Artículo escrito por nuestro colaborador Luís Salvador Montero, excelente profesional de la privacidad radicado en Zamora, que ha tenido la amabilidad de resumir para todos aquellos que no hemos podido asistir la jornada celebrada por el Data Privacy Institute el 18 de octubre en Madrid.
Una vez más, mis amigos y colegas de Privacidad Práctica me brindan la posibilidad de colaborar nuevamente con su blog, narrando lo que esta mañana se ha desarrollado en el IV Foro del Data Pivacy Institute (DPI). Así que, sin más introducción, vamos a ello.
Tras la bienvenida de D. Joan Camps, del Consejo General de Colegios Oficiales de Médicos, en cuyas instalaciones se celebraba el evento, el Subdirector del DPI, D. Carlos A. Saiz, dio paso a la apertura de honor a cargo del Director de la Agencia Española de Protección de Datos, D. José Luis Rodríguez Álvarez, quien disertó sobre los retos actuales que existen en materia de protección de datos de carácter personal, en gran medida por el enorme avance que el desarrollo de las tecnologías de la información ha supuesto y supone para el tratamiento de la información en general y de los datos personales en particular. Así, destacó como principales retos para la privacidad en nuestros días las redes sociales, el cloud computing y los motores de búsqueda en Internet.
En relación a las redes sociales, comentó que la AEPD viene defendiendo la aplicación de la normativa española por dos razones fundamentalmente: para prestar su servicio emplean medios situados en territorio de aplicación y, además, porque el servicio va destinado a ciudadanos del país. Mostró su especial preocupación por el tratamiento de datos de menores en estos entornos, y solicitó un especial cuidado a los prestadores de estos servicios en la adopción de mecanismos de control de la edad de esos menores que acceden a las redes.
En cuanto al Cloud Computing, afirmó que, consciente del desarrollo de este tipo de tecnología tanto por el ahorro en costes como por la mejora de productividad que puede suponer para las organizaciones, no es menos cierto que incorpora grandes riesgos vinculados a la localización de los datos. Por ello, se estudia la legislación en aras a poder modularla para este modelo de tecnología o paradigma. “El cloud computing no puede convertirse en una vía para evadirse de cumplir la normativa española. Quien contrate servicios cloud y esté sujeto a la norma española, debe cumplirla también en este servicio” destacó. Por tanto al responsable que contrate este tipo de tecnología, se le deberá exigir un máximo grado de diligencia en la supervisión al encargado del tratamiento en el cumplimiento de las normas.
Sobre los motores de búsqueda en Internet, reconoció que suponen un gran avance en la búsqueda de contenidos en la red, pero esto a su vez puede suponer peligros para los ciudadanos: en este punto aparece el denominado derecho al olvido, que definió como la supresión de información en los índices de buscadores, cuando no pueden ser suprimidos en la fuente. Afirmó que el tratamiento de información, en estos días, resulta relativamente muy barato, mientras que eliminarla, resulta mucho más caro… Por ello, la prudencia resulta imprescindible: cuidado con lo que decimos, con lo que publicamos, con lo que escribimos. El vértigo en el tratamiento de datos en la red, puede conllevar una elevación en el grado de autocensura. En este sentido, realizó un llamamiento a los administradores de páginas web sobre la atención que deben conceder al uso de herramientas que impidan la indexación de contenidos que no deben ser accedidos por cualquiera
Finalizada la, a mi juicio, muy interesante intervención del Director de la Agencia, continuó el evento con una mesa redonda sobre Cloud Compliance, en la que participaron César Peñacoba -Gerente de seguridad de HP-, Emilio Aced -Subdirector General de la Agencia de Protección de Datos de la Comunidad de Madrid- y Jaume Soler -Gerente de Seguridad de KPMG. De las intervenciones de los tres destacar:
César Peñacoba: los proveedores de Cloud han de generar confianza en los usuarios en cuanto a implantación de medidas de seguridad, planes de contingencia, continuidad de negocio…. Pero junto a ello, hay mecanismos que generan Desconfianza: el Safe Harbour, por ejemplo, habilita para el tratamiento de datos personales, por ejemplo de empleados de una compañía, pero si se pone en contacto con la Patriot Act, veremos que el Gobierno EEUU podrá acceder a toda esa información…
La posibilidad de “cerrar” la lista de países en que se tratarán los datos albergados en cloud, dependerá de la capacidad de negociación que el cliente tenga frente al proveedor.
