V Foro de la Privacidad del Data Privacy Institute
“Hacia una nueva cultura de privacidad: monetización de los datos, equilibrio empresarial y otros retos de cumplimiento para las organizaciones”
A las 9:00 de la mañana unos cuantos datamaníacos estábamos convocados para asistir a este V Foro del Data Privacy Institute en el Auditorio de Cuatrecasas, Gonçalves Pereira, en la madrileña calle de Almagro…
Nos dio la bienvenida Carlos Alberto Saiz, Vicepresidente del ISMS Forum Spain, Director del Data Privacy Institute y Socio y Responsable del Área de Risk & Compliance de la firma Ecix Group y que hizo un repaso por todos los aspectos candentes de la actualidad “lopediana” y aprovechó para repasar así mismo la recién publicada memoria de la AEPD. Destacó la creciente preocupación por la protección de datos en el ámbito empresarial y la necesidad de buscar un justo equilibrio entre esta protección de datos y el desarrollo de negocio.
A continuación, y cambiando el orden previsto en el programa, intervino Nicola Jentzsh, Investigadora Asociada de la firma DIW Berlín y autora del Informe de ENISA en colaboración con la Universidad de Cambridge “Monetizing Privacy. An Economic Model for the Pricing of Personal Information” que nos habló, como no podía ser de otra manera, del contenido de su informe basado en la participación de 443 personas testadas a través de webs diseñadas al efecto para la compra de entradas de cine con diferentes precios y en las que se solicitaba distinta información personal (en la que se podía adquirir la entrada más barata, se solicitaba más información personal). De los compradores, un 71% optó por hacerlo a la firma que más información solicitaba para obtener un precio inferior, mientras que cuando el precio se igualaba, los compradores optaban por adquirir la de la firma que menos información solicitaba.
Le siguió en el uso de la palabra Javier Puyol, Director de la Asesoría Jurídica Contenciosa Corporativa de BBVA, cuya intervención versó sobre Big Data y Privacidad. Según Javier, el Big Data está ya entre nosotros (aunque le quede muchísimo desarrollo por delante), y el crecimiento en el uso de dispositivos móviles, hace que el volumen de información crezca de forma exponencial. Volumen, variedad y velocidad son tres características básicas del Big Data. Este Big Data supone un cambio en el modelo de negocio, y este cambio supone fuertes implicaciones para la privacidad de los usuarios. Este cambio de modelo se basa en la aceptación de cierta “incorrección” o inexactitud de los datos, que acaba perfeccionándose por el estudio correlativo de los mismos. Supone así mismo la existencia de distintos usos de la información, un uso primario para la finalidad para los que el usuario los aporta, y otra para esta finalidad de estudio de sus hábitos. Además, el consumidor ya no está aislado, como en el modelo anterior, sino que interrelaciona con otros consumidores. Además este consumidor cada vez dispone de más información que le permite tomar sus decisiones, y por ello, las empresas precisan saber o poder intuir estas decisiones del consumidor.
En cuanto al impacto de este Big Data en la privacidad, hizo también una serie de consideraciones. La primera de ella es la propia evolución de ésta. Hay que considerar la propia responsabilidad del individuo por lo que hace. Todo lo que hace éste, deja huella, y esa huella puede ser analizada e interpretada. El Big Data está íntimamente relacionado con la disociación de los datos. Y en este punto hay que atender a si esta disociación es o no reversible. Si el proceso fuese irreversible, en su opinión no habría obligaciones por parte de responsables o encargados de tratamiento. En cambio, cuando existe una posibilidad de reversibilidad, no sería así, por cuanto se requeriría como mínimo, la información al usuario (cuando no la obtención de consentimiento). Así mismo, deberíamos atender a la finalidad con la que se captan los datos. Interviene también en su opinión, el Derecho Civil en cuanto a la posesión “del dato”.
Habló también de la relación entre el Big Data y el Open Data, en relación a la transferencia y a los usos que este Big Data puede tener en el desarrollo de funciones gubernamentales.
