La defensa del derecho a la protección de datos resulta imprescindible para los retos a los que se enfrenta nuestra sociedad. Cuando la expresión “nuevas tecnologías” huele ya a mohoso, cuando las tecnologías de la información constituyen una realidad presente y una esperanza de futuro y en un mundo en el que la frontera entre la vida en lo físico y lo virtual se difumina mientras creamos un mundo Web 2.0, el derecho fundamental a la protección de datos está llamado a ser una garantía esencial de nuestras libertades.

Contribuir con nuestro trabajo diario a promover un adecuado cumplimiento de este derecho no puede sino proporcionarnos el orgullo de desempeñar una noble tarea al servicio de la sociedad. La aplicación de la legislación sobre protección de datos no debe ser ni una actividad formal ni un mal necesario que administraciones, empresas y corporaciones deban padecer estoicamente. Cuando una organización cumple con sus deberes en esta materia incorpora un valor añadido fundamental para su futuro. Analiza todos sus procesos, implementa seguridad, configura un modelo de adopción de decisiones basado en información confiable y ofrece a sus usuarios, clientes o administrados calidad, seguridad y confianza.

Por ello, a los profesionales nos incumbe trasladar en nuestro quehacer cotidiano estos valores positivos. Nuestra tarea es difícil frente a un tejido social integrado por responsables no siempre conscientes de la importancia de la protección de datos personales. Es fundamental la implicación de poderes públicos y de las organizaciones sindicales, empresariales y sociales en la difusión y concienciación de nuestra sociedad. Pero además los profesionales debemos ser ejemplo de rigor y competencia en el desempeño de nuestra tarea. Debemos apostar por una formación continuada constante, por un desempeño ajustado a las necesidades de cada organización auditada frente a soluciones epidérmicas de copia-pega, debemos ser capaces de transmitir la importancia de nuestra tarea garantizando que la “implementación de la LOPD” no es un puerto de arribo, sino el inicio de una tarea continuada.

Y todo ello, en un contexto económico particularmente difícil y en un entorno en el que las prácticas desleales hacen a veces imposible el normal desempeño de nuestro trabajo. Quienes prestan servicios de consultaría a Coste 0, regalando un servicio que acaba siendo financiado con los impuestos de los españoles, quienes ofertan servicios sin rigor profesional alguno, condenan a los responsables a un cumplimiento inadecuado de la Ley que acabará lesionando los derechos fundamentales de nuestros ciudadanos. Este tipo de arribista de la subvención avergüenza a nuestra sociedad ya que es imposible que quien no es en absoluto un profesional pueda avergonzar a la profesión.

Afortunadamente, vivimos tiempos interesantes y esperanzadores. La reforma de la Directiva apuesta por los profesionales de la privacidad no sólo reconociendo la figura y definiendo un perfil de funciones sino en cuanto que incorpora con contundencia el principio de documentación, el valor de la seguridad y las metodologías de “data protection impact assesment” y “data protection by default”. Si a ello se añade la revisión por el Consejo de Europa, de los principios de la OCDE, e incluso de la Privacy Act de 1974 acompañada de la cada vez mayor implicación de la Federal Trade Commision Norteamericana en la defensa de la privacidad de los consumidores, debemos contemplar el futuro con esperanza.

En este día que celebramos más que nunca, los profesionales de la privacidad debemos asumir el papel central que debemos jugar en la sociedad de la información y debemos hacerlo con rigor, responsabilidad y compromiso social.

Con motivo de la celebración del Día Europeo de Protección de Datos, desde la Junta Directiva hemos retomado nuestro boletín, APEP Informa 5, de forma exclusiva para nuestros asociados. Se ha remitido por mail, y se ha puesto a vuestra disposición en la zona privada.

Esperamos que sea de vuestro agrados.

¿QUIERES COLABORAR EN PRÓXIMOS BOLETINES?

Con el objeto de fomentar la participación de los asociados y  dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día  para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a administracion@apep.es.

● La inmediata aprobación de una Ley de Transparencia.

● La reordenación de los reguladores, sin que en este caso se precisase si este aspecto alcanzará a las autoridades garantes del derecho fundamental a la protección de datos.

Sin embargo, no son las únicas cuestiones relevantes que deberían ser abordadas por ejecutivo y legislador. En una rápida enumeración podrían apuntarse las siguientes:

● La trasposición de la Directiva 2009/136/CE que realiza diversas modificaciones en la Directiva 2002/58/CE, en particular en relación con aspectos tan fundamentales como la ordenación de la publicidad comportamental y el empleo de cookies, o la notificación de quiebras de seguridad a la Agencia Española de Protección de Datos y/o a los usuarios.

