Enlace al programa.

Formulario de inscripción.

En el marco de la tradicional cena de Seguridad organizada por la Revista de Seguridad e Informática SIC el 25 de abril se realizo la entrega de los Premios SIC 2012. La revista SIC es una publicación especializada en protección de la información y en seguridad de las tecnologías y sistemas de información y comunicaciones que acompaña a los profesionales de la privacidad desde 1992. Con cinco ediciones al año, esta revista dedica un considerable esfuerzo y atención a cuestiones de interés para los profesionales tanto desde el punto de vista técnico, organizativo y normativo.

El acto, presentado por el equipo directivo, y alma mater del proyecto, -Luis Guillermo Fernández Delgado y José de la Peña Muñoz junto con el prestigioso profesor e investigador Arturo Ribagorda Garnacho-, premió a profesionales relevantes del sector por su trayectoria y/o actividades concretas durante el último periodo.

En la entrega del premio a la Asociación Profesional Española de la Privacidad SIC destacó el papel relevante de nuestra asociación en el mundo de la privacidad y su constante esfuerza y tarea en pro del sector. En la recogida del premio Ricard Martínez agradeció esta mención que no hace sino recoger el esfuerzo de los asociados y asociadas de APEP desde su creación por buscar el rigor y buen desempeño profesional en nuestro ámbito. Asimismo subrayó, recogiendo parte de la reunión celebrada con la Vicepresidenta Viviane Reding, hasta qué punto los profesionales españoles de la protección de datos personales con independencia de su perfil se hallan perfectamente preparados para implementar el futuro Reglamento de Protección de Datos Personales. Finalmente destacó que, a pesar de las dificultades del sector, la nuestra es una profesión de futuro.

La revista SIC ha venido acompañando a APEP desde su nacimiento con un seguimiento de nuestra actividad e integrando en sus contenidos aspectos relacionados con el derecho fundamental a la protección de datos desde distintos punto de vista. Desde APEP agradecemos públicamente un esfuerzo editorial ciertamente meritorio en estos momentos de dificultad.

La compañía Google ha informado a la Agencia Española de Protección de Datos del comienzo de una nueva campaña de captación de imágenes en diversas provincias españolas para el servicio Street View.

Al objeto de garantizar el cumplimiento de la normativa de protección de datos por parte de Google en la captación de imágenes en diversas provincias españolas y el respeto a los derechos de los ciudadanos cuyas imágenes pudieran ser captadas, así como evitar sucesos como la problemática suscitada en el pasado por la captación y almacenamiento por equipos técnicos instalados en los vehículos StreetView de datos de localización de redes WI-FI y datos personales transmitidos mediante redes WI-FI abiertas, la AEPD, en el marco del análisis previo que está realizando sobre esta nueva campaña de recogida de imágenes, ha requerido a la compañía información sobre las características y términos en que se realizará la misma.

Entre otras cuestiones, la AEPD ha requerido a la compañía información sobre el tipo de datos que serán recogidos, la finalidad de la recogida, lugares y periodos de conservación de los datos personales recogidos en las imágenes, los procedimientos para anonimizar los datos personales (imágenes, matrículas…) antes de su publicación, y para su eliminación, así como información sobre los medios disponibles para que los ciudadanos puedan solicitar la eliminación de sus datos directamente ante la compañía.

Asimismo, la AEPD ha requerido a Google la inscripción en el Registro General de Protección de Datos de los ficheros de las imágenes y datos personales captados por Google para este servicio; el establecimiento -antes de la publicación de las imágenes- de sistemas de anonimización y difuminado irreversible de los datos personales (imágenes, matrículas…) que sean captados por los vehículos; así como un medio a través del cual los ciudadanos puedan solicitar la cancelación o eliminación de sus datos personales recogidos en las imágenes una vez publicadas.

En respuesta a este requerimiento Google ha manifestado, entre otras cuestiones que:

· No captarán, en ningún caso, datos de localización de redes WI-FI, ni datos transferidos mediante las mismas.