Jaume Soler: destacó la necesidad de realizar una serie de actuaciones previas por parte del cliente antes de subir datos a la nube… Delimitados los datos a migrar, empieza la redacción del contrato con el establecimiento de medidas de seguridad, acuerdos de servicio mínimos, requisitos del art.12 LOPD, etc.
Emilio Aced: al aplicar la norma española y europea, las autoridades españolas tienen capacidad para investigar incidentes o cumplimientos de dicha norma… Eso sí, a la hora de aplicar la legislación, resulta complejo acudir a ejecutar sentencias de la justicia española en otros países, sobre todo, fuera del ámbito de la Unión Europea… Ante cualquier incidente, el primer responsable es el exportador de los datos, por lo que cobra mucha importancia el contrato, y así, la diligencia que haya puesto en su celebración y exigencia de cumplimiento. La AEPD tiene capacidad de bloquear las Transferencias Internacionales de Datos, por lo que ante un incumplimiento, esta puede ser una buena medida a aplicar.
Para finalizar la primera parte del Foro, Nathaly Rey, Directora General del ISMS Fórum dio cuenta de las actividades desarrolladas por el DPI, de las cuales destacó la labor de desarrollo de la certificación CDPP, para la que han creado un plan de mantenimiento, así como de las gestiones y proyecto que están desarrollando sobre una futura Fundación de la Privacidad.
Después de tan intensa primera parte, y tras un merecido descanso, se celebró un panel de Expertos sobre “Primeras resoluciones tras la reforma del régimen sancionador de la LOPD”, en el que participaron D. José López Calvo (Subdirector de Inspección de la AEPD) y D. Ricard Martínez Martínez -Presidente de la Asociación Profesional Española de la Privacidad (APEP)-
D. José López Calvo destacó en su intervención que tanto la Agencia, como la Audiencia habían utilizado en numerosas ocasiones la figura del apercibimiento, y que en nuestra legislación, opera el principio de aplicación del régimen más favorable con carácter retroactivo, pero eso sí, en bloque. Hizo además una relación de los procedimientos de apercibimiento, concluyendo que desde la aprobación de la modificación del régimen sancionador de la LOPD incluida en la Ley de Economía Sostenible en marzo de este mismo año, la agencia lleva dictados 213 procedimientos de apercibimiento.
Por su parte, D. Ricard Martínez Martínez puso de manifiesto en su intervención que la rebaja de las sanciones debe ser considerada en cierta medida, al menos para las PYMES como un “maquillaje” puesto que si bien en los límites intermedios se han rebajado, en los inferiores se han elevado. Además, en relación con su opinión sobre la reforma, existen al menos dos ámbitos en los que la diligencia del responsable no puede impedir la concurrencia de infracciones: el de la seguridad, puesto que la seguridad total no existe, y el de las suplantaciones de identidad al responsable del fichero cuando ha sido diligente y sufre un ataque o es estafado, y que por ello, aplicar criterios de responsabilidad objetiva en razón del resultado obtenido, puede ser una injusticia en sentido material. Destacó además, que si se aplica este tipo de criterio no cabe esperar ninguna cooperación por parte de responsables que temerán denunciar ciertos hechos cuando la sanción que pueda recaer sobre ellos pueda superar al beneficio que esperan obtener.
Por último, y en relación de nuevo con la figura del apercibimiento aplaudió su función como elemento motivador para el cumplimiento, aunque no deja de suponer una sanción administrativa que comporta un coste reputacional para el que la recibe, y que además no prescribe, puesto que nunca podrá volver ser aplicada en aplicación del propio texto normativo.
Tras estas intervenciones, se dio paso a la penúltima mesa redonda, esta vez sobre el panorama normativo nacional de la Privacidad en Internet, en la que intervinieron D. Oscar Casado, de Tuenti, Dª Paula Eliz Santos, de Telefónica, Dª Natalia Martos, de Grupo Prisa y D. Ramón Miralles, de la Autoridad Catalana de Protección de Datos.
Debatieron entre otros temas sobre los controles de edad para evitar que los menores accedan a estas plataformas y en este sentido, me pareció de destacar la intervención de D. Ramón Miralles, quien apeló a la responsabilidad que tenemos los mayores en lo que en Internet hacen nuestros menores, y recomendó la figura del “padrino de internet” por analogía con el “padrino de lectura” es decir, la figura del adulto que acompaña al menor en su aprendizaje en la navegación por la red.