Finalmente reflexionó sobre otros aspectos legales del Big Data fuera del “universo lopediano”, como el derecho civil (enriquecimiento injusto, competencia ilícita, competencia desleal, etc…)
En el turno de preguntas, se hizo alguna reflexión sobre si este derecho a la protección de datos que “tantos desvelos nos trae a los datamaníacos”, no es percibida con igual importancia por los propios ciudadanos (y más tras ver los resultados del estudio que previamente había presentado Nicola Jentzsh), a lo que Javier contestó que debe haber un justo equilibrio entre la libre circulación de los datos y la protección de los derechos de los usuarios.
Siguió la mañana y llegó la esperada presentación de la II Edición del Estudio de la propuesta de Reglamento de Protección de Datos de la UE: “Reflexiones sobre el futuro de la Privacidad en Europa” a cargo de Javier Carbayo que como miembro del Comité Operativo dela DPI se ha encargado de la coordinación de este estudio en el que hemos tenido la suerte de participar como coautores algunos de los dueños de este blog. En esta segunda edición se ha cambiado el enfoque, y en vez de analizar la propuesta artículo por artículo, se ha optado por seleccionar los temas más interesantes contenidos en la propuesta y se ha empleado “como excusa” para hablar de privacidad y protección de datos, con independencia de que la propuesta finalmente se llegue a convertir o no en Reglamento. Hizo un recorrido por todo el trabajo realizado, y posteriormente una síntesis muy breve de cada uno de los capítulos, pero en este caso, lo mejor es que opinen Ustedes mismos. Pueden descargarse el trabajo aquí mismo.
Tras una pausa para recobrar fuerzas, José Luis Piñar, Catedrático de Derecho Administrativo y Vicerrector de Relaciones Internacionales de la Universidad San Pablo-CEU, habló sobre la Evolución y futuro de la Protección de Datos en Latinoamérica. Según Piñar, en Iberoamérica, en materia de protección de datos, se están moviendo las cosas, y mucho y deprisa… En parte, este impulso viene motivado por la influencia de la Red Iberoamericana, promovida por la AEPD. Se considera, en general, a excepción de México, que adopta un modelo mixto entre el enfoque de Europa, el de Asia-Pacífico y el de EEUU, la Protección de Datos como un derecho fundamental y así se recoge en diversos textos legales. Hizo un breve recorrido por la legislación de varios países, como Argentina (primer país en reconocer constitucionalmente el “habeas data”), Colombia (con una ley de 2012), Costa Rica (2011), México (2010, desarrollada reglamentariamente en 2011), Brasil (en desarrollo pero ralentizada por el caso del espionaje) Uruguay (2012 y que además ha ratificado el Convenio 108), Paraguay, Perú (ley desarrollada reglamentariamente en 2013)… De todos estos países, sólo dos tienen un “nivel adecuado” de protección de datos (Argentina y Uruguay). Se detuvo en el análisis de la regulación mexicana motivado por sus relaciones comerciales–en el acuerdo comercial con UE, existe un precepto que obliga a México a respetar la protección de datos desarrollada en la Directiva y en el Convenio 108. Se reconoce la protección de datos como una competencia federal, no estatal. Además, cuenta con el IFAIPD (Instituto Federal de Acceso a la Información y Protección de Datos), que tiene competencia frente a sujetos públicos y privados, por lo que se ha aliado con países como Alemania que cuentan con un único organismo con competencia sobre transparencia y protección de datos.
El avance que está experimentándose en matera de protección de datos es enorme, y el modelo generalmente adoptado, muy semejante al europeo, beneficia sobremanera a empresas españolas que pretendan establecerse allí, aunque no hay que olvidar la existencia de leyes sectoriales (por ejemplo bancarias) y en parte debido a la inexistencia de autoridades de control.
Y por fin llegó el turno de las mesas redondas. La primera de ellas, moderada por Noemí Brito, miembro del Comité Operativo del DPI, asesora jurídica de la red social Fizzkid y Directora y socia de Legistel, planteó “Cuestiones de privacidad en el ámbito de las redes sociales”. En ella intervinieron Esperanza Ibáñez, Manager de Políticas Públicas y Asuntos Institucionales para España y Portugal de Google, Oscar Casado, Director Jurídico y de Privacidad de Tuenti y Natalia Basterrechea, Directora de Asuntos Públicos para España de Facebook. Esperanza alabó las ventajas que internet nos proporciona reconociendo los retos que supone, no muy distintos de cualquier actividad que aglutine a una gran cantidad de personas, y en ese aspecto es básico el equilibrio de derechos que deben ser protegidos pero que al mismo tiempo no debe actuar como un límite al desarrollo. Y uno de estos derechos, evidentemente es la libertad de expresión. Internet funciona como una herramienta del empowerment del ciudadano y eso no siempre gusta a los gobiernos. Enlazó esta libertad de expresión con el “derecho al olvido” y a la cuestión prejudicial del caso Google. Oscar Casado apeló a la responsabilidad de los usuarios. Si son ellos los que crean los contenidos, también han de tomar las medidas oportunas para respetar –al igual que ocurre en la vida off line- esa libertad de expresión.