· Antes de la publicación de las imágenes se aplicará una tecnología de difuminado permanente e irreversible aplicable a los rostros identificables y matrículas de vehículos.

· Ponen a disposición de los usuarios una herramienta mediante la que pueden comunicar e informar sobre cualquier imagen en la que aparezcan ellos, sus familias, sus coches o domicilios, para que se realicen nuevos difuminados, incluso si la imagen ya ha sido previamente difuminada. Esta herramienta es accesible a través del link en la parte inferior izquierda de todas las imágenes Street View.

En todo caso, la Agencia, en el ejercicio de sus funciones y potestades, realizará el seguimiento y las comprobaciones necesarias para verificar el cumplimiento de la normativa española de protección de datos y garantizar los derechos de los ciudadanos.

El Programa se dirige principalmente a abogados, consultores, auditores y/o responsables en materia tecnología, así como a profesionales que ocupan la figura de Data Privacy Officer en alguna de sus vertientes y, en general, a profesionales que desempeñen algunas tareas de Protección de Datos en sus áreas. Además,  el curso cuenta, entre sus profesores con varios miembros de la APEP que han sido invitados por la organización para aportar su experiencia y conocimiento muy específico de diversas áreas.

Además, dado que es la primera edición de este programa, el IE ha desarrollado un plan de becas especiales para los casos en los asociados o asociadas de APEP quisieran inscribir en el curso a alguna persona más de su empresa o entorno profesional.

Puedes informarte de este tipo de ayudas enviándonos un mail a eventos@apep.es

Más información en este enlace: http://execed.ie.edu/law/ProgramasAbiertosDetalle.aspx?id=1675

La Eurocámara ha dado luz verde hoy al nuevo acuerdo sobre la transferencia de datos de pasajeros aéreos de la UE a las autoridades de EE.UU. El pacto establece el marco jurídico que regulará el envío de esta información y abarca cuestiones como los periodos de retención, el uso y la protección de los datos y la posibilidad de recurso. Este acuerdo sustituirá al vigente, que se aplica de forma provisional desde 2007.

Artículo completo en este enlace.

A este seminario, celebrado el viernes en la sede de la Comisión Europea en España, asistieron los principales expertos españoles en el área de protección datos. Entre los participantes se encontraban los directores de la Agencia Española de Protección de Datos y los últimos directores de ésta, los de las agencias autonómicas, magistrados del Tribunal Supremo y de la Audiencia Nacional, representantes de las principales asociaciones empresariales y sindicales, y responsables de privacidad de las más importantes empresas del país, hasta completar un elenco de aproximadamente dos decenas de personas.

El seminario se desarrolló con una intervención de carácter general por parte de la Vicepresidenta Reding en la que destacó el compromiso de la Unión con la salvaguarda del derecho fundamental a la protección de datos ante los retos que plantea el mundo online, con una norma que además debe lograr el objetivo de promover el crecimiento económico y salvaguardar la libre circulación de datos en el contexto de una economía global. Se trata, afirmó de promover una política de protección de datos más fuerte, beneficiosa para ciudadanos y empresas y armonizada en toda la UE.

La Comisión considera indispensable lograr varios objetivos. En primer lugar, elevar el nivel de protección de los ciudadanos cuya capacidad de control sobre los datos personales se ha visto mermada ante la evolución de las tecnologías de la información y las comunicaciones. En segundo lugar, hacer desaparecer las barreras que genera la desigualdad entre las distintas normas nacionales y reducir los costes que ésta genera y ofrecer seguridad jurídica a los operadores privados y públicos.

En el debate abierto con posterioridad, los participantes destacaron algunos elementos fundamentales de la Propuesta de Reglamento. Con carácter general se subrayó la similitud que en muchos puntos clave guarda la Propuesta con la práctica en España, y el liderazgo de nuestras políticas de privacidad. No obstante, se pusieron de manifiesto las dificultades de implementación para las PYME, el incremento del rigor del régimen sancionador que puede poner en serios aprietos a organizaciones que tratan elevados volúmenes de datos, o la necesidad de buscar soluciones más precisas para ámbitos como el del Cloud Computing.

