados de una compañía, pero si se pone en contacto con la Patriot Act, veremos que el Gobierno EEUU podrá acceder a toda esa información…
La posibilidad de “cerrar” la lista de países en que se tratarán los datos albergados en cloud, dependerá de la capacidad de negociación que el cliente tenga frente al proveedor.
Jaume Soler: destacó la necesidad de realizar una serie de actuaciones previas por parte del cliente antes de subir datos a la nube… Delimitados los datos a migrar, empieza la redacción del contrato con el establecimiento de medidas de seguridad, acuerdos de servicio mínimos, requisitos del art.12 LOPD, etc.
Emilio Aced: al aplicar la norma española y europea, las autoridades españolas tienen capacidad para investigar incidentes o cumplimientos de dicha norma… Eso sí, a la hora de aplicar la legislación, resulta complejo acudir a ejecutar sentencias de la justicia española en otros países, sobre todo, fuera del ámbito de la Unión Europea… Ante cualquier incidente, el primer responsable es el exportador de los datos, por lo que cobra mucha importancia el contrato, y así, la diligencia que haya puesto en su celebración y exigencia de cumplimiento. La AEPD tiene capacidad de bloquear las Transferencias Internacionales de Datos, por lo que ante un incumplimiento, esta puede ser una buena medida a aplicar.
Para finalizar la primera parte del Foro, Nathaly Rey, Directora General del ISMS Fórum dio cuenta de las actividades desarrolladas por el DPI, de las cuales destacó la labor de desarrollo de la certificación CDPP, para la que han creado un plan de mantenimiento, así como de las gestiones y proyecto que están desarrollando sobre una futura Fundación de la Privacidad.
Después de tan intensa primera parte, y tras un merecido descanso, se celebró un panel de Expertos sobre “Primeras resoluciones tras la reforma del régimen sancionador de la LOPD”, en el que participaron D. José López Calvo (Subdirector de Inspección de la AEPD) y D. Ricard Martínez Martínez -Presidente de la Asociación Profesional Española de la Privacidad (APEP)-
D. José López Calvo destacó en su intervención que tanto la Agencia, como la Audiencia habían utilizado en numerosas ocasiones la figura del apercibimiento, y que en nuestra legislación, opera el principio de aplicación del régimen más favorable con carácter retroactivo, pero eso sí, en bloque. Hizo además una relación de los procedimientos de apercibimiento, concluyendo que desde la aprobación de la modificación del régimen sancionador de la LOPD incluida en la Ley de Economía Sostenible en marzo de este mismo año, la agencia lleva dictados 213 procedimientos de apercibimiento.
Por su parte, D. Ricard Martínez Martínez puso de manifiesto en su intervención que la rebaja de las sanciones debe ser considerada en cierta medida, al menos para las PYMES como un “maquillaje” puesto que si bien en los límites intermedios se han rebajado, en los inferiores se han elevado. Además, en relación con su opinión sobre la reforma, existen al menos dos ámbitos en los que la diligencia del responsable no puede impedir la concurrencia de infracciones: el de la seguridad, puesto que la seguridad total no existe, y el de las suplantaciones de identidad al responsable del fichero cuando ha sido diligente y sufre un ataque o es estafado, y que por ello, aplicar criterios de responsabilidad objetiva en razón del resultado obtenido, puede ser una injusticia en sentido material. Destacó además, que si se aplica este tipo de criterio no cabe esperar ninguna cooperación por parte de responsables que temerán denunciar ciertos hechos cuando la sanción que pueda recaer sobre ellos pueda superar al beneficio que esperan obtener.
Por último, y en relación de nuevo con la figura del apercibimiento aplaudió su función como elemento motivador para el cumplimiento, aunque no deja de suponer una sanción administrativa que comporta un coste reputacional para el que la recibe, y que además no prescribe, puesto que nunca podrá volver ser aplicada en aplicación del propio texto normativo.
Tras estas intervenciones, se dio paso a la penúltima mesa redonda, esta vez sobre el panorama normativo nacional de la Privacidad en Internet, en la que intervinieron D. Oscar Casado, de Tuenti, Dª Paula Eliz Santos, de Telefónica, Dª Natalia Martos, de Grupo Prisa y D. Ramón Miralles, de la Autoridad Catalana de Protección de Datos.