Para finalizar este evento, y previo al discurso de cierre al que por motivos de horario no pude asistir pero que estaba previsto que diera D. Serafín Romero del Consejo General de Colegios de Médicos, se desarrolló la última de las mesas redondas, esta vez sobre las Estrategias para la aplicación efectiva de las medidas de seguridad establecidas en el RLOPD, en la que participaron D. Miguel Ángel Ballesteros (Auditoría interna CEPSA), Dª Elena Mora (Marco Regulatorio Mapfre), D. Javier Carbayo (Asociado Senior Écija) y D. Miguel Cebrián (Consultor Seguridad Symantec). Básicamente debatieron sobre la auditoría de seguridad y la pusieron en relación con muchos de los temas tratados durante el resto de la mañana, pero me parecieron de destacar dos ideas fundamentales -aunque obvias- que mis seguidores en Twitter ya disfrutaron (o sufrieron) en primicia: D. Miguel A. Ballesteros puso en evidencia que la bondad de una auditoría depende de su autor, y que la persecución de la excelencia en la labor profesional, justifica la existencia de asociaciones como APEP o como el DPI, y que la auditoría debe entenderse como una herramienta que aporte valor a la empresa, a lo que D. Javier Carvayo, añadió, que el valor que la auditoría aporta a la empresa, dependerá, fundamentalmente, de la “ambición” con que se defina su alcance.
__
Excelente post resumen.
Muchas gracias por compartir el desarrollo del evento para los que no pudimos asistir.
Un saludo
@meryglezm
Quisiera agradecer a Luis por hacer tan buen resumen de la Jornada de ayer y por facilitar a los que no pudimos asistir que asuntos se trataron.
Un saludo,
Gontzal Gallo
Muchas gracias, Luis, un estupendo resumen, ampliando la información que “al minuto” nos facilitabas ayer por twitter.
Aprovecho para felicitar a los compañeros de Privacidad Práctica en el primer aniversario de su excelente Blog.
Joan F.
@JoanFiguerasT
Joan, muchas gracias por la felicitación. Esperamos cumplir muchos más y que tú los puedas ver
La verdad es que la capacidad de trabajo que tiene Luís no tiene fin, y es una persona absolutamente desprendida y que no pone límites a la hora de compartir conocimiento e información. Y además con éxito: da vértigo echarle un vistazo a las visitas que esta entrada está teniendo a lo largo del día de hoy. No creo que la página oficial del DPI tenga tantas.
En privacidad práctica nos sentimos afortunados de contar con tus colaboraciones, que siempre son muy bienvenidas.
Buenas.
Me sumo a los agradecimientos a D. Luis y al blog.
Me parece muy interesante lo que dijo Ricard Martínez sobre que el apercibimiento no deja de ser una sanción administrativa. No recurrirla supone reconocer que se ha cometido una infracción.
Tengan en cuenta que Monsieur le Directeur está dictando resoluciones de apercibimiento en casos en los que ni siquiera debería abrir procedimiento sancionador, como los supuestos de cámaras instaladas por particulares en sus domicilios. ¿Son o no son tratamientos personales o domésticos los realizados por una persona que instala una cámara de seguridad en su vivienda?
Aquí, claro, la AEPD lo primero que debería hacer es aclarar su criterio, porque si leen la guía de videovigilancia (¿para cuándo uan nueva versión adapatada a la ley ómnibus?) e informes jurídicos como éste …. http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/videovigilancia/common/pdfs/2009-0360_Las-empresas-de-seguridad-seg-uu-n-el-tipo-de-cliente-tendr-aa-n-la-consideraci-oo-n-de-encargados-del-tratamiento-o-responsable-del-fichero.pdf
….Entran ganas de llorar.
Teniendo en cuenta la debilidad de su razonamiento, la AEPD comenzó a archivar muchos procedimientos incoados a particulares, bajo la excusa de que no había pruebas de que se hubiesen grabado imágenes (ya comenté uno de estos supuestos en mi blog). En fin, que el apercibimiento les ha venido de perlas, para dar tirones de orejas a conductas que no tienen manera de sancionar y que quieren reprimir.
Y conste que a mi la reforma del régimen sancionador me parece bastante acertada. Es cuando empiezan a aplicarla cuando me disgusta.
Saludos cordiales.
Muchas gracias Luis por tu aportación. Te esperamos en nuestras próximas actividades.