IV Foro de la Privacidad: Los nuevos fenómenos tecnológicos ponen a prueba la regulación del derecho a la privacidad
Fenómenos como las redes sociales; el desarrollo del cloud computing cuyas ventajas para el empresario son indudables y el análisis de los cambios normativos que procederán de Europa, con la trasposición de nuevas directivas, son algunos de los retos que los expertos en privacidad abordarán en los próximos años. El IV Foro de la Privacidad, organizado desde el Data Privacy Institute (DPI) de ISMS Forum Spain celebrado hace unos días, y al que han acudido empresas como Tuenti, KPMG, Telefónica, HP, Mapfre, Cepsa, Symantec, Grupo Prisa), junto con expertos y representantes de organismos públicos como la Agencia Española de Protección de Datos, la Agencia Madrileña de Protección de Datos y la Agencia Catalana de Protección de Datos ha sido uno de los foros más relevantes donde se han debatido estas cuestiones
En este sentido, el director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, comentó que “estamos necesitados de una actualización del marco legal”, que procederá de la Unión Europea. “Los avances tecnológicos plantean continuamente nuevos retos para todas las instituciones que no son fáciles de abordar con las normativas actuales”, explicó. Aunque precisó que en España “contamos con un alto nivel de garantía de los datos personales, por encima de muchos países de nuestro entorno”. Apeló a la responsabilidad de las empresas en el respecto a la Protección de los Datos personales, así como a la ciudadanía general a exigir el cumplimiento de la legislación. “Yo creo que la conciencia de los ciudadanos de todos estos riesgos moverá a incrementar los niveles de protección. Lo será más cuando haya una mayor competencia”, apostilló a modo de comentario personal.
Para Carlos Sáiz, Subdirector del Data Privacy Institute (DPI), Socio Director de Governance, Risk & Compliance de ECIJA: “Creo que la jornada ha sido todo un éxito tanto de contenido como de asistencia. Hemos contado con el Director de la AEPD que nos ha dado claves muy interesantes de los aspectos más candentes en protección de datos actualmente, y con un grupo de profesionales de Autoridades de Control y organizaciones que han aportado gran valor al debate de aspectos como el Cloud, las redes sociales o la aplicación de la reforma de la LOPD:”
Por su parte, Miguel Angel Ballesteros,responsable de privacidad de Cepsa, señala que lo más interesante de este evento han sido “ las palabras del director que el nivel de protección de datos en España está por encima de la media europea y que sería necesario revisar la legislación en el marco europeo. “ Otra conclusión que resaltó de su intervención, es que dada la deslocalización de la información por el cloud computing y la tendencia hacia que la protección sea la del país de procedencia, insistió en que aquí se aplicará la legislación española.
Es precisamente el tema del cloud computing una de las cuestiones que más preocupan a las empresas, en este contexto dada la perversidad del desconocimiento sobre donde pueden estar los datos, “se comentó que se puede restringir los países donde el cliente permite que se almacene su información y que es importante a la hora de contratar, dejar claro cómo puede el cliente desvincularse y articular las medidas y mecanismos de control, puesto que el deber de vigilancia es del cliente y no del proveedor,” subrayó Ballesteros.
Otro asunto que se trató tiene que ver con el derecho al olvido “ sobre que los buscadores encuentren información que ya no es actual, existen dos tendencias; una que la información debe borrarse y si no es posible, no debe dejarse indexar por los buscadores y otra en que es mejor que los buscadores encuentren toda la información para de esta forma conocer todo lo que hay de una persona y que ésta pueda actuar,” comentó el responsable de privacidad de Cepsa.
En opinión de Nathaly Rey, directora general de ISMS Forum, “A tenor con los distintos temas debatidos en el Foro, el principal reto regulatorio para la Privacidad, reside en establecer un justo balance que garantice el respeto del derecho a la protección de datos de los ciudadanos, sin imponer barreras para el desarrollo de la sociedad de la información, y en especial, de servicios como las Redes Sociales, el Cloud Computing y los motores de búsqueda en Internet.”