APEP traslado de viva voce las conclusiones del First Position Paper aprobado por las cuatro asociaciones de profesionales de la privacidad de Francia, Alemania, Holanda y España, que integran CEDPO, subrayando su papel central para el cumplimiento y la necesidad de fijar criterios que incentiven la contratación de profesionales de privacidad. Además, se puso de manifiesto que el umbral de 250 empleados para contar obligatoriamente con un DPO debería ser sólo uno de varios factores que pueden ser tomados en cuenta, junto a los de finalidad, volumen de datos o sensibilidad del tratamiento. Además se trasladó la necesidad de que la normativa contemple casos en los que la podría ser puntual o estratégica. De este modo, las PYME podrían contar con un asesoramiento experto ajustado a aquellos supuestos en los que resulte necesario sin más cargas que las que resulten necesarias.

La propuesta de la Vicepresidenta Viviane Reding: hacia una ley de protección de datos europea

Huir de la fragmentación legal que en materia de protección de datos que existe en la UE: se busca una sola norma para todos, excepto en el caso del tratamiento de datos por parte la policía y las autoridades judiciales.

Creación de un único punto de entrada en materia de protección de datos: las autoridades nacionales de protección de datos actuarán como un único punto de entrada para ciudadanos y empresas en cuestiones relacionadas con este ámbito.

Caminar hacia la simplificación a la hora de aplicar las normas: si la propuesta de la Vicepresidenta es aprobada por el Parlamento Europeo y por los países que forman parte de la UE, una sola ley y las mismas reglas en materia de protección de datos se aplicarán en todos los países de la UE.

Las nuevas normas no serán una carga para las PYMES: al tener una sola norma común aplicable a todas las empresas, la legislación en materia de protección de datos será más clara y la expansión de su negocio dentro de las fronteras de la UE, será más sencilla. 

Transparencia: cuando una persona comunica sus datos debe estar informado en un lenguaje claro y comprensible sobre qué se va a hacer con sus datos y por cuánto tiempo van a quedar almacenados.

‘Sí, quiero que mis datos sean tratados’: las compañías estarán obligadas a preguntar expresamente al usuario si quiere que sus datos sean procesados. Para que la cesión sea válida, la persona deberá autorizarlo expresamente.

Mejorar el acceso y el control de los datos: las personas deben tener el derecho al olvido, no solo la posibilidad de pedir que sus datos sean borrados. Hay que tener en cuenta que este derecho no es absoluto y que hay en casos en los que continuar procesando los datos puede ser legítimo.

- Nota de prensa de la Comisión Europea: http://bit.ly/IbFKDA

- Discurso de la Vicepresidenta de la Comisión Europea, Viviane Reding: http://bit.ly/I2ZJpc

Jornada de la Cámara de Comercio de EEUU en España sobre la Legislación Europea sobre protección de datos y su impacto en España.

Resumen elaborado por Jesús Fernández Acevedo, asociado de APEP.

El 18 de Abril se ha organizado por la Cámara de Comercio de EEUU en España (AmChamSpain) y más concretamente por el grupo de trabajo de Privacidad y Protección de Datos perteneciente al Comité de economía Digital de dicha Cámara, una jornada sobre el impacto en España de la (próxima) legislación europea sobre protección de datos, en donde la mayoría de los ponentes han resaltado dos temas pioneros que se hacen necesarios enfocar adecuadamente en la nueva regulación: la portabilidad de los datos y el controvertido “derecho al olvido”.