Debatieron entre otros temas sobre los controles de edad para evitar que los menores accedan a estas plataformas y en este sentido, me pareció de destacar la intervención de D. Ramón Miralles, quien apeló a la responsabilidad que tenemos los mayores en lo que en Internet hacen nuestros menores, y recomendó la figura del “padrino de internet” por analogía con el “padrino de lectura” es decir, la figura del adulto que acompaña al menor en su aprendizaje en la navegación por la red.
Para finalizar este evento, y previo al discurso de cierre al que por motivos de horario no pude asistir pero que estaba previsto que diera D. Serafín Romero del Consejo General de Colegios de Médicos, se desarrolló la última de las mesas redondas, esta vez sobre las Estrategias para la aplicación efectiva de las medidas de seguridad establecidas en el RLOPD, en la que participaron D. Miguel Ángel Ballesteros (Auditoría interna CEPSA), Dª Elena Mora (Marco Regulatorio Mapfre), D. Javier Carbayo (Asociado Senior Écija) y D. Miguel Cebrián (Consultor Seguridad Symantec). Básicamente debatieron sobre la auditoría de seguridad y la pusieron en relación con muchos de los temas tratados durante el resto de la mañana, pero me parecieron de destacar dos ideas fundamentales -aunque obvias- que mis seguidores en Twitter ya disfrutaron (o sufrieron) en primicia: D. Miguel A. Ballesteros puso en evidencia que la bondad de una auditoría depende de su autor, y que la persecución de la excelencia en la labor profesional, justifica la existencia de asociaciones como APEP o como el DPI, y que la auditoría debe entenderse como una herramienta que aporte valor a la empresa, a lo que D. Javier Carvayo, añadió, que el valor que la auditoría aporta a la empresa, dependerá, fundamentalmente, de la “ambición” con que se defina su alcance.
María
19 de octubre de 2011 @ 08:20
Excelente post resumen.
Muchas gracias por compartir el desarrollo del evento para los que no pudimos asistir.
Un saludo
@meryglezm
Gontzal Gallo
19 de octubre de 2011 @ 08:23
Quisiera agradecer a Luis por hacer tan buen resumen de la Jornada de ayer y por facilitar a los que no pudimos asistir que asuntos se trataron.
Un saludo,
Gontzal Gallo
Joan Figueras
19 de octubre de 2011 @ 12:09
Muchas gracias, Luis, un estupendo resumen, ampliando la información que “al minuto” nos facilitabas ayer por twitter.
Aprovecho para felicitar a los compañeros de Privacidad Práctica en el primer aniversario de su excelente Blog.
Joan F.
@JoanFiguerasT
Alfonso Pacheco
19 de octubre de 2011 @ 14:22
Joan, muchas gracias por la felicitación. Esperamos cumplir muchos más y que tú los puedas ver
Alfonso Pacheco
19 de octubre de 2011 @ 14:18
La verdad es que la capacidad de trabajo que tiene Luís no tiene fin, y es una persona absolutamente desprendida y que no pone límites a la hora de compartir conocimiento e información. Y además con éxito: da vértigo echarle un vistazo a las visitas que esta entrada está teniendo a lo largo del día de hoy. No creo que la página oficial del DPI tenga tantas.
En privacidad práctica nos sentimos afortunados de contar con tus colaboraciones, que siempre son muy bienvenidas.
Ad Edictum
19 de octubre de 2011 @ 15:48
Buenas.
Me sumo a los agradecimientos a D. Luis y al blog.
Me parece muy interesante lo que dijo Ricard Martínez sobre que el apercibimiento no deja de ser una sanción administrativa. No recurrirla supone reconocer que se ha cometido una infracción.
Tengan en cuenta que Monsieur le Directeur está dictando resoluciones de apercibimiento en casos en los que ni siquiera debería abrir procedimiento sancionador, como los supuestos de cámaras instaladas por particulares en sus domicilios. ¿Son o no son tratamientos personales o domésticos los realizados por una persona que instala una cámara de seguridad en su vivienda?