● La modificación en el ámbito europeo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, cuya repercusión puede ser muy intensa en ámbitos como los flujos internacionales de datos personales, el derecho al olvido y la definición de un papel para los profesionales de la privacidad.

Hasta aquí se enumera lo que podría definirse como la agenda pública de la privacidad. Sin embargo, la panoplia de cuestiones relevantes es sin duda mucho más amplia.

En primer lugar, no puede olvidarse la profunda necesidad de promover desde la escuela una cultura de protección de datos que se proyecte sobre el conjunto de la sociedad. Los problemas vinculados a la protección de la privacidad de los menores, en particular en Internet, debe abordarse también desde los planes de estudio y alcanzar a través de la formación continuada del profesorado, la formación universitaria y los procedimientos de formación de padres y adultos al conjunto de la sociedad. Los profesionales de la privacidad desde la responsabilidad corporativa deben colaborar en este proceso. El menor que aprende a proteger su privacidad es capaz de hacer frente a gran parte de los riesgos presentes en las redes. Por otra parte, los operadores públicos y privados requieren de modo urgente la apertura de los procedimientos de atribución de identidad públicos, como el DNI electrónico, a la verificación de edad de los menores de modo que puedan cumplir el exigente art. 13 del Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal y proteger, desgraciadamente en muchas ocasiones de si mismos y de un inadecuado control parental, a los propios menores.

En segundo lugar, la implantación de la administración electrónica en un momento de severas restricciones presupuestarias debería pilotarse ofreciendo seguridad al sector y confianza a los administrados. El papel esencial de la gestión administrativa electrónica en nuestra sociedad, el potencial que este modelo de gestión ofrece para la mejora de la eficiencia y la productividad de las administraciones y su repercusión en el bienestar público convierten a este ámbito en un elemento esencial para el desarrollo del país. Y para los procesos vinculados a la administración electrónica la garantía de la vida privada y la seguridad poseerá un valor central.

En tercer lugar, no pueden obviarse la existencia de problemas subyacentes relacionados con la aplicación de la regulación del derecho fundamental a la protección de datos. El nacimiento del derecho al olvido no sólo puede ser visto desde el punto de vista de los derechos del ciudadano. La clarificación de los roles que deban corresponder a los responsables del tratamiento de datos personales resulta esencial para dotar de seguridad al mercado. Del mismo modo, las exigencias normativas vinculadas a la transparencia, pública o privada, a la calidad de los datos, a la ley de mínimo impacto en los derechos del afectado, -como la publicación mediante identificadores numéricos, o el bloqueo de los robots de búsqueda-, necesitan ser clarificados.

Desde el punto de vista del ejercicio profesional deben destacarse distintos aspectos.

En primer lugar, el cumplimiento de la LOPD incorpora valores positivos y beneficios para las organizaciones. APEP, en el marco de sus políticas de concienciación y responsabilidad social corporativa reivindica estos valores. Sin embargo es necesario que los poderes públicos consoliden esta visión y no limiten el cumplimiento normativo a la imposición coactiva, ante el temor reverencial que provocan las multas fijadas por nuestro sistema legal, e impulsen conceptos plenamente consolidados en nuestro entorno como el “Privacy Impact Assesment” o la “Privacy by Design”. La evolución de enteros sectores, como los servicios de valor añadido en las telecomunicaciones, el comercio electrónico, y la implantación de Etiquetas de Radiofrecuencia (RFID), dependen de un buen estudio previo de privacidad.

En segundo lugar, si como contempla el borrador filtrado de Reglamento de protección de datos de la Unión Europea, se configura de algún modo la obligación de contar bajo ciertas condiciones con profesionales de privacidad, será necesario clarificar las condiciones del sector. Ello obliga a un doble esfuerzo:

● Ordenar las condiciones de reconocimiento profesional para evitar el intrusismo y los modelos de asesoramiento basados en el “copiar-pegar”. El estado deberá tener en cuenta una realidad compleja en la que convergen profesionales TIC, junto con profesionales con formación jurídica, siendo todos ellos necesarios en un contexto en que no se entiende el diseño basado en privacidad sin equipos integrados y multidisciplinares. Además deberá tener en cuenta la existencia de lo que podemos denominar “pioneros”, personas con títulos propios no oficiales, certificados por entidades como APEP, y una determinada experiencia profesional con un mercado fragmentario de títulos de posgrado oficial surgidos en el contexto del modelo Bolonia.

