En el apartado ACP de la web de la APEP (www.apep.es/acp) está disponible la información necesaria sobre la certificación, incluidos los contenidos objeto de examen, y también el formulario de inscripción para el mismo.

En el formulario se indican las condiciones económicas, forma de pago, etc.

Como se indicaba el plazo límite para la inscripción es el día 9 de Febrero de 2012

Os recordamos también a aquellos que tenéis gran experiencia que está abierto continuamente el proceso de certificación por vía de apadrinamiento.

Si tienes dudas puedes remitir un email a certificaciones@apep.es

EL COMITÉ DE CERTIFICACIONES

La defensa del derecho a la protección de datos resulta imprescindible para los retos a los que se enfrenta nuestra sociedad. Cuando la expresión “nuevas tecnologías” huele ya a mohoso, cuando las tecnologías de la información constituyen una realidad presente y una esperanza de futuro y en un mundo en el que la frontera entre la vida en lo físico y lo virtual se difumina mientras creamos un mundo Web 2.0, el derecho fundamental a la protección de datos está llamado a ser una garantía esencial de nuestras libertades.

Contribuir con nuestro trabajo diario a promover un adecuado cumplimiento de este derecho no puede sino proporcionarnos el orgullo de desempeñar una noble tarea al servicio de la sociedad. La aplicación de la legislación sobre protección de datos no debe ser ni una actividad formal ni un mal necesario que administraciones, empresas y corporaciones deban padecer estoicamente. Cuando una organización cumple con sus deberes en esta materia incorpora un valor añadido fundamental para su futuro. Analiza todos sus procesos, implementa seguridad, configura un modelo de adopción de decisiones basado en información confiable y ofrece a sus usuarios, clientes o administrados calidad, seguridad y confianza.

Por ello, a los profesionales nos incumbe trasladar en nuestro quehacer cotidiano estos valores positivos. Nuestra tarea es difícil frente a un tejido social integrado por responsables no siempre conscientes de la importancia de la protección de datos personales. Es fundamental la implicación de poderes públicos y de las organizaciones sindicales, empresariales y sociales en la difusión y concienciación de nuestra sociedad. Pero además los profesionales debemos ser ejemplo de rigor y competencia en el desempeño de nuestra tarea. Debemos apostar por una formación continuada constante, por un desempeño ajustado a las necesidades de cada organización auditada frente a soluciones epidérmicas de copia-pega, debemos ser capaces de transmitir la importancia de nuestra tarea garantizando que la “implementación de la LOPD” no es un puerto de arribo, sino el inicio de una tarea continuada.

Y todo ello, en un contexto económico particularmente difícil y en un entorno en el que las prácticas desleales hacen a veces imposible el normal desempeño de nuestro trabajo. Quienes prestan servicios de consultaría a Coste 0, regalando un servicio que acaba siendo financiado con los impuestos de los españoles, quienes ofertan servicios sin rigor profesional alguno, condenan a los responsables a un cumplimiento inadecuado de la Ley que acabará lesionando los derechos fundamentales de nuestros ciudadanos. Este tipo de arribista de la subvención avergüenza a nuestra sociedad ya que es imposible que quien no es en absoluto un profesional pueda avergonzar a la profesión.

Afortunadamente, vivimos tiempos interesantes y esperanzadores. La reforma de la Directiva apuesta por los profesionales de la privacidad no sólo reconociendo la figura y definiendo un perfil de funciones sino en cuanto que incorpora con contundencia el principio de documentación, el valor de la seguridad y las metodologías de “data protection impact assesment” y “data protection by default”. Si a ello se añade la revisión por el Consejo de Europa, de los principios de la OCDE, e incluso de la Privacy Act de 1974 acompañada de la cada vez mayor implicación de la Federal Trade Commision Norteamericana en la defensa de la privacidad de los consumidores, debemos contemplar el futuro con esperanza.

En este día que celebramos más que nunca, los profesionales de la privacidad debemos asumir el papel central que debemos jugar en la sociedad de la información y debemos hacerlo con rigor, responsabilidad y compromiso social.

Con motivo de la celebración del Día Europeo de Protección de Datos, desde la Junta Directiva hemos retomado nuestro boletín, APEP Informa 5, de forma exclusiva para nuestros asociados. Se ha remitido por mail, y se ha puesto a vuestra disposición en la zona privada.