Cambios normativos necesarios
Sobre si son necesarios algunos cambios normativos, Ballesteros apuesta por homolgarnos con Europa, “Dado que nos movemos en un mundo cada vez más global, sería conveniente una armonización de la legislación incluidos reglamentos, al menos a nivel europeo, ya que es difícil fomentar la privacidad en España cuando en países de nuestro entorno se es menos exigente en su cumplimiento. “ Desde esta perspectiva deberían establecer como obligatorias acciones que impliquen a las entidades una aportación de información periódica a las autoridades de control. “Es muy común que una vez que se han inscrito los ficheros no se realice ninguna otra acción”, añadió.
Respecto a la capacidad sancionadora de la AEPD, Ballesteros cree que ha bajado el ritmo sancionador y que el propio 45.5 permite modular las sanciones. “No obstante lo que me parece más digno de mención son las desigualdades que se producen entre las sanciones para un mismo hecho en diferentes países, partiendo de la misma directiva, así como que en España las entidades públicas no sean objeto de sanción.”
En opinión de Carlos Sáiz, “efectivamente, España tiene fama de tener sanciones económicas muy duras en protección de datos, no obstante hay países donde se regulan responsabilidades penales incluso, y otros donde las indemnizaciones son millonarias. Creo que resulta necesario seguir fomentando la cultura de la seguridad y la protección de datos tanto para las organizaciones como para los ciudadanos, para ello foros como el DPI pretenden ser un lugar de encuentro y reflexión con el objetivo de desarrollar buenas prácticas para el cumplimiento normativo la eficaz protección del derecho a la protección de datos:”
Simplificación de sanciones
En este sentido, Ricard Martinez, uno de los ponentes, como presidente de APEP, analizó distintas sentencias de la Audiencia Nacional que aplican con carácter retroactivo las previsiones del art. 45 de la LOPD, así como las primeras resoluciones dictadas aplicando la figura del apercibimiento. En primer lugar, “destaco que la reforma supone en la práctica un mantenimiento del statu quo de la Administración Pública, no sometida a sanción pecuniaria alguna, considerando a continuación un acierto, la simplificación y clarificación de los tipos de infracción.” Por otra parte, examinando la reducción de las cuantías en las sanciones calificó la reforma de “maquillaje en la medida en la que, por una parte se ha incrementado la infracción mínima hasta los 900 euros y, si bien es cierta la disminución en 20.000.-euros del tramo máximo de las infracciones leves, y mínimo de las graves, el conjunto de tramos se mantiene en lo esencial con un límite de 600.000 euros.
Por ello, el elemento clave, según Martinez no será otro que el de la aplicación de los criterios de modulación del art. 45.4 y 5. De entre los primeros destacó el regulado en el apartado i)consistente en «la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor»
Respecto de este aspecto subrayó cómo existen al menos dos ámbitos en los que la diligencia del responsable no puede impedir la concurrencia de infracciones. En concreto, en el ámbito de la seguridad y en las suplantaciones de identidad el responsable del fichero cuando ha sido diligente y sufre un ataque o es estafado es una víctima, y el resultado de aplicar criterios de responsabilidad objetiva en razón del resultado una injusticia en sentido material.
Mientras se aplique este tipo de criterio no cabe esperar ninguna cooperación por parte de responsables que temerán incluso denunciar ciertos hechos cuando la consecuencia que para ellos se derivará, la aplicación del régimen sancionador de la LOPD, pueda ser más gravosa que el beneficio a obtener. En tal sentido, la generalización de prácticas como la notificación de quiebras de seguridad a autoridades y usuarios podría verse severamente limitada mientrassubsista el criterio de objetivar la responsabilidad en casos en el responsable, habiendo sidodiligente, carece de culpabilidad alguna.
Sanción y pérdida de reputación
Para la responsable de ISMS Forún hay más que perder que ganar cuando se infringe la legislación sobre protección de datos:” La privacidad constituye un valor al alza para las organizaciones. El respeto de éste derecho de los ciudadanos se traduce en el incremento de la confianza en la compañía. Y la confianza sin duda repercute en la fortaleza económica y en la reputación de una corporación. Asimismo, la Responsabilidad Social Corporativa forma, sin duda, parte del activo de las organizaciones.” Desde su perspectica hay más conciencia de la necesidad de cumplir la legislación vigente porque “además de producir pérdidas directas por la posible imposición de sanciones administrativas y condenas judiciales de indemnización, afectan directamente al valor bursátil de la empresa, y causan daños a la reputación de la marca.”