● Luchar de modo eficaz contra la competencia desleal de las empresas Coste 0. Sin perjuicio de una calificación jurídica que corresponde a las autoridades, utilizar recursos públicos, -los fondos para formación que gestiona la Fundación Tripartita-, para financiar con ellos asesoramiento gratuito, y por tanto o no formando, o formando mal, o lo que es peor con una asesoramiento y formación de baja calidad, sólo puede ser calificado como indigno e inmoral. Con estas prácticas se está condenado a le extinción a un sector emergente y funcional a la sociedad de la información, y relativizar la importancia para nuestra sociedad del derecho fundamental a la protección de datos.

En todos estos retos, APEP y cada una de las personas asociadas, colaborará lealmente con las autoridades públicas de nuestro país contribuyendo con nuestro leal saber y entender a la profundización en una sociedad comprometida con la defensa de la privacidad de los ciudadanos.

Jordi Bacaria realizará un breve comentario inicial de los temas más relevantes que presenta el actual borrador.

Esperamos veros el próximo martes día 17 de enero a partir de las 19:30h en nuestro centro de operaciones, la coctelería Milano de la Ronda Universidad, 35, de Barcelona, donde como siempre podremos hablar sobre esta y otras cuestiones novedosas que aporten los asistentes.

La conferencia tendrá como tema una cuestión de actualidad y de gran preocupación para la Sociedad, “Menores, Redes sociales y Privacidad”, que contará como ponente de prestigio en los ámbitos nacional e internacional en la materia sobre la protección de datos personales, al Sr. Dr. D. Ricard Martínez Martínez.

La jornada estará presidida por Ilmo. Sr. Director General de Telecomunicaciones y Tecnologías de la Información, D. José Francisco Puche Forte, acompañado por el Presidente de la Asociación MURCyA, Sr. D. Celestino Avilés Pérez, CISA, CGEIT.

Al finalizar la conferencia tendrá lugar el acto de entrega del premio Murcya 2011, en la categoría de Auditoría de los Sistemas de Información, a la Asociación Profesional Española de Privacidad (APEP), en la persona de su presidente, Sr. Dr. D. Ricard Martínez Martínez, por su impulso en el desarrollo y cumplimiento de los derechos fundamentales de la protección de datos de carácter personal, esenciales para lograr que los sistemas de información empleados en nuestra Sociedad sean más seguros y eficaces.

La jornada tendrá lugar en el Salón de Actos de la Consejería de Economía y Hacienda, en Avenida Teniente Flomesta, Palacio Regional s/n el día 12 de diciembre a las 18:30.

Dentro de estas actividades, se encuentra el I Desayuno de Privacidad APEP, donde se abordará la seguridad y privacidad en el cloud computing. Para este encuentro, contamos con la inestimable colaboración de Google, Microsoft, Telefónica y la Asociación EuroCloud España, que participarán en una mesa redonda tratando esta interesante cuestión el próximo día 13 de diciembre, a partir de las 9:30 de la mañana en Madrid (más información en la agenda del evento).

A continuación tenemos el gusto de presentar el programa de este I Desayuno de Privacidad APEP.

Debido a que el aforo es limitado, se han establecido un número de plazas para los asociados que confirmen asistir a través de correo electrónico dirigido a eventos@apep.es. La asistencia se confirmará por la APEP según riguroso orden de confirmación de asistencia.

AGENDA

Vocalía de Eventos

Asociación Profesional Española de Privacidad

“La incidencia en la normativa española sobre protección de datos personales de la proyectada reforma en la Directiva”, dentro del proyecto “Los desafíos jurídicos de Internet para la protección de los datos personales.”

En el siguiente enlace tenéis el programa.

Se trata de un seminario destinado a profesionales e investigadores universitarios en el que discutiremos, a partir de un planteamiento informal y flexible, sobre las implicaciones que supondrá para la normativa española en la materia la reforma de la Directiva cuyas líneas principales ya han sido anunciadas por la Comisión Europea y comentadas por otras instituciones (WP del artículo 29, Parlamento europeo…). No se trata, por tanto, de una jornada donde se impartirán "sesudas" ponencias sino que, antes al contrario, pretendemos un formato dinámico en el que, a partir de una breve introducción de unos minutos por los miembros del proyecto que aparecen en el programa (cuya única función es por tanto, facilitar el debate), pueda llevarse a cabo un intercambio de ideas y opiniones que, en última instancia, sirvan para el mutuo enriquecimiento; sin perjuicio de que, más adelante, pudiera plantearse la publicación de una monografía una vez que se haga público el borrador de la reforma.

APEP ha participado de forma directa con la intervención de nuestro presidente:

Los profesionales españoles de la privacidad ante la reforma de la Directiva 95/46, iniciada por D. Ricard Martínez, presidente de APEP, profesor de Derecho Constitucional de la Universidad de Valencia.