Esperamos que sea de vuestro agrados.

¿QUIERES COLABORAR EN PRÓXIMOS BOLETINES?

Con el objeto de fomentar la participación de los asociados y  dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día  para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a administracion@apep.es.

● La inmediata aprobación de una Ley de Transparencia.

● La reordenación de los reguladores, sin que en este caso se precisase si este aspecto alcanzará a las autoridades garantes del derecho fundamental a la protección de datos.

Sin embargo, no son las únicas cuestiones relevantes que deberían ser abordadas por ejecutivo y legislador. En una rápida enumeración podrían apuntarse las siguientes:

● La trasposición de la Directiva 2009/136/CE que realiza diversas modificaciones en la Directiva 2002/58/CE, en particular en relación con aspectos tan fundamentales como la ordenación de la publicidad comportamental y el empleo de cookies, o la notificación de quiebras de seguridad a la Agencia Española de Protección de Datos y/o a los usuarios.

● La modificación en el ámbito europeo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, cuya repercusión puede ser muy intensa en ámbitos como los flujos internacionales de datos personales, el derecho al olvido y la definición de un papel para los profesionales de la privacidad.

Hasta aquí se enumera lo que podría definirse como la agenda pública de la privacidad. Sin embargo, la panoplia de cuestiones relevantes es sin duda mucho más amplia.

En primer lugar, no puede olvidarse la profunda necesidad de promover desde la escuela una cultura de protección de datos que se proyecte sobre el conjunto de la sociedad. Los problemas vinculados a la protección de la privacidad de los menores, en particular en Internet, debe abordarse también desde los planes de estudio y alcanzar a través de la formación continuada del profesorado, la formación universitaria y los procedimientos de formación de padres y adultos al conjunto de la sociedad. Los profesionales de la privacidad desde la responsabilidad corporativa deben colaborar en este proceso. El menor que aprende a proteger su privacidad es capaz de hacer frente a gran parte de los riesgos presentes en las redes. Por otra parte, los operadores públicos y privados requieren de modo urgente la apertura de los procedimientos de atribución de identidad públicos, como el DNI electrónico, a la verificación de edad de los menores de modo que puedan cumplir el exigente art. 13 del Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal y proteger, desgraciadamente en muchas ocasiones de si mismos y de un inadecuado control parental, a los propios menores.

En segundo lugar, la implantación de la administración electrónica en un momento de severas restricciones presupuestarias debería pilotarse ofreciendo seguridad al sector y confianza a los administrados. El papel esencial de la gestión administrativa electrónica en nuestra sociedad, el potencial que este modelo de gestión ofrece para la mejora de la eficiencia y la productividad de las administraciones y su repercusión en el bienestar público convierten a este ámbito en un elemento esencial para el desarrollo del país. Y para los procesos vinculados a la administración electrónica la garantía de la vida privada y la seguridad poseerá un valor central.

En tercer lugar, no pueden obviarse la existencia de problemas subyacentes relacionados con la aplicación de la regulación del derecho fundamental a la protección de datos. El nacimiento del derecho al olvido no sólo puede ser visto desde el punto de vista de los derechos del ciudadano. La clarificación de los roles que deban corresponder a los responsables del tratamiento de datos personales resulta esencial para dotar de seguridad al mercado. Del mismo modo, las exigencias normativas vinculadas a la transparencia, pública o privada, a la calidad de los datos, a la ley de mínimo impacto en los derechos del afectado, -como la publicación mediante identificadores numéricos, o el bloqueo de los robots de búsqueda-, necesitan ser clarificados.

Desde el punto de vista del ejercicio profesional deben destacarse distintos aspectos.

En primer lugar, el cumplimiento de la LOPD incorpora valores positivos y beneficios para las organizaciones. APEP, en el marco de sus políticas de concienciación y responsabilidad social corporativa reivindica estos valores. Sin embargo es necesario que los poderes públicos consoliden esta visión y no limiten el cumplimiento normativo a la imposición coactiva, ante el temor reverencial que provocan las multas fijadas por nuestro sistema legal, e impulsen conceptos plenamente consolidados en nuestro entorno como el “Privacy Impact Assesment” o la “Privacy by Design”. La evolución de enteros sectores, como los servicios de valor añadido en las telecomunicaciones, el comercio electrónico, y la implantación de Etiquetas de Radiofrecuencia (RFID), dependen de un buen estudio previo de privacidad.