Tras la presentación del propio Comité de Economía Digital, precedida del correspondiente discurso de apertura por el presidente de AmCham así como del embajador de EEUU en España, el primer panel contó con la excelente labor de Martí Saballs, Subdirector de Espansión, como moderador, cediendo la palabra en primer lugar a Giovanni Buttarelli, Adjunto al Supervisor Europeo de Protección de Datos, que aunque no pudo responder a la pregunta del millón acerca de cuando se podría aprobar y publicar el nuevo Reglamento Europeo de Protección de Datos, alegando que Europa se está jugando demasiado en la confección de la nueva legislación (“Estamos en el momento más importante de la protección de datos. No podemos cometer errores”, señaló), ya que dicha regulación regirá la privacidad de los ciudadanos europeos durante un considerable periodo de tiempo en los años venideros, apoyando la propuesta al reforzar derechos, clarificar el consentimiento y mejorar el enforcement, sí se centró en la acuciante necesidad de mejorar los derechos de los interesados especialmente en lo relativo a los tratamientos de datos online o los de menores, evitando “data breaches” similares a los que sufrió el año pasado la red Sony Playstation y fijando los pilares básicos de los que debe ser una adecuada “accountability”.

Pablo García, Letrado en Cortes y Profesor de Derecho Europeo en Internet, se centró en el contexto del Big Data, la posibilidad inmediata de googlear a cualquier persona por la calle y la dificultad de implementar el derecho al olvido especialmente por el conflicto constante entre privacidad y el uso económico del dato, alegando a la necesidad de volver al concepto original de la privacidad como el derecho a ser dejado en paz como si fuera un chip que se pudiera activar y que permitiese a los ciudadanos desconectar cuando ellos quisieran de la vida social.

Rafael García, Coordinador del Departamento Internacional de la Agencia Española de Protección de Datos (AEPD), señaló que España es un buen ejemplo en el tema de protección de datos ya que las personas son verdaderamente dueños de sus datos y reafirmó la función de dicha entidad ya que la AEPD se dedica a aplicar la norma pero no a crearla. Su visión de la Directiva Europea 95/46 ha conseguido muchos de los objetivos que planteaba pero con bastante dispersión entre los distintos Estados Miembros, pero era una Directiva que utilizaba requisitos territoriales que eran los más adecuados para la era pre-internet pero no para la actual, quedando por ello alguno de los requerimientos más útiles, tales como la inscripción de ficheros, bastante superados, haciéndose necesaria la simplificación de la burocracia pero garantizando en todo momento el nivel de protección. Respecto al derecho al olvido, la AEPD se muestra muy reivindicativa en la necesidad del mismo. Pero sobre todo, la AEPD se posiciona de forma muy activa respecto a la “accountability” para superar las dificultades de control posterior, y considerando que el concepto “accountability” no goza todavía de una correcta traducción al español y en demasiadas ocasiones se confunde con una mera “rendición de cuentas”.

Ya entrados en el Segundo Panel, el cual se enfocó en la revisión de la Directiva 95/46 y las actuales propuestas publicadas por el sector de la Industria, Sarah Lambert, Directora Adjunta de la Comisión Europea, reafirmó la necesidad de que la gente pueda confiar en Internet y para que ello sea posible se necesita transparencia, privacidad, y que el consentimiento de los ciudadanos sea siempre específico para el tratamiento concreto, y especialmente, poder saber exactamente cuál es la autoridad a la que se pueden dirigir para hacer valer sus derechos (especialmente en el ámbito online) corrigiendo para ello el fraccionamiento regional y apostando por nuevos puntos de contacto con el fin de que sea posible aplicar una única norma en el ámbito europeo y ayudar a las PYMES a la hora de poder garantizar los derechos de los interesados, especialmente con el derecho al olvido que no hay que confundirlo con la censura. Su conclusión es que el nuevo marco verdaderamente está a la altura del nuevo entorno digital.

Por su parte, Julio Fuentes, del Ministerio de Justicia, subrayó la necesidad de que la regulación sea plana al existir tantos problemas sectoriales específicos, haciéndose necesario un sistema más flexible, una norma sencilla y clara que reduzca la litigiosidad; los elementos esenciales deben de estar siempre claros, como la transparencia o el consentimiento que debe de ser siempre específico y nunca debe de traducirse como consentimiento válido la inacción del interesado, e incluso la utilización de códigos de autorregulación o la necesidad de un acercamiento legislativo europeo y americano con el fin conseguir sistemas jurídicos más integrados que permitan que los datos puedan circular libremente siempre que se encuentren debidamente protegidos.