En la actual directiva, la figura del DPO es opcional habiendo sido recogida en algunos países. En tal sentido resulta obligatoria en las Instituciones de la Unión Europea. El Reglamento resulta particularmente detallado definiendo un perfil funcional y profesional muy claro. Si bien no se trata de trasladarlo miméticamente ofrece al menos un modelo a seguir. En este sentido, destacó cómo el perfil del DPO comunitario debe reunir las características profesionalidad, independencia, mandato limitado, e inamovilidad.

Implantar esta figura como obligatoria presenta ventajas, destacó, ya que puesto que la protección de datos permea cualquier proceso TIC, es recomendable asesoramiento especializado. Si añadimos la aparición del principio de accountability parece que la figura del DPO debería ser un complemento indispensable.

Ello sin embargo no será posible sin el apoyo de la la organización con un apoyo claro de su dirección, un compromiso del persona informático, un alto grado de especialización jurídica y, finalmente, planes de formación que promuevan un cambio cultural.

Finalmente se señalaron varios retos a afrontar. El primero el de definir una figura funcional, valorando necesidades cuantitativas (por ej. volumen de datos), y cualitativas (como la naturaleza de los mismos); impulsar la acreditación del conocimiento ya sea en el plano de las titulaciones oficiales (Bolonia) ya sea en el de las certificaciones como ACP, y probablemente en ambos planos de modo simultáneo y finalmente promover el reconocimiento normativo de la figura y su definición profesional por los ministerios competentes.

El resto de las sesiones fueron las siguientes:

La necesaria reconsideración de la perspectiva internacional en la protección de datos personales.

Javier Carrascosa González, Catedrático de Derecho Internacional Privado en la Universidad de Murcia.

Alfonso Ortega Giménez,  Profesor de Derecho Internacional Privado en la Universidad Miguel Hernández.

El derecho al olvido y el derecho a saber: encuentros y desencuentros en Internet.

Francisco García Costa y Magnolia Pardo López, profesores de Derecho Constitucional de la Universidad de Murcia.

El reforzamiento de los derechos del titular de los datos personales, ¿objeto realista o mera garantía formal?

Mª Carmen Plana Arnaldos y Belén Andreu Martínez, profesores de Derecho Civil en la Universidad de Murcia.

Nuevas perspectivas para las autoridades de control, ¿hacia una tutela administrativa más eficaz?

Manuel Fernández Salmerón, profesor de Derecho Administrativo en la Universidad de Murcia.

Privacy by Design: ¿una oportunidad para la mejor protección de los datos de carácter personal?

Javier Cao Avellaneda: Director Técnico del Área de Seguridad de la Información. Firma-e.

En esta edición dedicada a la “Privacidad en la Era Global”, se abordaron todos los fenómenos asociados con la globalización de las tecnologías de la información. Se revisaron cuestiones ya tradicionales en el mundo de la privacidad, como la minería de datos o la determinación del derecho aplicable y las condiciones para el enforcement, con otros de reciente aparición, como   el cloud computing o el derecho al olvido.

En la Declaración de la Ciudad de México las autoridades participantes se comprometieron a «Compartir el conocimiento entre los países, las autoridades y las organizaciones de expertos en materia de privacidad; discutir y analizar cómo pueden establecerse prioridades por parte de las autoridades, entidades públicas, empresas y otras organizaciones, para una mejor distribución de los recursos disponibles destinados a la consecución de objetivos comunes», y « Explorar la manera en la cual, por medio de una transparencia más efectiva, así como por otros mecanismos, se puede contribuir a que los individuos comprendan sus derechos y puedan proteger aquellos intereses relacionados con sus datos personales»

A este evento asistieron, además de numerosas autoridades de control en materia de protección de datos privacidad o consumidores (según los países), profesionales de la privacidad en el ámbito jurídico y técnico de un gran número de jurisdicciones europeas, latinoamericanas, norteamericanas así como de APEC.

Fueron particularmente reconocidas las intervenciones de los distintos representantes de la Agencia Española de Protección de Datos, en particular, la de su director en el panel que compartió con Google respecto del derecho al olvido, donde se puso de manifiesto la profunda divergencia de opiniones que mantienen al respecto. Asimismo, se valoró positivamente la intervención de la CNIL (autoridad de control francesa) respecto del impulso de las BCR para encargados de tratamiento así como de la administración norteamericana sobre su futuro “consumer privacy bill of rights” que debería ser publicado como “white paper” en las próximas semanas. 