En segundo lugar, si como contempla el borrador filtrado de Reglamento de protección de datos de la Unión Europea, se configura de algún modo la obligación de contar bajo ciertas condiciones con profesionales de privacidad, será necesario clarificar las condiciones del sector. Ello obliga a un doble esfuerzo:

● Ordenar las condiciones de reconocimiento profesional para evitar el intrusismo y los modelos de asesoramiento basados en el “copiar-pegar”. El estado deberá tener en cuenta una realidad compleja en la que convergen profesionales TIC, junto con profesionales con formación jurídica, siendo todos ellos necesarios en un contexto en que no se entiende el diseño basado en privacidad sin equipos integrados y multidisciplinares. Además deberá tener en cuenta la existencia de lo que podemos denominar “pioneros”, personas con títulos propios no oficiales, certificados por entidades como APEP, y una determinada experiencia profesional con un mercado fragmentario de títulos de posgrado oficial surgidos en el contexto del modelo Bolonia.

● Luchar de modo eficaz contra la competencia desleal de las empresas Coste 0. Sin perjuicio de una calificación jurídica que corresponde a las autoridades, utilizar recursos públicos, -los fondos para formación que gestiona la Fundación Tripartita-, para financiar con ellos asesoramiento gratuito, y por tanto o no formando, o formando mal, o lo que es peor con una asesoramiento y formación de baja calidad, sólo puede ser calificado como indigno e inmoral. Con estas prácticas se está condenado a le extinción a un sector emergente y funcional a la sociedad de la información, y relativizar la importancia para nuestra sociedad del derecho fundamental a la protección de datos.

En todos estos retos, APEP y cada una de las personas asociadas, colaborará lealmente con las autoridades públicas de nuestro país contribuyendo con nuestro leal saber y entender a la profundización en una sociedad comprometida con la defensa de la privacidad de los ciudadanos.

La conferencia tendrá como tema una cuestión de actualidad y de gran preocupación para la Sociedad, “Menores, Redes sociales y Privacidad”, que contará como ponente de prestigio en los ámbitos nacional e internacional en la materia sobre la protección de datos personales, al Sr. Dr. D. Ricard Martínez Martínez.

La jornada estará presidida por Ilmo. Sr. Director General de Telecomunicaciones y Tecnologías de la Información, D. José Francisco Puche Forte, acompañado por el Presidente de la Asociación MURCyA, Sr. D. Celestino Avilés Pérez, CISA, CGEIT.

Al finalizar la conferencia tendrá lugar el acto de entrega del premio Murcya 2011, en la categoría de Auditoría de los Sistemas de Información, a la Asociación Profesional Española de Privacidad (APEP), en la persona de su presidente, Sr. Dr. D. Ricard Martínez Martínez, por su impulso en el desarrollo y cumplimiento de los derechos fundamentales de la protección de datos de carácter personal, esenciales para lograr que los sistemas de información empleados en nuestra Sociedad sean más seguros y eficaces.

La jornada tendrá lugar en el Salón de Actos de la Consejería de Economía y Hacienda, en Avenida Teniente Flomesta, Palacio Regional s/n el día 12 de diciembre a las 18:30.

Esta 4ª Sesión se dedicará al análisis del CLOUD COMPUTING, sus efectos sobre las transferencias internacionales de datos y su implicación con los datos personales. Por otra parte, también se analizarán las principales novedades acaecidas en el último año en materia de protección de datos personales, tanto en el ámbito nacional como en el internacional, así como las recientes sentencias dictadas en relación con esta materia.

La AEPD invita a cualquier profesional, empresario, institución o ciudadano a una sesión pública, abierta, gratuita y, esencialmente práctica, dirigida a resolver cuantas preguntas deseen formularnos.

A través de la página web www.agpd.es, se dispondrá de un formulario de inscripción con el fin de organizar la sesión y el aforo de la sala. En el mismo formulario está disponible una casilla para que se incluya la pregunta que te interese que sea planteada y resuelta en esta sesión abierta. El personal directivo de la AEPD se ocupará de analizar y contestar las cuestiones planteadas por los asistentes en la referida solicitud de inscripción y, si fuera posible, en un turno abierto de intervenciones.