Entrando en los derechos de los menores, Casado, reflexionó sobre la necesidad de replantearnos ciertos aspectos. Según él, el uso creciente por parte de menores de internet, de terminales móviles, etc. deben hacernos repensar muchas cosas (edad mínima para prestar consentimiento, forma de prestarlo, forma de informar…) y anunció que con el tiempo, en su opinión, nos reiremos de la normativa actual (nótese que solo su opinión). Natalia Basterrechea coincidió bastante con la opinión de Oscar Casado y se refirió a que en muchos casos, la entrada de menores en redes sociales viene de la mano de los propios padres, y que en muchas ocasiones, estos cuentan incluso con menos información que los propios hijos de lo que allí se cuece. Hablaron también sobre el desarrollo de modelos de responsabilidad compartida…
En relación a la nueva regulación europea (esa que no sabemos ni cuándo ni si se llegará a aprobar), Basterrechea la consideró como una oportunidad para las empresas europeas para competir con las del resto de mundo en “igualdad de oportunidades”, y previó que esta regulación será un éxito si se queda en regular “lo general” y no entra en exceso en detalle. Oscar Casado se mostró en acuerdo absoluto con la ventaja que supondrá la armonización normativa y Esperanza coincidió con ambos.
La segunda mesa (y última) trató sobre Retos de la Privacidad. La moderó Carlos A. Saiz, y en ella tomaron parte Javier Aparicio, socio de Cuatrecasas Gonçalves Pereira, Antonio Muñoz, Business Affairs Digital Regulation Counsel en Telefónica Digital y Ramón Miralles, Coordinador de Auditoría y Seguridad de la Información, Autoridad Catalana de Protección de Datos. Comenzaron con “la porra” sobre la hipotética aprobación del reglamento. Salvo Ramón Miralles, el resto consideraba francamente difícil esa aprobación. Miralles apeló a la agenda digital y a la necesidad de eliminar diferencias entre países para justificar su opinión de que finalmente sí que tendremos ese reglamento. En cuanto al contenido del mismo, los dos primeros intervinientes –al igual que algunos de los de la mesa anterior- coincidieron en que el reglamento debería regular de forma general, regular principios y no entrar en detalle. Miralles opinó que la regulación basada en principios ha fracasado.
Hablaron también de la autoridad única, y Javier Aparicio habló de posibles problemas por la existencia de diferentes formas de pensar dentro de Europa. Miralles restó importancia a este aspecto y justificó su posición en que la existencia de esa autoridad única será más instrumental que otra cosa.
Opinaron a continuación sobre algunas de las novedades del reglamento: privacy by design, accountability…. ¿Triunfarán estos aspectos en las empresas españolas muy apegadas al reglamento de la LOPD que deja poco margen a la “improvisación” y regula mucho las obligaciones formales? Para Antonio Muñoz va a ser muy positivo un cambio en la forma de ver el compliance por parte de las empresas. Javier Aparicio incidió en cómo lo van a implementar en “las muy” PYMEs. Ramón Miralles, en esta ocasión coincidió con los dos anteriores.
Reflexionaron finalmente sobre el tema del escándalo de espionaje y, deslindando este de la protección de datos, Aparicio echó en falta el posicionamiento al respecto de la AEPD.
Ya en la ronda de intervenciones, se debatió sobre si realmente la protección de datos es un palo en las ruedas para el desarrollo de los negocios (Javier Aparicio) o si realmente hay que considerar que la empresa cumplidora de la ley cuenta con una ventaja competitiva frente a la incumplidora (introducido por el compañero David González Calleja). También hubo alguna intervención del público que perfilaba una amplia dosis de cinismo cuando debatimos sobre derechos fundamentales y nos encontramos con que, como se había dicho antes, la autoridad ni se manifiesta ante un escándalo como el del espionaje, o, simplemente ante el amplio grado de incumplimiento de las administraciones públicas.