Rey opina que ha mejorado la concienciación de las empresas en materia de protección de datos, si se compara con datos de hace unos años: “El punto de partida para ello, es sin duda, el compromiso de la alta Dirección con la privacidad. Esto luego se traduce en políticas, procedimientos y controles, enmarcados bajo el paraguas de GRC, en la figura del DPO (Data Privacy Officer) como máximo responsable, reportando a un nivel alto dentro de la compañía, y en la existencia de departamentos de protección de datos, que aglutinan conocimientos técnicos, jurídicos y de gestión de riegos propios de la función.” La asignatura pendiente aún está en las pymes y autónomos donde hay que seguir con campañas de formación en este sentido.
Ahora las empresas a despachos como ECIJA le demandan, entre otras cuestiones en este terreno:”llevamos asesorando a clientes en materia de protección de datos desde su creación, vigente entonces la llamada LORTAD. En estos años hemos desarrollado un servicio puntero para grandes organizaciones públicas y privadas que cuenta con herramientas de gestión de cumplimiento, generación de conocimiento estando a la última y, sobre todo, un gran equipo profesionales con una alta especialización en el Derecho de las Tecnologías de la Información.”explica Sáiz
Gestión de la privacidad
Cepsa comenzó en el año 1994 su adaptación a la legislación sobre protección de datos con la inscripción de los ficheros en el registro de la AEPD. La empresa ha venido realizando acciones de forma continua desde 1999 hasta la actualidad en la que se encuentra con un nivel notable de cumplimiento, basado en:
• La disponibilidad de personal dedicado a este tema en las áreas de sistemas de información, asesoría jurídica y auditoría, además de la colaboración transversal de la consultora Écija.
• El desarrollo de normativa interna específica y la actualización de otra normativa relacionada. (sirva como ejemplo la de clasificación y tratamiento de la información).
• La difusión de esta materia a los trabajadores dentro del concepto más general de seguridad de la información en diferentes ocasiones y de forma particular como resultado de recomendaciones de las auditorías realizadas.
• Que desde 2008, se han realizado 14 auditorías bienales a ficheros de nivel alto y 16 auditorías de cumplimiento a empresas del grupo Cepsa, además de una auditoría global a todo el grupo en el propio año 2008.
Cloud Computing, difícil de legislar
Para el responsable de privacidad de Cepsa, el cloud computing es un fenómeno complicado de legislar sobre todo porque “La legislación sobre privacidad data del 95 a nivel europeo y 92 y/o 99 a nivel español cuando no existía el modelo cloud.”. A su juicio, los problemas que se generan tienen que ver con “ la localización de la información en países sin el nivel adecuado de protección y la obligación de controlar al proveedor por parte del cliente cuando la relación de fuerzas es abismal.”
Según Carlos Sáiz hay una cuestión importante a tener en cuenta, “El problema actual es que los servicios de Cloud y de Internet en general son globales y transversales, mientras que las normativas son nacionales. Asimismo, otra problemática derivada reside en la necesidad de localización del dato, ya que los servicios de Cloud implican un movimiento de la información en diferentes Cpds y posiblemente en diferentes países.” Desde su perspectiva cree que en el futuro habrá que trabajar en estándares y buenas prácticas para que los clientes confíen en los servicios de Cloud y su cumplimento normativo.
Desde ISM Forúm, Nathaly Rey considera que “sin embargo, La seguridad de la información y el cumplimiento normativo, especialmente en materia de protección de datos personales, constituyen una de las principales barreras para la implantación de modelos de Cloud Computing por parte de las organizaciones.” Y es que desde su visión de experto” podría implicar que un tercero llegue a controlar, almacenar o procesar en sus servidores, y de forma deslocalizada, activos de información sobre los que cada vez recaen numerosas obligaciones en materia de privacidad.”