Aquí, claro, la AEPD lo primero que debería hacer es aclarar su criterio, porque si leen la guía de videovigilancia (¿para cuándo uan nueva versión adapatada a la ley ómnibus?) e informes jurídicos como éste …. http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/videovigilancia/common/pdfs/2009-0360_Las-empresas-de-seguridad-seg-uu-n-el-tipo-de-cliente-tendr-aa-n-la-consideraci-oo-n-de-encargados-del-tratamiento-o-responsable-del-fichero.pdf
….Entran ganas de llorar.
Teniendo en cuenta la debilidad de su razonamiento, la AEPD comenzó a archivar muchos procedimientos incoados a particulares, bajo la excusa de que no había pruebas de que se hubiesen grabado imágenes (ya comenté uno de estos supuestos en mi blog). En fin, que el apercibimiento les ha venido de perlas, para dar tirones de orejas a conductas que no tienen manera de sancionar y que quieren reprimir.
Y conste que a mi la reforma del régimen sancionador me parece bastante acertada. Es cuando empiezan a aplicarla cuando me disgusta.
Saludos cordiales.
Juan Antonio Ibáñez
24 de octubre de 2011 @ 16:56
Muchas gracias Luis por tu aportación. Te esperamos en nuestras próximas actividades.
Solange
10 de junio de 2012 @ 19:13
No sereda de recibo ezempar este comentario sin agradecer a todo el equipo de Privacidad Pre1ctica la oportunidad brindada. Muchas gracias, de verdad.Alle1 vamos c1mbito de aplicacif3n.Se ha quedado totalmente obsoleto –ver al respecto los problemas de ley aplicable-. Si se quiere resolver este problema debereda estar claramente definido el e1mbito de aplicacif3n y no buscar “encaje de bolillos” del tipo “la empresa presta servicios a europeos teniendo que designar un representante” (ver borrador Reglamento filtrado, me parece un poco farragoso), “la instalacif3n de una cookie supone un tratamiento”, o que se ha superado la aplicacif3n en base al “fichero”, ya que ahora partimos del mero tratamiento (con sus efectos positivos y negativos, el “todo se puede dirigir veda LOPD vs no todo puede ser LOPD).Asimismo, tampoco parece estar muy bien redactado el apartado 3 del artedculo 2 cuando dice que “Se regire1n por sus disposiciones especedficas, y por lo especialmente previsto, en su caso, por esta…” y realiza una enumeracif3n de supuestos (por ejemplo, ficheros regulados por la legislacif3n de re9gimen electoral). Si se lee el articulado de la LOPD no aparece ninguna mencif3n a estos ficheros, es decir, que lo de “especialmente previsto, en su caso, por esta Ley” no tiene mucho sentido.Siguiendo con el e1mbito de aplicacif3n, el Reglamento de la LOPD no puede modificar el citado e1mbito de la LOPD. Incluso, su redaccif3n es defectuosa. Ased, cuando se refiere a los ficheros de “datos de contacto” se dice que “Este reglamento no sere1 aplicable”; en el caso de los empresarios individuales la mencif3n es “excluidos del re9gimen de aplicacif3n de la proteccif3n de datos de care1cter personal”; y por faltimo, con los fallecidos se vuelve a la frase “Este reglamento no sere1 de aplicacif3n”.Resumiendo, segfan la redaccif3n, dos supuestos quedan excluidos del reglamento –pero habreda que pensar que no de la LOPD-, y otro supuesto de la aplicacif3n de la proteccif3n de datos –ley y reglamento-.Ahondando me1s sobre esta cuestif3n, tampoco parece muy razonable que el hecho de no aplicar la LOPD a estos supuestos suponga una “barra libre” o “aqued no ha pasado nada”. Pongamos como ejemplo, la aparicif3n de datos de fallecidos en la calle. El hecho de que no puedan ejercitar determinados derechos de la LOPD (obviamente), no supone que el responsable deje de cumplir la obligacif3n de custodia y deber de secreto.Definiciones.Nunca me ha gustado el te9rmino que utiliza la LOPD para referirse al titular de los datos (“afectado”/”interesado”). Me parece que es poco comprensible para el titular de los mismos. En el caso de “interesado” es un te9rmino propio del derecho administrativo que puede generar confusif3n. Me parece me1s razonable usar