Joana Marí, del Máster IP&IT de Esade, replanteó el derecho a la protección de datos, ya que ahora es el momento perfecto para analizar el futuro, cuestionándose el significado del control de los mismos, señalando que obligaciones como la de inscribir ficheros están agotadas en sí mismas, o la necesidad de que los titulares de los datos puedan ser proactivos y gocen de auténticas garantías que sean fácilmente accesibles. Concluyó afirmando en la necesidad no de generar nuevos derechos sino en centrarnos en soluciones para los ya existentes, porque ahora mismo somos incapaces de imaginarnos que va a ocurrir dentro de 10 años con la información personal que estamos divulgando en Internet ahora mismo.

Jean Gonie, Privacy EMEA Director de Microsoft, declara que es un momento clave en la regulación normativa ya que ésta materia afectará económicamente a todos los sectores y mientras en EEUU tienen una única visión de la privacidad, en Europa existen 27 opiniones distintas. Por ello, se hace necesario reforzar el principio de neutralidad en la industria con el fin de que la armonización sea fundamental y el diálogo con la UE sea constructivo con las empresas teniendo en cuenta que nos encontramos en una nueva realidad, especialmente en el facto “cloud”, con conceptos novedosos como la privacidad por diseño o la privacidad por defecto. Asimila la privacidad a la posibilidad de colocar en la puerta el cartel de “No molestar”.

Dovie Holland, de la embajada de EEUU, reafirma la necesidad que tienen los consumidores de gozar de buenas prácticas en privacidad y la importancia de que las organizaciones empiecen a utilizar códigos de conducta propios y que sea la Cámara de Comercio la que lo revise en caso de que no se cumplan.

Bárbara Olagaray, Legal & Corporate Affairs Director de Microsoft, mostró la satisfacción de Microsoft con la nueva regulación, reafirmando que la Industria debe de ser crítica con la misma. Los clientes de la industria deben de tomar decisiones debidamente informados, para que la portabilidad de los datos pueda ser realmente efectiva, saber cuáles son sus datos, y sobre todo que exista un formato único de portabilidad porque esto podría suponer restricciones para la industria. Igualmente los Data Breach deberían ser supuestos específicos y no tan generales como están proyectados ahora. Igualmente el rol del responsable y el del encargado deben de delimitarse de forma adecuada ahora más que nunca, especialmente para poder ejercitar adecuadamente el derecho al olvido especialmente en los datos que tratan terceros.

En representación de la APEP, su Presidente, Ricard Martínez habló de la privacidad como un valor universal muy ligado a la tecnología desde el origen de la misma, y por ello, el valor que pueden añadir los profesionales de la privacidad en este momento es más que esencial, debido a que aunque en la actualidad la ciudadanía empieza a tomar bastantes precauciones en temas relacionados con la privacidad, será dentro de 15 años cuando la actual generación “Tuenti” sea la que tome más precauciones porque habrán sido los más vulnerados. Se hace necesario que quede bastante claro que la privacidad forma parte del negocio y en ningún caso está en contra del negocio, porque a ella le sigue la seguridad y por ende la confianza de los clientes, la cual sirve para fidelizar los mismos. Por ello, la figura del Data Privacy Officer (DPO) se va a configurar como esencial en el negocio y por ello va a necesitar un estatuto estable para el DPO dentro de la organización: en ningún caso el DPO no tiene que ser la persona última a la que se recurre porque siempre pone pegas, no es la persona que dice que “NO” a todo sino la persona que aporta un valor añadido de seguridad, control de procesos y confianza.

Bárbara Navarro, Directora de Políticas Públicas de Google, apoya la portabilidad pero enfocándola siempre respecto al control de los usuarios, al igual que el derecho al olvido, ya que el control significa que el usuario pueda llevarse sus datos cuando quiera y pueda llevárselos a la competencia, por ello es necesario concretar el derecho al olvido. Por último recalcó también la necesidad de diferenciar la figura del “data controller” y del “data processor” de forma adecuada.