En este sentido cree que es fundamental que tanto empresa como proveedor conozca las obligaciones de privacidad que tienen que cumplir de tal forma que “garantice el cumplimiento de la normativa española, con independencia de la ubicación del proveedor o de los medios que se utilicen para el tratamiento.” Respecto al legislador cree que “Deben introducirse modificaciones legislativas, con relación a las normas aplicables a los servicios de Cloud y a la competencia de las autoridades de control (Esto debe hacerse en el marco de la revisión de la Directiva Europea de protección de datos), e incorporarse mecanismos como Binding Safe Procesors, para fomentar el desarrollo los servicios Cloud Computing en Europa.” Al final de lo que se trata es que las autoridades de control deberán establecer mecanismos operativos idóneos para investigar y determinar si se está produciendo una vulneración del derecho a la protección de datos de carácter personal, en la Nube
Redes sociales y su problemática
Sobre el binomio privacidad y redes sociales, Miguel Angel Ballesteros observa dos cuestiones interconectadas entre ellas. “ La primera es la utilización que los proveedores de las redes sociales hacen de la información que los usuarios depositan en ella, partiendo de clausulados legales difícil de leer, entender y sobre todo poder adaptar. En este punto creo que la vigilancia del cumplimiento debería radicar en las autoridades de control, no permitiendo el funcionamiento de ninguna que no asegure o pueda asegurar un cumplimiento adecuado.”
Al mismo tiempo también analiza el uso que los usuarios hacen de las propias redes sociales “. Aquí nos encontramos con usuarios que al introducir información propia la acompañan de información ajena (ej. fotos o vídeos) sin su consentimiento. En este caso creo que la concienciación que se está realizando por parte de las autoridades de control y sobre todo de entidades privadas con portales como “Protege tu información.com” es la mejor forma de conseguir que la privacidad vaya aumentando en las redes sociales.”
En esta cuestión la directora del ISMS Forum subraya que “Los usuarios deben tener la posibilidad de ejercer efectivamente su derecho a la autodeterminación informativa en las Redes Sociales, esto quiere decir que las configuraciones de Privacidad deben ser sencillas, accesibles y trasparentes. Y por supuesto, deben están restringidas al máximos por defecto.” Y añade que habría que buscar mecanisos de control efectivos para controlar la edad de los menores que acceden a las redes sociales: “Esta tarea es de difícil implantación. Por otro lado, constituye una buena práctica evitar la indexación de los perfiles de menores de edad, por parte de motores de búsqueda, a través sencillas de medidas tecnológicas.”
Nathaly Rey anunció la creación de una Fundación de la Privacidad, que estará abierta a empresas e instituciones e informó de la buena marcha de la primera certificación española dirigida a los profesionales de la privacidad, puesta en marcha de forma pionera por ISMS Forum, el Certified Data Privacy Professional (CDPP), y que acredita un alto nivel de especialización en la normativa española en materia de Protección de Datos de carácter personal, tanto en un contexto local, como en un contexto europeo e internacional, así como un dominio de los fundamentos que rigen la Seguridad de la Información.
Los retos que plantea la privacidad en redes sociales, son a juicio de Carlos Sáiz, los siguientes. “actualmente reside en crear diferentes círculos de privacidad por parte de un usuario, en la identificación de los menores en la red social, y como ejercitar el denominado “Derecho al Olvido”. Y subraya que también las redes sociales están incorporando el concepto de “Privacy by Desing “ que implica tener en cuenta los aspectos de privacidad desde el inicio de la concepción de un producto o servicio dentro de la compañía antes de salir al mercado. “ Algunas redes sociales han adoptado este criterio y otras están trabajando en adecuar sus plataformas ya construidas en la legalidad vigente.”indica
Respecto a la creación de una Fiscalia especializada en delitos del ciberespacio añade que “Me parece una gran iniciativa ya que el entorno de las redes de comunicaciones y especialmente Internet tiene connotaciones muy particulares y es necesarios una especialización profunda en esta materia para la persecución eficaz en los Ciberdelitos. En otros entornos ya se han creado otros grupos especialistas que han tenido un buen resultado, por lo que esperamos que en este caso también se cosechen muchos éxitos para combatir en creciente número de amenazas que podemos ver en el mundo de internet..”
Publicado en: diariojuridico.com