Y tras esta buena “datamañana”, el broche de la sesión corrió a cargo de Carlos A. Saiz, que además de clausurar este V Foro del DPI, entregó, junto con Miguel Ángel Ballesteros y Ariadna Hernández –nueva directora de ISMS Fórum Spain- los diplomas de los nuevos Profesionales Certificados durante este 2013 (Certified Data Privacy Professional –CDPP-).
Como siempre, agradecer a todos los implicados en la organización del evento y avisarles de que en VI Foro, también estaremos presentes desde Privacidad Lógica.
Muy buenos días.
Joan Figueras
8 de noviembre de 2013 @ 13:21
Muchas gracias por la crónica Luis!
Aunque al final no pude asistir, es una suerte saber que los de Privacidad Lógica estais ahí para contarnoslo todo.
Un abrazo!
@JoanFiguerasT
Luis Salvador
22 de noviembre de 2013 @ 13:02
Gracias Joan por tu comentario. A la jornada internacional de Málaga (el próximo 28/11), no bajaremos, así que si te lias la manta a la cabeza y vas, esperamos leer sobre ella en tu blog 😉
Un abrazo, amigo.
@LuisSalvadorMon
Julián Valero
9 de noviembre de 2013 @ 20:06
Muchas gracias, Luis: ¡es como si hubiese estado allí!
De todo lo que dices me quedo con dos cosas. La primera en relación al big data, ya que estoy convencido que el concepto de irreversibilidad no sirve: es una mera excusa para saltarse las exigencias, quizás desmedidas por inoperantes, de la normativa actual sobre protección de datos personales. La segunda, el comentario acerca del fracaso de la regulación basada en principios, ya que sinceramente cada vez estoy más convencido de que esa es la única salida. Ahora bien, el problema está en que las consecuencias jurídicas de su incumplimiento no son suficientemente contundentes, si lo fueran otro gallo nos cantaría…
Luis Salvador
11 de noviembre de 2013 @ 12:36
Gracias por tu comentario, Julián, siempre bienvenido…. y en este caso, como en tantos otros, además, compartido, tanto por lo que se refiere a la disociación como en lo que se refiere a la regulación general, en base a principios, sin entrar en el detalle -porque en mi opinión, eso es lo que si que da problemas y falla-….
Un fuerte abrazo.
Álvaro Del Hoyo
10 de noviembre de 2013 @ 19:45
Buenas, Luís
Hace mucho que no nos vemos. Lo del ISMS pasado no cuenta pues nos dio tiempo para saludarnos y poco más.
Tenía planeado ir, pero la vida que llevo “últimamente” no me da para ir a muchos saraos.
Me hubiese interesado, y mucho, poder haber escuchado alguna explicación de cómo se mide eso de si la disociación de datos es reversible o irreversible cuando se ha de tener en cuenta a cualquier terceros, cuánto de robusta es en cada caso la disociación, cómo se mantiene esa medición en el tiempo,…
Soy muy escéptico al respecto de la disociación de datos, especialmente en entornos de Big Data, donde se pone uno la piel del “chupadatos” y entran datos en cantidad y diversidad grande de forma más o menos continúa.
Creo que, al menos en determinados casos, no queda otra que considerar todo datos personales, porque aquello de la posible identificación, sino ahora en las próximas, horas, días, semanas,… y que ha de construirse un modelo de tratamiento de datos muy de privacy indeed and by design.
A ver si nos vemos pronto
Un abrazo, amigo
Luis Salvador
11 de noviembre de 2013 @ 12:40
Pues sí Álvaro… eso le decía en mi respuesta al comentario de Julián Valero…. Lo de la disociación en estos entornos, me parece más bien una excusa para justificar la licitud del tratamiento que un argumento válido, puesto que mucho disociar, mucho disociar, pero al final, todo se cruza y lo que parecía estar muy disociado, resulta que no lo estaba tanto… en mi humilde opinión.
Y en cuanto a lo de vernos, pues sí…. a ver si hay oportunidad porque ya hace tiempo ;))))))
Entre que nos cruzamos y no, ahí te va un fuerte abrazo 😉 .