APEP se dirigió, en particular, a la Directora General de Justicia de la Comisión Europea (Sra. Françoise Le Bail) sobre el papel obligatorio o voluntario que se le reservaría al DPO (“Data Privacy Official” conforme a la terminología de la Directiva 95/46/EC) en la nueva regulación europea (¿directiva o reglamento?, que quizás vea la luz en enero de 2012 en el mejor de los escenarios según parece), a la vista de la necesidad de armonización propugnada por la Comisión Europea. Sin perjuicio de que la respuesta distó de ser inequívoca, parece que los vientos europeos se inclinan por incorporar al DPO como figura obligatoria pero sólo respecto de entidades de un cierto tamaño.

Junto a la conferencia se celebraron un conjunto de eventos paralelos como la conferencia “The Public Voice”, la “Conferencia de la OECD”, el evento “Privacy by ReDesign” y el “e-Commerce day”.

Enlaces de interés:

http://www.privacyconference2011.org/index.php?lang=Esp

https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2011/notas_prensa/common/noviembre/ComunicadoIFAI159.pdf

 http://docbox.etsi.org/Workshop/2011/201109_CLOUD/01_ToolsAndLegalConcepts/USDptofStates_BELL.pdf

http://ediscoverymap.com/2011/11/the-thief-the-programmerthe-hacker-and-the-data-protection-authority-how-ilita-cracked-the-case/

 http://ediscoverymap.com/2011/11/privacy-and-data-protection-week-in-mexico-city/

En el apartado ACP de la web de la APEP (www.apep.es/acp) está disponible la información necesaria sobre la certificación, incluidos los contenidos objeto de examen, y también el formulario de inscripción para el examen.

En el formulario se indican las condiciones económicas, forma de pago, etc .

El plazo límite para la inscripción es el día 9 de Febrero de 2012

Os recordamos también a aquellos que tenéis gran experiencia que está abierto continuamente el proceso de certificación por vía de apadrinamiento.

Si tienes dudas puedes remitir un email a certificaciones@apep.es

EL COMITÉ DE CERTIFICACIONES

En su intervención tras destacar las ventajas de socialización, intercomunicación y ubicuidad que caracterizan los servicios de la Web 2.0 ha subrayado que las organizaciones que deciden participar en este universo social en Internet se juegan en gran medida su credibilidad ante los usuarios. En este sentido, un adecuado cumplimiento de la LOPD contribuye a reforzar la confianza mientras que incurrir en cualquier riesgo para la privacidad, o en un manifiesto desconocimiento, de las reglas básicas en esta materia puede afectar gravemente al prestigio reputacional.

Ello se debe a que la identidad constituye un elemento nuclear en el funcionamiento de las redes sociales. Todos dejamos rastro y los que participan de modo activo dejan un rastro visible. De este modo, se produce un cambio de paradigma en el que ya no bastan los perfiles genéricos de un usuario y para ser eficaz en una red social el individuo se identifica. Así la identidad posee un valor extraordinario, la información, el mensaje, la publicidad son personalizadas y la viralidad multiplica la eficiencia y la eficacia de los tratamientos. La personalidad es una personalidad social y el usuario ya no es un sujeto únicamente pasivo, puede ser un sujeto activo, su conducta tratando datos puede repercutir en los derechos de los demás.

Desde un punto de vista durante su intervención ha ido desgranando los criterios que derivan del caso Lindqvist, ampliamente acogidos por la Agencia Española de Protección de Datos y la Audiencia Nacional, que confirman que en el caso de publicación de datos en una red social en perfiles abiertos puede haber un tratamiento sometido a la LOPD. Esta opinión se confirma y precisa de modo detallado en el Dictamen 5/2009 sobre las redes sociales en línea del Grupo de Trabajo del Artículo 29.

A continuación se han examinado algunos supuestos específicos comenzando por la protección de los menores en las redes sociales.

Sobre este aspecto se ha subrayado la importancia de cumplir lo dispuesto por el artículo 13 del Reglamento de Desarrollo de la LOPD, y hasta que punto resulta esencial garantizar una adecuada educación de los menores.

Desde el punto de vista de las organizaciones públicas y privadas se ha destacado cada uno de los escenarios en los que pueden actuar como responsables de un fichero o responsables de un tratamiento ofreciendo consejos y recomendaciones específicas.

Finalmente se ha examinado distintos casos relativos a suplantaciones de identidad en las redes sociales y a publicaciones de datos sin consentimiento. En estos casos se aprecia como la Agencia Española de Protección de Datos aplica el estándar Lindqvist y los criterios de determinación de la competencia delimitados por el Grupo del Artículo 29 en su Dictamen sobre buscadores, atinentes al uso de medios en territorio europeo.