“Hacia una nueva cultura de privacidad: monetización de los datos, equilibrio empresarial y otros retos de cumplimiento para las organizaciones”
A las 9:00 de la mañana unos cuantos datamaníacos estábamos convocados para asistir a este V Foro del Data Privacy Institute en el Auditorio de Cuatrecasas, Gonçalves Pereira, en la madrileña calle de Almagro… (más…)
Se ofrece de manera totalmente gratuita este Libro que analiza la Propuesta de Reglamento de Protección de Datos de la Unión Europea desde el punto de vista práctico.
Así, el lector encontrará relacionado con el texto de la Propuesta, informes jurídicos y resoluciones de la AEPD, dictámenes del Grupo del Artículo 29, cuadros comparativos con la Directiva 95/46 y la LOPD, modelos de documentos, documentos de otras Autoridades y organizaciones, y obviamente, también mis opiniones al respecto.
Además, se incluyen numerosas citas a blogs de profesionales del sector, debido al enfoque, también práctico, de los mismos.
El Libro se base en un formato novedoso: toda la documentación citada se puede consultar a través de la red. No tendría sentido escribir un libro sobre una norma que afecta a las tecnologías de información y utilizar los tradicionales libros, ya que además, no permitiría al lector poder consultarlos sino es comprándolos. (más…)
Por fin llegó el que probablemente haya sido uno de los días (el otro será cuando se pronuncie defintivamente el Tribunal de Justicia de la Unión Europea) más esperado en el “mundillo del dato”: las Conclusiones del Abogado General sobre el asunto de Google Spain SL y Google INC contra la AEPD y un particular.
La “Comunidad del Dato”, o los “300”, elija el calificativo que más le guste, se congregaron los pasados días 13 y 14 de junio con motivo de la celebración del II Congreso Nacional de Privacidad organizado por la APEP (Asociación Española de Profesionales de Privacidad), a la que aprovechamos para felicitar por la magnífica organización del evento.
Ha pasado un año desde la aprobación del Real Decreto-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, y que supuso la modificaron de varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales.
Uno de ellos, el artículo 22.2 al que en numerosas ocasiones se le ha denominado “ley de cookies”.
El caso es que hasta la fecha todavía no sabemos cómo debe implantarse el cumplimiento del citado precepto. ¿Consentimiento expreso o implícito? ¿Aviso al entrar en la web o un enlace en la misma con toda la información?
Durante todo este tiempo y respecto su interpretación, podemos decir que se han “vendido” tres posturas (pueden encontrarse en el post de este mismo blog en la narración de la “Jornada APEP: Cookies and Privacy by Design”): la industria y “no es para tanto, vamos a matar Internet”; los usuarios y “esto vulnera diversos preceptos constitucionales”; y el controlador “hay que proteger al usuario, trabajamos en ello para dar varias opciones” (pero como digo seguimos esperando). (más…)
“Los Estados miembros y la Comisión promoverán, en particular a nivel europeo, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento.”
En otras palabras, certificar que un producto, servicio o incluso los procedimientos de una organización se adecúan a la normativa de protección de datos. En este caso, al futuro nuevo Reglamento. (más…)
Como muchos sabrán, la propuesta de Reglamento de Protección de Datos de la Unión Europea, en sus artículos 31 y 31 regula la comunicación de las brechas o violaciones de seguridad que se produzcan (como pueden ser la pérdida de datos, el borrado de los mismos, o un acceso no autorizado).
Esta comunicación debe realizarse en una doble dirección:
– A la Autoridad de Control, de manera inmediata y no superior a 24 horas, salvo que esté justificado realizar la comunicación fuera de ese plazo (deberá motivarlo).
– A los afectados, cuando la violación/brecha los afecte negativamente. (más…)
Debemos plantearnos en primer lugar, si el Registro de Ficheros sirve para algo. Desde mi humilde punto de vista para lo siguiente:
Dejando de lado las finalidades jurídicas a las que sirve el citado Registro (ver LOPD y su Reglamento al respecto), desde una óptica meramente práctica creo que da cierto orden en el tratamiento de datos en tres niveles: empresa/administración/organización; profesionales de la privacidad (asesoramiento); y autoridades de control. En otras palabras, da respuesta al “qué tratamientos tenemos” y “para qué sirven” pero a nivel de profesionales.
Otra cuestión es si sirve para el ejercicio de los derechos ARCO. Y aquí nos encontramos con una curiosidad: ni el artículo 5 de la LOPD obliga en el derecho de información a que en su contenido se incluya “el nombre del fichero en el que se van a almacenar los datos”, ni en el procedimiento de ejercicio de los derechos ARCO según el Reglamento de desarrollo de la LOPD el particular tiene que incluir “el nombre del fichero”. (más…)
En la mañana de hoy, 22 de mayo, me he venido a Madrid a quitarme el “síndrome de abstinencia de eventos lopedianos” que ya empezaba a mortificarme… y que mejor ocasión para ello que una jornada organizada por la Agencia de Protección de Datos de la Comunidad de Madrid sobre el Proyecto de Reglamento de Protección de Datos de la Unión Europea con la participación de expertos de la talla de D. José Luis Piñar Mañas, D. Ricard Martínez Martínez, Dª Diana Sancho Villa, D. Leonardo Cervera Navas o D. Antoni Bosch Pujol…
Leyendo el borrador de Reglamento de Protección de Datos de la UE, me planteo varias cuestiones sobre la implementación de esta figura en el ámbito de las Administraciones públicas -y no precisamente respecto a sus funciones, que todos podemos imaginarnos cuales son-, ya que en las mismas será obligatorio la citada implementación.
En primer lugar, algunas Administración públicas ya cuentan con esta figura –más bien, un servicio o subdirección, como puede ser el Excmo. Ayuntamiento de Madrid-, pero teniendo en cuenta la estructura y funcionamiento de las mismas habrá que determinar:
-¿Creación de un Cuerpo específico para tal fin? ¿Grupo A? ¿Grupo B? Mientras se crea dicho grupo, ¿Quién asume dichas funciones? ¿Cuerpo de Administración General, ya sea Grupo A o B? ¿Cuerpo de los TIC’s (dónde exista)? (más…)