Dentro de estas actividades, se encuentra el I Desayuno de Privacidad APEP, donde se abordará la seguridad y privacidad en el cloud computing. Para este encuentro, contamos con la inestimable colaboración de Google, Microsoft, Telefónica y la Asociación EuroCloud España, que participarán en una mesa redonda tratando esta interesante cuestión el próximo día 13 de diciembre, a partir de las 9:30 de la mañana en Madrid (más información en la agenda del evento).

A continuación tenemos el gusto de presentar el programa de este I Desayuno de Privacidad APEP.

Debido a que el aforo es limitado, se han establecido un número de plazas para los asociados que confirmen asistir a través de correo electrónico dirigido a eventos@apep.es. La asistencia se confirmará por la APEP según riguroso orden de confirmación de asistencia.

AGENDA

Vocalía de Eventos

Asociación Profesional Española de Privacidad

El Tribunal de Justicia de la Unión Europea resuelve la cuestión prejudicial planteada por el Tribunal Supremo relativa a la interpretación del artículo 7 f) de la Directiva 95/46/CE

(Madrid, 24 de noviembre de 2011) El Tribunal de Justicia de la Unión Europea ha hecho pública hoy la sentencia que resuelve las cuestiones prejudiciales planteadas por el Tribunal Supremo, sobre la interpretación del artículo 7 f) de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El artículo 7 f) de la Directiva establece que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse, entre otros supuestos, si “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”, (en particular, los derechos a la intimidad y a la protección de datos personales, consagrados ahora en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea).

La sentencia del Tribunal de Justicia de la Unión Europea proclama que el artículo 7f) tiene efecto directo. Al mismo tiempo, el TJUE precisa el alcance normativo del precepto, señalando que no admite que las normativas nacionales, en ausencia del consentimiento del interesado, exijan para permitir el tratamiento de datos personales “necesario para la satisfacción de un interés legitimo”, además del respeto de los derechos y libertades fundamentales del interesado, que los datos se encuentren siempre en fuentes accesibles al público, “excluyendo así de forma categórica y generalizada todo tipo de tratamiento de datos que no figuren en tales fuentes”.

Ello no significa, sin embargo, que la mera invocación de un interés legítimo deba considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En los fundamentos de la Sentencia, el propio Tribunal precisa la interpretación que debe darse a dicho artículo, subrayando la necesidad de realizar en cada caso concreto una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.

En este sentido, recuerda que el artículo 7 f) de la Directiva “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado.”

Acto seguido, el Tribunal advierte que “el segundo de esos requisitos exige una ponderación de los derechos e intereses en conflicto que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate”. Y deja claro que en este marco “la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado”, permitiendo que a la hora de adaptar su ordenamiento jurídico a la Directiva 95/46, “los Estados miembros establezcan los principios que deben regir dicha ponderación”.

Entre dichos criterios de ponderación, la Sentencia se refiere, en particular, al hecho de que los datos no se encuentren en fuentes accesibles al público, recordando que “a diferencia de los tratamientos de datos que figuran en fuentes accesibles al público, los tratamientos de datos que figuran en fuentes no accesibles al público implican necesariamente que el responsable del tratamiento y, en su caso, el tercero o terceros a quienes se comuniquen los datos dispondrán en lo sucesivo de ciertas informaciones sobre la vida privada del interesado. Esta lesión, más grave, de los derechos del interesado consagrados en los artículos 7 y 8 de la Carta debe ser apreciada en su justo valor, contrapesándola con el interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos.”

A la vista de todo ello, cabe recordar que en la interpretación y la aplicación que hasta el momento se ha venido realizando en España, tanto por la AEPD como los órganos judiciales, ya se estaba llevando a cabo una ponderación en la línea de lo exigido por el artículo 7 f) de la Directiva, atendiendo a criterios diversos, tales como la finalidad del tratamiento de los datos, el marco legal aplicable, -p. ej. la existencia de una ley que ampare intereses legítimos- o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.