te9rminos como “ciudadano”, “cliente” o meramente “titular de los datos”.Tampoco es muy acertada la definicif3n que hace el Reglamento de la LOPD de “ficheros pfablicos” ya que por una parte, a trave9s de esta definicif3n parece que se quiere “tocar” el e1mbito competencial de las Agencias autonf3micas; por otra parte, dada la pluralidad de entes pfablicos existentes es imposible que a trave9s de una definicif3n se delimiten todos los ficheros que son de titularidad pfablica.Respecto al consentimiento del interesado, echo en falta que se incluya los tipos de consentimiento que se permiten. Es decir, un “El consentimiento podre1 ser expreso o te1cito.” Y presunto si es que se admite en algfan caso.En cuanto a las fuentes accesibles al pfablico, varias cuestiones al respecto:-Deberedan ser eliminadas ya que la finalidad de “exposicif3n” al pfablico de estos datos de care1cter personal es otra. Por ejemplo, me ponen una multa de 6.000 euros, aparezco en el Boletedn correspondiente, y ademe1s de pagar, tengo que soportar que unas cuantas empresas me llamen ofreciendo sus productos.-En caso de permanecer, su denominacif3n debereda cambiarse a “datos de uso pfablico”.-Habreda que analizar si Internet es una fuente accesible al pfablico. Curiosamente, algunos de los que ahora este1n considerados como tal, este1n en Internet (boletines, medios de comunicacif3n social). A su vez, considerar Internet como fuente accesible al pfablico podreda generar el efecto contrario -ya que uno se pensareda que al considerarlo como tal sereda una “mina” para captar datos-, generando una mayor concienciacif3n. En la pre1ctica, Internet se este1 usando como fuente accesible al pfablico (por ejemplo, pensemos cuando un candidato se presenta a una oferta de trabajo y el empresario le busca en la red).Principio de calidad.Sobre el apartado 2, el uso posterior para fines histf3ricos, estadedsticos y cientedficos, siempre he tenido mis dudas: bfQue9 es un fin histf3rico? El Reglamento de la LOPD recoge un procedimiento de conservacif3n para fin histf3rico, pero no existe un procedimiento en sed para el mero tratamiento, o dicho de otra forma, para que el responsable sepa que este1 ante un fin histf3rico y pueda realizar el mencionado tratamiento.En cuanto al tratamiento cientedfico, aunque en la pre1ctica nunca se me ha planteado el caso, tengo mis dudas en cuanto a su “compatibilidad” con alguna normativa que regula la investigacif3n cientedfica, sobretodo orientada al plano sanitario.En cuanto a la cancelacif3n que recoge el apartado 5 habreda que conectarlo con el 16.3 que regula el derecho de cancelacif3n. Desde mi punto de vista, la regulacif3n es deficiente ya que el borrado de datos no existe en la pre1ctica. En cuanto a bloquear, muchos ficheros son tablas de Word o Excel donde es imposible realizar el citado bloqueo.Derecho de informacif3n.En primer lugar, la mayor parte de este derecho se deduce de la propia recogida de datos personales. Por ejemplo, se recaban datos para un proceso de seleccif3n en una empresa, o presentacif3n de datos personales para obtener una subvencif3n.Asimismo, informar sobre los derechos ARCO no se9 hasta que9 punto es pre1ctico porque salvo el acceso a la historia clednica o a expedientes administrativos (me referire9 en ambos casos cuando “toque” el derecho de acceso), no se ejercitan. Dejo a salvo tambie9n el derecho de oposicif3n/cancelacif3n en el supuesto de Boletines.En cuanto a las cesiones, es difedcil saber las mismas en muchos casos, sobretodo en el e1mbito de la Administracif3n, por lo que se utiliza la coletilla “sf3lo se cedere1n en los casos previsto en la Ley”, que es como no decir nada.Creo que sereda me1s adecuado, por ejemplo, informar si se va a dar otro uso diferente y que sea compatible con la recogida de datos.Ademe1s, la cle1usula que se suele utilizar no se entiende por el ciudadano de pie. Si la comparamos con la videovigilancia, e9sta es perfectamente comprensible.Continuare1…