Robert Mourik, de Telefónica, alegó que la experiencia les ha demostrado que cuando el usuario marca una casilla no implica que haya dado un consentimiento válido ya que después duda del mismo, al igual que las transferencias internacionales, ya que las mismas le generan muchísimas dudas e inseguridad jurídica.

Carlos Alonso, Presidente de la Asociación Multisectorial de la Información (ASEDIE), afirmó que la LOPD ha sido demasiado dura con las empresas españolas del sector y ha impedido el comercio en España, con casos como una empresa que está presente en cinco países distintos y cada uno de ellos con distintas formas para un mismo tratamiento. Señaló igualmente que el derecho al olvido no tiene sentido, porque en el momento en que un imputado trasciende al ámbito público dejan de regir las normas de la privacidad, ya que las mismas son perfectamente válidas mientras dichos hechos no trasciendan al ámbito privado, pero se necesitará recurrir a otras reglas en el momento en que se trascienda dicho ámbito.

Jane Reeves de Thomson Reuters, reafirmó la idoneidad de la normativa teniendo en cuenta los cambios globales que están trascendiendo la regulación de la privacidad.

Como última exposición, Flora Egea, DPO de IBM, desde el punto de vista de la normativa se han perdido la oportunidad de regular los BCI. Igualmente, recalca que el nuevo Reglamento no permite la innovación, ya que los costes suben demasiado, las sanciones económicas son terribles y la responsabilidad solidaria es un punto negativo que no ayuda en las relaciones comerciales. Es por ello que no se va a invertir en innovación a causa del miedo que va a provocar la nueva regulación.

La Jornada ha servido para dejar en evidencia que es un momento crucial y determinante de que cara a la futura regulación de la privacidad y con ella el papel que vamos a desempeñar los profesionales que nos dedicamos de lleno a reforzar la presencia de la misma como garantía de los derechos de los ciudadanos en nuestra sociedad actual.

El director de la AEPD recibe esta tarde la visita de la Vicepresidenta de la Comisión Europea y Comisaria de Justicia de la UE, Viviane Reding

• La Vicepresidenta de la CE mantendrá un encuentro con el director de la AEPD en el que abordarán asuntos relevantes sobre protección de datos.
• A lo largo de la visita, representantes de la AEPD presentarán a Reding el funcionamiento y competencias de las principales áreas de la Institución.

(Madrid, 19 de abril de 2012). La Agencia Española de Protección de Datos (AEPD) recibe esta tarde la visita institucional de la Vicepresidenta de la Comisión Europea y Comisaria de Justicia, Derechos Fundamentales y Ciudadanía de la UE, Viviane Reding, en la sede de la Agencia.

La Vicepresidenta de la Comisión Europea mantendrá un encuentro con el director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, en el que abordarán la actualidad y asuntos más relevantes en materia de protección de datos, entre los que se encuentra la propuesta de reforma de la Comisión Europea de las normas de protección de datos de la UE de 1995.

Asimismo, representantes de la Agencia presentarán a la Vicepresidenta de la Comisión las principales áreas de la Institución (entre otras, Inspección, Registro General, Gabinete Jurídico, Secretaría General y Atención al Ciudadano) al objeto de dar a conocer su funcionamiento, estructura organizativa y principales competencias.

Gabinete de prensa de la AEPD

Con este Taller Práctico, queremos ofrecer a todos los miembros de APEP, un elemento más de formación que aporte conocimientos y competencias más especializadas en aras a que pueda asesorar en esta materia de una forma más completa y actualizada.

Así, el programa que se ha creado en conjunción con miembros de la AEPD, seguirá una línea de formación para que el asistente pueda discriminar entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia.

Este Taller Práctico tendrá lugar en Madrid el día 9 de mayo.

Puedes ver el programa concreto, los ponentes, temas y otra información de interés en el PROGRAMA.

Para inscribirse es necesario ser asociado APEP y enviar un correo electrónico a: eventos@apep.es

APEP junto con las asociaciones integradas en CEDPO trasladarán este documento ante las autoridades de la Unión Europea.