En consecuencia, de la Sentencia del TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento

En todo caso, los efectos derivados del fallo del Tribunal de Justicia de la Unión Europea deberán ser determinados por el Tribunal Supremo en el pronunciamiento que finalmente adopte en los recursos interpuestos contra el Reglamento de la LOPD, en cuyo seno planteó la cuestión prejudicial ahora resuelta.

Enlace a la sentencia C-468/10

Gabinete de prensa de la AEPD

En atención a las solicitudes recibidas  y teniendo en cuenta el deseo de APEP de facilitar lo máximo la realización del examen de la certificación ACP se ha decidido celebrar el próximo examen de la certificación ACP de APEP (que se realizará el 18 de febrero de 2012) también en Barcelona.

En el apartado ACP de la web de la APEP (www.apep.es/acp) está disponible la información necesaria sobre la certificación, incluidos los contenidos objeto de examen, y también el formulario de inscripción para el examen.

En el formulario se indican las condiciones económicas, forma de pago, etc.

El plazo límite para la inscripción es el día 9 de Febrero de 2012

Os recordamos también a aquellos que tenéis gran experiencia que está abierto continuamente el proceso de certificación por vía de apadrinamiento.

Si tienes dudas puedes remitir un email a certificaciones@apep.es

EL COMITÉ DE CERTIFICACIONES

Hoy 16 de noviembre se ha celebrado una reunión de la Asociación Profesional Española de Privacidad-APEP con el Director General del Servicio Público de Empleo Estatal. La delegación de APEP encabezada por su presidente, Ricard Martínez, e integrada por dos miembros de su Junta, – Félix Haro Castillo y Luis Salvador Montero-, puso de manifiesto su preocupación e inquietud ante los escasos avances obtenidos en esta materia. En tal sentido, sin poner en duda el interés de las autoridades en verificar y sancionar prácticas ilícitas, se trasladó a la Dirección General la percepción de que este tipo de práctica, que en el mejor de los casos puede calificarse de picaresca, no ha hecho sino crecer.

Como en reiteradas ocasiones ha señalado APEP, el llamado Coste 0 consiste esencialmente en un desvío directo o encubierto de fondos de formación que acaban financiando servicios de consultoría. El mecanismo utilizado habitualmente consiste en desarrollar tareas de asesoramiento e implantación de procedimientos para el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que se facturan como formación bonificada con cargo a los fondos que gestiona la Fundación Tripartita o que simplemente se ofrece “regalar”.

Puesto que los ingresos que cabe obtener son únicamente los procedentes de la subvención pública, el único modo de rentabilizarlos por el oferente, la empresa que “regala” la LOPD, consiste en ofrecer servicios, cuando menos, muy superficiales, vulnerando los principios de la más elemental ética profesional. APEP ha publicado por ello un conjunto de recomendaciones que permiten identificar un asesoramiento adecuado.

En ausencia de una auditoria rigurosa, la primera consecuencia de este tipo de actuaciones, es que se ofrece un asesoramiento de baja calidad en el que no deberían confiar las empresas ya que incurren en riesgos y sanciones. Pero además, y como reiteradamente ha señalado APEP, se trata de la aplicación de una norma cuyo objetivo es proteger los derechos fundamentales. Un inadecuado cumplimiento de la LOPD desprotege a todos aquellos ciudadanos que se relacionan con estas empresas (clientes, pero también trabajadores y otros colectivos afectados).

APEP como organización tiene el ineludible deber de alertar a la sociedad sobre el hecho de que se está arruinando a un sector emergente llamado a ser estratégico en la sociedad de la información. Y para ello, en tiempo de una grave crisis económica y social, se emplean fondos públicos, inicialmente destinados a formación, para bonificar tareas de consultoría. Cómo se ha puesto de manifiesto en la reunión, corresponde a la autoridades investigar, calificar y en su caso sancionar estas actividades, lo que no es óbice para alertar sobre un uso de fondos de formación contrario a la filosofía de los mismos.

APEP, por segunda vez en el mes de septiembre de este mismo año, puso estos hechos en conocimiento de la Fundación Tripartita, y hoy nuevamente ante el SEPE ofreciendo su colaboración en la verificación del cumplimiento de los requisitos de competencia de las empresas que ofrecen estos servicios, en el marco de una línea de trabajo que se planteará ante otras autoridades.