En el documento aprobado por las cuatro asociaciones de profesionales de la privacidad de Francia, Alemania, Holanda y España, que integran CEDPO, la organización da la bienvenida a las previsiones sobre el fortalecimiento y la armonización la función y la posición del delegado de protección de datos (DPO) ya que esta constituye una medida importante a fin de intensificar el cumplimiento interno.

No obstante, en el documento se ponen de manifiesto algunas cuestiones que CEDPO considera que deben ser tenidas en cuenta tanto desde un punto de vista general como en lo relativo a la figura del DPO.

Aspectos generales.

● CEDPO considera que la propuesta de la Comisión no explota todo el potencial de simplificación administrativa. En aquellos casos en los que se haya nombrado un DPO, en ciertos trámites se podrían remplazar algunos deberes de consulta previa por la información o notificación a la autoridad de control.

● La Propuesta debería garantizar plenamente un enfoque armonizado y uniforme que podría quebrar si no se garantiza una adecuada coordinación entre autoridades nacionales protección de datos en algunos aspectos de la regulación como el art. 34.2.b), que les permite publicar una lista de las operaciones de tratamiento que deben ser objeto de una consulta previa.

● La Propuesta faculta a la Comisión para adoptar actos de ejecución. Ésta se ha comprometido a mantener un diálogo estrecho y transparente con todas las partes interesadas a lo largo del proceso de adopción y con posterioridad a al mismo. CEDPO da la bienvenida a la iniciativa y proporcionará información a la Comisión, por ejemplo, en lo relativo a la especificación de criterios y requisitos para ordenar las actividades básicas de responsable y encargado a que se refiere el artículo 35, apartado 1, letra (c) y a los criterios para determinar las cualidades profesionales de los DPO a que se refiere el artículo 35, apartado 5.

En relación con la figura del DPO.

● CEDPO considera que los considerandos del Reglamento deben hacer hincapié en las ventajas de la designación de un DPO y subrayar su papel central para el cumplimiento, especialmente a la luz de las nuevas obligaciones de los responsables y encargados destinados a conseguir una protección de datos más eficaz, como la necesidad las evaluaciones de impacto de protección de datos, la notificación de quiebras de seguridad, la privacidad por defecto, y la formación del personal. Cuando se refiere a la promoción de la protección efectiva de los datos como una ventaja competitiva, la Comisión debería mencionar el DPO. Cabe destacar que en muchos casos los DPO son buenos para los negocios. Disponer de un delegado de protección de datos competente y cualificado no es sólo una primera señal tangible de hacer efectivo el principio de responsabilidad y rendición de cuentas, sino también un factor de imagen positiva que ayuda a crear confianza.

● En relación con las PYME, CEDPO considera que la Comisión debe hacer hincapié en que también las empresas que no tengan la obligación legal de nombrar a un DPO pueden reducir considerablemente estos riesgos y mejorar su negocio haciendo esta posibilidad opcional. Por ello, el Reglamento debería prever incentivos para que los responsables y encargados que no estando obligados a ello designen un DPO obtengan ventajas de los Estados miembros. CEDPO recomienda los siguientes incentivos:

→ Cuando un tratamiento se encuentre en una lista de tratamientos sujetos a consulta previa ante Agencia, al responsable/encargado debería bastarles una simple notificación o menores formalidades cuando haya designado DPO.

→ Hacer del DPO la piedra angular en las reclamaciones sobre protección de datos a una organización.

→ Facilitar que en caso de quiebras de seguridad que constituyan incidentes menores no requieran notificación a las Agencias en las organizaciones con un DPO que asesore sobre la aplicación los criterios del Reglamento.

● En cuanto al umbral de 250 empleados establecido en el artículo 35 apartado 1, letra (b) para contar obligatoriamente con un DPO, CEDPO considera necesaria una cláusula de apertura que permita a los Estados miembros establecer un umbral más bajo cuando ello resulte necesario. El número de personas empleadas es sólo uno de varios factores que pueden ser tomados en cuenta.

● CEDPO cree que los límites que se establezcan deben tener en cuenta los riesgos que entraña el tratamiento y la norma debería ser aclarada a este respecto, por ello se propone un texto alternativo al del artículo 35 de la Propuesta:

El responsable o el encargado del tratamiento designarán a un delegado de protección de datos siempre que:

…

(c) el tratamiento de datos personales, en particular, en virtud de su naturaleza, su alcance y / o su finalidad, sea de alto riesgo para la protección de datos personales o la intimidad del interesado.

Además, sugerimos tener en cuenta los siguientes criterios basados ​​en los riesgos que presenta la actividad.

→ Finalidad de las operaciones de tratamiento.

→ Sensibilidad de los datos o el tratamiento.

→ Cantidad de datos objeto de tratamiento.

Debe entenderse, por ejemplo en el caso español que la intervención del DPO en estos casos, podría ser puntual o estratégica. Por ejemplo, es excesivo que una clínica privada deba contratar a tiempo completo a un DPO, sin embargo parece razonable considerar que deba ser asesorada puntualmente con la implantación de sus bases de datos, la implementación e la seguridad, la revisión de las medidas adoptadas o la solución de quiebras de seguridad.

● La cualificación profesional de un DPO debería tener en cuenta:

→ un buen conocimiento de la ley de protección de datos

→ conocimiento de los estándares de tecnologías de la información

→ capacidad para establecer una gestión adecuada de la protección de datos, basada en un conocimiento adecuado del modelo de negocio y un conocimiento específico de las estructuras internas de la compañía internos y de las operaciones de tratamiento.

● CEDPO acoge favorablemente la flexibilidad prevista para la designación de un DPO, que puede ser interno o externo y, en su caso ocuparse de un grupo de empresas. CEDPO no comparte sin embargo la regulación del mandato del DPO, y recomienda fijar garantías adicionales para su independencia.

● El Reglamento debería incluir una declaración general que permita especificar el papel general DPO: «monitorizar con el fin de asesorar a la organización en el cumplimiento de las normas de protección de datos». Esta declaración también debe especificar que el nombramiento de un delegado de protección de datos no exime al responsable o al encargado del cumplimiento de sus obligaciones. Además, el papel de la gestión proactiva DPO no resulta suficientemente reflejada.

● Debe atribuirse al DPO un estatuto adecuado y visibilidad dentro de la organización del responsable o del encargado con el fin de tener su papel reconocido por los usuarios de los sistemas. En el caso de las entidades privadas debería garantizarse una relación funcional directa con al menos del consejo de dirección/administración o de la dirección ejecutiva.

Sobre CEDPO

La Confederación de Organizaciones Europeas de Protección de Datos (CEDPO) fue fundada en 2011. Los miembros fundadores de CEDPO son los siguientes:

AFCDP – Association Française des Correspondants à la Protection des Données à Caractère Personnel

APEP – Asociación Profesional Española de Privacidad

GDD – Gesellschaft für Datenschutz und Datensicherheit

NGFG – Nederlands Genootschap van Functionarissen voor de Gegevensbescherming

Las organizaciones mencionadas representan conjuntamente los intereses de las organizaciones de profesionales de la protección de datos y oficiales de privacidad del sector público y privado de los cuatro Estados miembros de la UE en los que desarrollan su actividad.

El objetivo principal de CEDPO es promover el importante papel del delegado de protección de datos (DPO), para una aplicación de la legislación sobre protección de datos equilibrada, práctica y eficaz. Además, CEDPO pretende contribuir a una mejor armonización de la legislación y de las prácticas de protección de datos en la Unión Europea y el Espacio Económico Europeo. Con base en las experiencias obtenidas y compartidas por las organizaciones nacionales de protección de datos, la Confederación tiene previsto iniciar y mantener una comunicación constructiva con las instituciones europeas competentes. La armonización de las prácticas de protección de datos también se logrará gracias a la interacción entre los miembros de las diferentes asociaciones nacionales.

CEDPO ha publicado un estudio comparativo de las leyes aplicables a los DPO en 14 países diferentes, que constituye un documento útil para considerar el futuro del Reglamento (DPO). Este documento está disponible en el sitio web CEDPO en www.cedpo.eu.